Ужесточение ответственности за обработку персональных данных после 30 мая

30 мая 2025 года вступили в силу изменения в законодательстве о персональных данных (ПДн), а точнее — в ст. 13.11 КоАП РФ: ее дополнили новыми составами правонарушений, а штрафы за старые выросли в десятки раз. Ужесточение ответственности теперь касается всех, кто работает с данными физических лиц. Как защитить бизнес от рисков, что делать предпринимателям и какие штрафы теперь действуют — расскажем в этой статье.

Кого касаются изменения

Новые штрафы за нарушения в сфере персональных данных затрагивают любой бизнес, который работает с ними — от мелких ИП до крупных корпораций. Даже если вы просто запрашиваете ФИО и номер телефона или адрес электронной почты, это уже считается сбором ПДн, а ваша компания — оператором.

Ответственность операторов персональных данных закреплена в ФЗ от 27.07.2006 №152-ФЗ и ст. 13.11 КоАП РФ. Так, по закону он обязан обеспечить:

1. Законность обработки персональных данных:
   • получать согласие субъекта ПДн (за исключением случаев, предусмотренных законом);
   • использовать данные только для заявленных целей;
   • не обрабатывать избыточные данные — только необходимый минимум.
2. Безопасность данных:
   • применять организационные и технические меры защиты (шифрование, антивирусы, контроль доступа);
   • предотвращать утечки и несанкционированный доступ;
   • вести учет носителей персональных данных.
3. Взаимодействие с субъектами ПДн:
   • информировать о целях, способах и условиях обработки данных;
   • по запросу — предоставлять доступ к своим данным, уточнять, блокировать или удалять их;
4. Работа с документами:
   • разработать Политику обработки ПДн и опубликовать ее в открытом доступе;
   • назначить ответственного за обработку ПДн;
   • заключать соглашения с третьими лицами, если передают данные;
   • передавать данные только с согласия субъектов, если ситуация не попадает под исключения.
5. Регистрация и отчетность:
   • регистрироваться в реестре операторов Роскомнадзора (если требуется);
   • хранить согласия на обработку;
   • в случае утечки уведомить Роскомнадзор и субъектов ПДн в течение 24 часов.

Скачать чек-лист по соблюдению законодательства о персональных данных

Заполните форму, вышлем материалы вам на e-mail:

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Новые штрафы с 30 мая 2025 года

Новые административные штрафы появились в ст. 13.11 КоАП РФ с 30 мая 2025 года. Ужесточилось наказание за утечку ПДн, обработку данных без согласия, отсутствие регистрации в реестре Роскомнадзора, а также за ряд других нарушений.

Рассмотрим, какие штрафы грозят бизнесу:

1. Обработка ПДн в случаях, не предусмотренных законодательством, или несоответствие собранных данных целям сбора: для должностных лиц — до 100 000, для организаций — до 300 000 рублей.
2. Работа с ПДн без обязательного согласия на обработку персональных данных, когда оно требуется: для ИП и должностных лиц — до 300 000, для юридических лиц — до 700 000 рублей.

Также добавились новые специальные составы правонарушений по ст.13.11 КоАП РФ:

1. Неуведомление Роскомнадзора о начале обработки ПДн может обойтись организации в 100 000-300 000 рублей.
2. Неподача уведомления в РКН об утечке влечет более серьезное наказание — от 1 до 3 млн рублей.
3. За крупные утечки предусмотрена прогрессивная шкала штрафов:
   • При компрометации данных 1 000-10 000 человек — 3-5 млн рублей.
   • Для случаев с 10 000-100 000 пострадавших —5-10 млн рублей.
   • При утечке данных более 100 000 граждан — 10-15 млн рублей.
4. Особо строго карается утечка:
   • Специальных категорий данных (раса, здоровье и др.) — 10-15 млн рублей.
   • Биометрической информации — 15-20 млн рублей.
5. Повторные нарушения влекут наиболее суровые последствия:
   • Штраф составляет 1-3% годовой выручки.
   • Для кредитных организаций расчет ведется от размера собственных средств.
   • Минимальный порог —20-25 млн рублей.
   • Максимальный предел — 500 млн рублей.

Необходимо учитывать и особенности спецсоставов. ИП отвечают за правонарушения как юридические лица. Если организация-оператор не является государственным или муниципальным органом или НКО, ее оштрафуют как юрлицо. Если является — как должностное лицо. При неоднократных утечках ПДн предусмотрен оборотный штраф — до 3% от суммы выручки.

Важно отметить, что в некоторых случаях при наличии смягчающих обстоятельств можно избежать более строгих санкций. Компаниям следует особенно внимательно относиться к вопросам защиты персональных данных, так как даже единичный инцидент может привести к значительным финансовым потерям.

Что делать предпринимателям

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152 и проверьте себя на официальном сайте Роскомнадзора. Любой бизнес в России должен быть в этом реестре.

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, нападок со стороны конкурентов и потери ценной информации.

Также важно принять меры для защиты от утечки — правонарушения, по которому организации грозят самые крупные штрафы:

1. Ограничение доступа. Внедрите систему разграничения доступа к информации. Каждый сотрудник должен иметь доступ только к тем данным, которые необходимы для выполнения его непосредственных обязанностей. Это минимизирует возможный ущерб в случае компрометации учетных записей.
2. Защита учетных записей:
   • требуйте от сотрудников использования сложных паролей (не менее 12 символов с комбинацией букв, цифр и специальных знаков);
   • обязательно применяйте двухфакторную аутентификацию;
   • регулярно обновляйте пароли (каждые 3-6 месяцев);
   • установите систему мониторинга подозрительной активности;
3. Техническая защита информации:
   • шифруйте все хранимые и передаваемые данные;
   • используйте современные антивирусные решения;
   • регулярно обновляйте программное обеспечение;
   • внедрите систему резервного копирования.
4. Повышение цифровой грамотности. Проводите регулярное обучение сотрудников по вопросам:
   • распознавания фишинговых атак;
   • безопасной работы с ПДн;
   • действий при подозрении на утечку информации;
   • соблюдения политики безопасности.
5. Оптимизация бизнес-процессов:
   • разработайте четкие регламенты работы с данными;
   • ведите журналы учета доступа к информации;
   • оптимизируйте документооборот.

Рекомендуется регулярно проводить правовой аудит, проверять защищенность информационных систем. Это позволит избежать нарушений, финансовых и репутационных потерь.

Заключение

Новые правила требуют от бизнеса пересмотреть подходы к защите персональных данных. Регистрация в Роскомнадзоре, технические меры безопасности и обучение сотрудников помогут избежать штрафов. Не откладывайте – проверьте соответствие ваших процессов закону уже сейчас!