Персональные данные и штрафы до 18 млн. руб. — что нужно успеть до 30 мая 2025 г.

Штрафы за персональные данные: что изменится после 30 мая 2025 года

На сегодня максимальный штраф за нарушение требований в сфере персональных данных достигает 18 миллионов рублей за один случай. Однако даже меньшие санкции могут серьёзно ударить по бюджету работодателя, если не обеспечен должный контроль за соблюдением законодательства.

С 30 мая 2025 года вступают в силу изменения: увеличиваются размеры отдельных штрафов и появляются новые виды ответственности, особенно за нарушения при работе с биометрическими данными.

В статье вы найдете:
- актуальные штрафы за утечку, разглашение, обработку без согласия и другие нарушения;
- уголовные штрафы по персональным данным.

1.    Нормативная база и новые штрафы

Основные законы. ФЗ-152 «О персональных данных» (2006) устанавливает принципы обработки и защиты ПД. ФЗ-242 «О локализации» обязывает хранить данные россиян на серверах в РФ. ФЗ-187 «О безопасности КИИ» регулирует дополнительную защиту в критически важных отраслях. Есть также специальный закон о биометрии.

Изменения 2023–2025 гг. (ФЗ-420 от 30.11.2024). Существенно ужесточена ответственность по КоАП за нарушения ФЗ-152​(consultant.ru). Введены новые «спецсоставы»: отказ от уведомления РКН о намерениях или об утечке, допускающие утечки обычных, специальных и биометрических ПД​((consultant.ru)). За повторные утечки («рецидив») предусмотрены «оборотные» штрафы (1–3% от выручки, минимум 20–25 млн, максимум 500 млн)​(consultant.ru).

Рост сумм штрафов. Например, за общий состав нарушения (ст.13.11 ч.1) штраф для компаний вырос до 150–300 тыс. руб. (было 60–100 тыс. руб.)​(consultant.ru). Штрафы для ИП приравнены к компаниям. Отменена 50%-я скидка при уплате штрафа​(consultant.ru)​(consultant.ru). Дела по новым нарушениям (в т.ч. утечки) рассматриваются в арбитражных судах.

2.    Сравнение штрафов до и после изменений

«Обычные» нарушения (ст.13.11 ч.1). Ранее компании штрафовали на 60–100 тыс. руб.; после 30.05.2025 – 150–300 тыс. руб. (конечный размер зависел от масштаба и последствий)​(consultant.ru). У должностных лиц штрафы выросли до 10–20 тыс. (было 10–20) и после изменений – до 20–50 тыс., ИП – до 50–100 тыс. (было 50–100 тыс.).

Повторные нарушения (ч.1.1). Раньше компании наказывали до 100–300 тыс.; после поправок – до 300–800 тыс. (увеличены пропорционально). Граждан штрафовали до 4–12 тыс. руб. (ранее 2–6 тыс.); должностных – до 20–50 тыс. (раньше 10–20 тыс.)​(consultant.ru).

Нарушения уведомлений (ст.19.7 ФЗ-152, КоАП). Раньше за неподачу уведомления РКН по ФЗ-152 штрафы были 3–5 тыс. руб. (ст. 13.5 КоАП). Теперь за несообщение о намерении обработки – до 100–300 тыс. руб. для компаний, до 30–50 тыс. руб. для чиновников; за несообщение об утечке – 1–3 млн руб. для компаний, 400–800 тыс. для чиновников​(consultant.ru).

Утечки персональных данных. До изменений составов КоАП учет количества утекших записей не вёлся. После 30.05.2025 введены градации:

Передача 1–10 тыс. записей (или 10–100 тыс. уникальных идентификаторов) – штрафы для юрлиц 3–5 млн руб.​(consultant.ru).

Передача 10–100 тыс. записей – штрафы 5–10 млн руб.​(consultant.ru).

Передача более 100 тыс. записей – штрафы 10–15 млн руб.​(consultant.ru).
Ранее за такие масштабные утечки санкции были в разы меньше (сотни тысяч руб.).

Утечка спецкатегорий и биометрии. Раньше за спецкатегории и биометрию четких составов не было, на практике наказывали по общей норме с малыми суммами. Сейчас штрафы за спецкатегории – 10–15 млн руб. для компаний​(consultant.ru), за утечку биометрических – 15–20 млн руб.​(consultant.ru). При повторном нарушении по этим категориям – «оборотной» штраф 1–3% выручки, не менее 25 млн​(consultant.ru).

3.    Подготовка к проверкам: перечень документов

Обязательная документация по ФЗ-152: Положение (политика) по обработке и защите ПД, паспорт информационной системы персональных данных (ПИСПДн) для каждой базы данных​(consultant.ru), перечень субъектов ПД (реестр), программы (ПМИБ) обеспечения ИБ, внутренние регламенты и инструкции. Обязательно иметь приказы о назначении ответственных за ПД, договора о конфиденциальности с сотрудниками и контрагентами, учёт выдачи доступа к ПД. При проверке РКН оценивают соответствие ПДн оформленной документации.

Документы по ИБ (ФСТЭК): Сертификаты и протоколы испытаний СЗИ (средств защиты информации), акты ввода и приёмки СЗИ, планы резервного копирования, журналы регистрации вторжений, результаты аттестации (при наличии) информации. Если используются гостайна или СЗИ с лицензией ФСТЭК – предъявляют лицензии ФСТЭК и акты внедрения.

Документы по криптозащите (ФСБ): Лицензии ФСБ (если разработка/использование криптосистем требует лицензирования), сертификаты ФСБ на криптомодули и алгоритмы, акты приёмки криптографических СЗИ.

Прочие документы: Свидетельство о регистрации или учёте операторов ПД (для госорганов и НКО) и журнал учёта обработки ПД. Актуальные отчёты о проведённых аудитах, внутренние проверки и тестах на проникновение помогают подтвердить добросовестность.

4.    Реальные случаи штрафования в РФ

Ростелеком (СПб). Московский районный суд оштрафовал «Ростелеком» за утечку личных данных клиентов и сотрудников. Сотрудник компании незаконно предоставил доступ к базе в Telegram-канале и на сайте. Штраф составил 60 тыс. руб. по ч.1 ст.13.11 КоАП​rbc.ru.

Неименованный банк. Суд впервые привлек к ответственности банк за использование иностранного мессенджера WhatsApp для передачи ПД клиента. По ст.13.11.2 («незаконное использование принадлежащих иностранным лицам ИС») банку был назначен штраф 200 тыс. руб.​rbc.ru.

Подразделение РКН (ГРЧЦ). Мировой суд признал виновным «Главный радиочастотный центр» (структуру Роскомнадзора) в нарушении ч.2 ст.13.11 за утечку данных сотрудников. Организацию оштрафовали на 30 тыс. руб. за недостаточное обеспечение конфиденциальности​pravo.ru.

Иные примеры: РКН регулярно штрафует компании за нарушения ФЗ-152. Среди известных кейсов – банковские организации, операторы связи, интернет-сервисы, нарушившие правила обработки ПД или сообщившие РКН об инцидентах с задержкой.

5.    Практические рекомендации и «лайфхаки»

• Организуйте информационную безопасность: назначьте ответственных за ПД и ИБ, утвердите политику конфиденциальности. Проводите регулярное обучение и практику «фишинговых» атак для сотрудников. Внедрите регламенты работы с внешними сервисами и мессенджерами (запрещайте использование непроверенных иностранных мессенджеров для рабочих целей).

• Сокращайте и классифицируйте ПД: храните только необходимую информацию (принцип минимизации), шифруйте и анонимизируйте данные там, где можно. Для каждого проекта ведите регистр операций по обработке ПД.

• Управляйте доступом: применяйте многофакторную аутентификацию, делите права пользователей по принципу «минимальных привилегий». Ведите учёт и аудиторские логи доступа к информационным системам.

• Технические меры: обязательно устанавливайте обновления ПО и патчи (особенно на серверах и сетевом оборудовании). Используйте отечественные и сертифицированные антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS). Подключите системы защиты от утечек данных (DLP) и централизованные журналы безопасности (SIEM).

• Обработка инцидентов: если утечка или несанкционированный доступ обнаружен – немедленно уведомляйте Роскомнадзор (в течение 72 часов), а также ИБ-подразделение и руководство. Разработайте план реагирования на инциденты: процедуры сбора доказательств, блокировки атакующих, информирования пострадавших субъектов.

• Контроль контрагентов: проводите проверку надёжности партнёров, поручайте обработку данных только компаниям с хорошей ИБ-репутацией. Заключайте договоры на обработку ПД с чётким указанием ответственности.

• Регулярные проверки и сертификация: проводите собственные аудиты соответствия требованиям ФЗ-152 и стандартам (например, ISO/IEC 27001, ГОСТ Р ИБ). При необходимости сертифицируйте ИСПДн и СЗИ по требованиям ФСТЭК/ФСБ.

• Чек-лист требований для объектов КИИ

• Проверка статуса КИИ. Убедиться, что организация не попадает под категории КИИ (электроэнергетика, транспорт, связь, финансы, СМИ, оборона и т.д.) по законодательству (ФЗ-187). Если да – зарегистрировать объект КИИ в уполномоченном органе.

• Документы по безопасности КИИ: иметь Паспорт безопасности КИИ и Программу обеспечения защиты КИИ (по Методическим рекомендациям ФСТЭК). Разработать Положение об охране информации на объектах КИИ. Вести журнал учёта инцидентов и нарушений по КИИ.

• Сертификация и лицензирование: применять СЗИ, сертифицированные для работы на КИИ (по схемам ФСТЭК/ФСБ). Обеспечить наличие необходимых лицензий ФСБ (на криптографию) и ФСТЭК (если обрабатываются ССПДн или гостайна).

• Технические меры: разграничить сеть КИИ: установить межсетевые экраны, УЗИ на границах КИИ. Применять средства шифрования каналов и данных (соблюдать отечественные алгоритмы и протоколы). Внедрить системы обнаружения аномалий и предотвращения вторжений (SIEM, IDS/IPS) на уровне КИИ.

• Организационные меры: создать и документировать Центр реагирования на инциденты (CSIRT), проводить обучение персонала. Обеспечить непрерывный мониторинг и дежурство специалистов по ИБ (в т.ч. аутсорсинговый CERT при необходимости).

• Соответствие требованиям: регулярно проводить аудит соответствия КИИ (внутренний и внешний), своевременно устранять замечания проверок ФСТЭК/ФСБ. Поддерживать сертификацию ИСПДн и СЗИ, необходимые для КИИ (ГОСТ Р 56939 и др.).

• Плановое тестирование: выполнять периодические проверки защищённости: пентесты, тесты на отказоустойчивость, учения по аварийному восстановлению (disaster recovery). Поддерживать резервирование ключевых систем КИИ.

Источники: законодательство РФ (ФЗ-152, КоАП) и практические примеры (РБК, Право.ru) позволяют уточнить суммы штрафов и требования к документам​(consultant.ru)​(consultant.ru)​rbc.ru​rbc.ru​pravo.ru.

6.    Информирование и рассылки: согласие и нарушения

• Основные положения:

Информирование пользователей о политике обработки персональных данных и об изменениях в ней действительно не требует отдельного согласия согласно закону (ФЗ-152 и практическим разъяснениям РКН). Информирование можно осуществлять на основании обязанности оператора уведомлять субъектов о правилах обработки ПД (ст.18.1 ФЗ-152).

Рассылки рекламного характера (включая e-mail, SMS, push-уведомления) требуют обязательного предварительного согласия пользователя согласно ст.18 ФЗ «О рекламе» и ст.15 ФЗ-152. Причём:

Согласие должно быть отдельным, явным и однозначно выраженным (например, галочка в форме подписки, отдельный чек-бокс, не «по умолчанию» отмеченный).

Должна быть возможность отозвать согласие в любое время так же просто, как его дали.Нарушение: если человек получает рассылки, на которые не подписывался, — это считается нарушением законодательства о рекламе и о персональных данных. Компанию могут оштрафовать по статье 14.3 КоАП (нарушение законодательства о рекламе) и ст.13.11 КоАП (обработка ПД без согласия).

• Рекомендации:

Вести реестр выданных согласий на рассылку и обязательно сохранять подтверждение (IP-адрес, время, форма согласия).

Проверять юридическую чистоту баз данных перед их использованием для рассылок.

Предусматривать явную кнопку "Отписаться" в каждом письме.

Разделять письма: информационные уведомления (не требуют согласия) и рекламные сообщения (только с согласием).

7.    Политика конфиденциальности и куки на сайтах

Требования законодательства: согласно ФЗ-152 и разъяснениям Роскомнадзора, сайты, обрабатывающие персональные данные пользователей (например, через формы обратной связи, регистрации, интернет-магазины), обязаны размещать политику обработки персональных данных в свободном доступе.

Политика должна содержать:

Наименование и контактные данные оператора;

Перечень ПД, которые собираются;

Цели и основания обработки;

Права субъектов ПД;

Способы защиты ПД;

Сведения о передаче ПД третьим лицам (если передаются);

Порядок отзыва согласия и обращения по вопросам обработки ПД.

Отдельные требования к куки (cookies):

Если сайт использует файлы cookie для хранения или получения информации о пользователе (в том числе через сторонние сервисы аналитики, рекламы и т.п.), это считается сбором данных.

• Рекомендовано:

Размещать уведомление о куки при первом визите пользователя (баннер/всплывающее окно).

Давать пользователю возможность принять или отклонить использование различных категорий куки (например, только обязательные, или рекламные/аналитические).

Включать в политику конфиденциальности отдельный раздел о куки: какие именно файлы используются, для каких целей, кто является оператором обработки.

В ряде случаев (если куки используются для рекламы или профилирования поведения) требуется получить отдельное согласие пользователя.

• Риски:

Отсутствие или неполнота политики обработки ПД на сайте может привести к штрафам от РКН (до 300 тыс. руб. за первичное нарушение, выше — при повторении).

Отсутствие уведомления о куки может быть признано нарушением обработки ПД без информирования субъекта.

• Рекомендации:

Проверить, где именно на сайте собираются ПД и какие куки применяются.

Подготовить актуальную политику обработки ПД и политику использования куки.

Обновлять документы при любом изменении практики обработки ПД или использования новых сервисов.

 

Приглашаем на семинар 23 мая в 10:00
Что сделать в обработке персональных данных до 30 мая, чтобы избежать штрафов до 18 млн. руб.?