Новые реалии защиты персональных данных. Что изменится с мая 2025 года
22.05.2025

Новые реалии защиты персональных данных. Что изменится с мая 2025 года

Серьезные изменения в законодательстве существенно ужесточат ответственность за нарушения при работе с персональными данными. С 30 мая 2025 года вступают в силу поправки (Федеральный закон от 30.11.2024 N 420-ФЗ), значительно повышающие штрафы за различные правонарушения в этой сфере и расширяющие перечень контролируемых действий. Эти нововведения отражают современные реалии цифровой экономики, где защита личной информации становится одним из ключевых приоритетов.

Финансовая ответственность за утечки данных

Наиболее значительные изменения коснулись размеров штрафов за утечки персональных данных. Теперь даже относительно небольшие инциденты - от 1 до 10 тысяч записей - будут караться серьезными финансовыми санкциями:

  • Должностные лица государственных органов и НКО заплатят от 200 до 400 тысяч рублей

  • Коммерческие организации - от 3 до 5 миллионов рублей

 При масштабных утечках - свыше 100 тысяч записей - суммы штрафов увеличиваются многократно. Особенно строго законодатели подошли к вопросу защиты специальных категорий данных, таких как информация о здоровье, биометрические данные, сведения о судимости и другие чувствительные категории. Распространение такой информации грозит должностным лицам штрафом в размере 1-1,3 миллиона рублей, а организациям - 10-15 миллионов рублей.

Усиление контроля со стороны Роскомнадзора

Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных

Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):

  • сотрудников и кандидатов на работу;
  • контрагентов;
  • членов общественных объединений и религиозных организаций;
  • посетителей для однократного пропуска на территорию компании;
  • ФИО любого лица, полученное организацией.

Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан.

  • от 5 000 до 10 000 рублей – для физлиц
  • от 30 000 до 50 000 рублей – для должностных лиц организаций
  • от 100 000 до 300 000 рублей – для ИП
  • от 100 000 до 300 000 рублей – для организаций

Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Штрафы за неуведомление Роскомнадзора об утечке персональных данных

С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных.

Штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):

  • от 50 000 до 100 000 рублей – для физлиц
  • от 400 000 до 800 000 рублей – для должностных лиц организаций
  • от 1 до 3 млн рублей – для ИП
  • от 1 до 3 млн рублей – для организаций

Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования.

Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.

Уголовная ответственность за нарушение правил работы с персональными данными

Внесенные изменения в Уголовный кодекс РФ, действующие с 11 декабря 2024 года, вводят статью 272.1, предусматривающую уголовное наказание за неправомерные действия с компьютерной информацией, содержащей персональные данные граждан. К таким деяниям относятся незаконный сбор, использование и хранение личных сведений без согласия владельцев.

В зависимости от тяжести нарушения, предусмотрены следующие меры воздействия:

- Обычные случаи — могут повлечь штраф до 300 000 рублей либо принудительные работы сроком до 4 лет или лишение свободы на тот же срок.

- Нарушения, связанные с данными несовершеннолетних или биометрией — наказываются более строго: штраф до 700 000 рублей, срок принудительных работ до 5 лет или заключение на аналогичный период.

- Деяния, совершённые умышленно, из корыстных побуждений, причинившие крупный ущерб или организованными группами — грозят максимальным наказанием: штраф до 1 миллиона рублей, совмещённый с принудительными работами сроком до 5 лет или лишением свободы на срок до 6 лет.

Особо важно отметить, что уголовная ответственность не распространяется на физических лиц, использующих персональные данные исключительно в личных или семейных целях.

Защита прав потребителей

Законодатели учли современные тенденции развития технологий идентификации. Теперь компании не смогут принуждать клиентов к использованию биометрической аутентификации. Отказ в обслуживании из-за нежелания проходить такую идентификацию грозит штрафом:

  • Для должностных лиц и ИП - от 50 до 100 тысяч рублей

  • Для организаций - от 200 до 500 тысяч рублей

Эти изменения особенно важны в контексте развития цифровых сервисов, где использование биометрии становится все более распространенным. Законодатель четко разграничивает добровольные и обязательные способы идентификации, защищая права граждан.

Практические рекомендации для бизнеса

В новых условиях операторам персональных данных необходимо:

  • Провести комплексный аудит систем безопасности

  • Обновить политики обработки данных

  • Внедрить современные средства защиты информации

  • Организовать регулярное обучение сотрудников

  • Создать эффективную систему мониторинга инцидентов

Важно отметить, что статус оператора возникает автоматически при любом взаимодействии с персональными данными.

Это значит, что даже небольшие компании должны будут соблюдать все требования закона. Особое внимание следует уделить технической защите данных, разработке процедур реагирования на инциденты и документированию всех процессов обработки информации.

Перспективы развития

Ужесточение ответственности отражает общемировую тенденцию к усилению защиты персональных данных. Российские компании получают дополнительные стимулы для внедрения передовых практик информационной безопасности. Это особенно актуально в свете требований о локализации данных на территории страны.

Международный опыт показывает, что компании, инвестирующие в защиту персональных данных, не только избегают штрафов, но и получают конкурентные преимущества. Клиенты все чаще выбирают сервисы, которые демонстрируют высокий уровень защиты их личной информации.

Мнение эксперта
Татьяна Овсянникова
Татьяна Овсянникова
Руководитель отдела по персоналу
Оцените материал
Поделиться:
Похожие публикации
Хотите сотрудничать?
Оставьте заявку и мы свяжемся с вами для уточнения всех деталей
Запросить расчет стоимости

С целью предоставления наиболее оперативного и индивидуализированного обслуживания на данном сайте используются cookie-файлы. Используя данный сайт, вы даете свое согласие на использование нами cookie-файлов. Дополнительная информация о cookie-файлах доступна в разделе «Уведомление об использовании cookie-файлов».