Официальный партнер портала klerk.ru по работе с персональными данными
  • 8 (800) 301-76-89 Бесплатно по России
  • График работы

Закон об оборотных штрафах за утечки персональных данных: что нужно учитывать бизнесу

Содержание статьи

Утечка персональных данных (ПДн) — это не только репутационный удар, но и риск получить многомиллионный штраф, который может превысить существенную часть прибыли компании. С 30 мая 2025 года применяются оборотные штрафы за утечку персональных данных: теперь на кону не тысячи, а сотни миллионов рублей. Чтобы не оказаться в центре громкого скандала и под прицелом Роскомнадзора, операторам нужно действовать на опережение.

Кого касаются изменения

ФЗ от 30.11.2024 №420-ФЗ были внесены поправки к ст. 13.11 КоАП РФ, они вступили в силу 30 мая 2025 года и усилили ответственность за утечку персональных данных. Это касается всех операторов ПДн — юридических лиц, ИП, самозанятых, государственных и муниципальных органов. Оператором признается любое лицо, которое организует и (или) осуществляет обработку персональных данных самостоятельно или с привлечением третьих лиц — от сбора и хранения до передачи или уничтожения.

Оборотные штрафы за утечку персональных данных затрагивают и организации, работающие с критической информационной инфраструктурой (КИИ). Для них утечка может повлечь не только штрафы, но и дополнительные меры надзора, поскольку сбой или несанкционированный доступ к КИИ создает угрозу безопасности государства.

Подробно об оборотных штрафах

Штрафы за утечку ПДн существенно выросли — чем больше масштаб инцидента, тем строже санкции:

  1. За неправомерную передачу персональных данных от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов штраф составит:
    • гражданам — 100 000–200 000 руб.;
    • должностным лицам — 200 000–400 000 руб.;
    • юридическим лицам — 3–5 млн руб.
  2. При утечке от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов штрафы возрастают:
    • гражданам — 200 000–300 000 руб.;
    • должностным лицам — 300 000–500 000 руб.;
    • юридическим лицам — 5–10 млн руб.
  3. Если пострадало более 100 000 субъектов или более 1 000 000 идентификаторов, санкции будут следующими:
    • гражданам — 300 000–400 000 руб.;
    • должностным лицам — 400 000–600 000 руб.;
    • юридическим лицам — 10–15 млн руб.
  4. Утечка специальной категории ПДн — до 15 млн рублей, биометрии — до 20 млн рублей.

Теперь подробнее об изменениях, введенных законом об оборотных штрафах в 2025 году. Они применяются только за повторное нарушение. Это касается как утечки спецкатегорий ПДн или биометрии, так и утечки обычных данных. Юридическое лицо или ИП могут оштрафовать на сумму от 1 до 3% совокупного размера выручки, полученной за год, предшествующий дате выявления правонарушения. Если же компания не работала в этот период, учитывается доход, полученный ею за период, предшествующий дате обнаружения правонарушения. Минимальный штраф — 20-25 млн в зависимости от категорий утекших ПДн, максимальный — 500 млн рублей.

Важно! ИП в этой части приравнены к юридическим лицам, а должностными лицами считаются представители гос- и муниципальных органов, а также НКО.

Рассмотрим на примере, почему оборотный штраф может стать катастрофой для организации:

В 2025 году крупный банк, обрабатывающий биометрические данные клиентов для удаленной идентификации, допустил повторную утечку базы с фотографиями и голосовыми образцами. Первая утечка была выявлена за четыре месяца до этого, за нее организация уже получила штраф в 20 млн руб. После второго инцидента Роскомнадзор квалифицировал нарушение по ч.18 ст. 13.11 КоАП РФ как повторное, связанное с биометрией. Штраф был рассчитан исходя из 2% годовой выручки банка, которая составила 40 млрд руб., — итоговая сумма достигла 800 млн руб. Но, поскольку законом установлен предел в 500 млн руб., именно эта сумма и была взыскана.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами

Как минимизировать риски

Чтобы избежать многомиллионных штрафов и репутационных потерь, операторам персональных данных необходимо выстроить систему защиты информации так, чтобы утечка была максимально маловероятной. Ст.18.1 ФЗ от 27.07.2006 №152-ФЗ прямо обязывает их принимать организационные и технические меры, соответствующие характеру обрабатываемых данных и угрозам их безопасности.

Что нужно сделать:

  1. Проведите аудит процессов обработки ПДн. Определите, кто и на каком основании имеет доступ к базам, как организовано хранение, шифрование и передача информации. Часто проблемы кроются в избыточных правах сотрудников или отсутствии контроля за подрядчиками.
  2. Разработайте и обновляйте внутреннюю документацию. Политика обработки ПДн, положение о защите информации, инструкции по реагированию на инциденты должны быть не формальностью, а рабочим инструментом, который применяют сотрудники.
  3. Обучайте персонал. Большинство утечек — результат человеческого фактора: отправка файлов не тому адресату, открытый доступ к корпоративным папкам, переход по фишинговым ссылкам. Регулярные тренинги и тесты снижают эти риски.
  4. Внедрите технические меры защиты. Используйте шифрование, двухфакторную аутентификацию, межсетевые экраны, системы предотвращения вторжений (IDS/IPS) и DLP-системы для контроля каналов передачи данных. Для организаций с КИИ или биометрией важно сегментировать сеть и ограничить доступ только для узкого круга сотрудников.
  5. Будьте готовы к инцидентам. Имейте план реагирования: выявление утечки, фиксация доказательств, уведомление Роскомнадзора в течение 24 часов, подготовка отчета за 72 часа. Быстрые и корректные действия снижают вероятность максимального штрафа.
  6. Помните о равной ответственности ИП и юрлиц. Даже небольшие компании должны документально оформить работу с ПДн. В противном случае штрафы будут такими же, как для крупного бизнеса.

Юридически грамотная профилактика всегда дешевле, чем ликвидация последствий утечки.

Заключение

Новые оборотные штрафы за утечку персональных данных в 2025 году лишают права на ошибку. Один инцидент может обернуться не только огромными финансовыми потерями, но и полной потерей доверия клиентов. Закон требует от операторов жесткой дисциплины и комплексной защиты информации, иначе последствия будут необратимыми.



Остались вопросы?

Наш менеджер вас проконсультирует

    Номер телефона

    E-mail:

    Выбрать ОПФ

    Ваш вопрос

    Мессенждер:


    Обязательно отметьте поля ниже

    Наши ключевые услуги

    Вам может быть интересно

    Документы и регистрация в реестре для НКО: особенности
    15 июля 2026

    Документы и регистрация в реестре для НКО: особенности

    Подробнее
    Передача персональных данных: какие требования для обработки персональных данных третьими лицами
    09 июля 2026

    Передача персональных данных: какие требования для обработки персональных данных третьими лицами

    Подробнее
    Персональные данные сотрудников: что к ним относится и как с ними работать
    23 июня 2026

    Персональные данные сотрудников: что к ним относится и как с ними работать

    Подробнее
    Регистрация оператора в Роскомнадзоре: пошаговая инструкция для бизнеса
    15 июня 2026

    Регистрация оператора в Роскомнадзоре: пошаговая инструкция для бизнеса

    Подробнее
    Требования к сайтам турфирм: что важно учитывать в 2026 году
    09 июня 2026

    Требования к сайтам турфирм: что важно учитывать в 2026 году

    Подробнее
    Как защитить персональные данные на рабочем месте
    25 мая 2026

    Как защитить персональные данные на рабочем месте

    Подробнее
    Общение с клиентами через WhatsApp и Telegram: что изменилось для турагентов
    19 мая 2026

    Общение с клиентами через WhatsApp и Telegram: что изменилось для турагентов

    Подробнее
    Юридический аудит сайта: какие документы должны быть на сайте
    13 мая 2026

    Юридический аудит сайта: какие документы должны быть на сайте

    Подробнее

    Подобрать пакет документов