Закон об оборотных штрафах за утечки персональных данных: что нужно учитывать бизнесу
Утечка персональных данных (ПДн) — это не только репутационный удар, но и риск получить многомиллионный штраф, который может превысить существенную часть прибыли компании. С 30 мая 2025 года применяются оборотные штрафы за утечку персональных данных: теперь на кону не тысячи, а сотни миллионов рублей. Чтобы не оказаться в центре громкого скандала и под прицелом Роскомнадзора, операторам нужно действовать на опережение.
ФЗ от 30.11.2024 №420-ФЗ были внесены поправки к ст. 13.11 КоАП РФ, они вступили в силу 30 мая 2025 года и усилили ответственность за утечку персональных данных. Это касается всех операторов ПДн — юридических лиц, ИП, самозанятых, государственных и муниципальных органов. Оператором признается любое лицо, которое организует и (или) осуществляет обработку персональных данных самостоятельно или с привлечением третьих лиц — от сбора и хранения до передачи или уничтожения.
Оборотные штрафы за утечку персональных данных затрагивают и организации, работающие с критической информационной инфраструктурой (КИИ). Для них утечка может повлечь не только штрафы, но и дополнительные меры надзора, поскольку сбой или несанкционированный доступ к КИИ создает угрозу безопасности государства.
Штрафы за утечку ПДн существенно выросли — чем больше масштаб инцидента, тем строже санкции:
Теперь подробнее об изменениях, введенных законом об оборотных штрафах в 2025 году. Они применяются только за повторное нарушение. Это касается как утечки спецкатегорий ПДн или биометрии, так и утечки обычных данных. Юридическое лицо или ИП могут оштрафовать на сумму от 1 до 3% совокупного размера выручки, полученной за год, предшествующий дате выявления правонарушения. Если же компания не работала в этот период, учитывается доход, полученный ею за период, предшествующий дате обнаружения правонарушения. Минимальный штраф — 20-25 млн в зависимости от категорий утекших ПДн, максимальный — 500 млн рублей.
Важно! ИП в этой части приравнены к юридическим лицам, а должностными лицами считаются представители гос- и муниципальных органов, а также НКО.
Рассмотрим на примере, почему оборотный штраф может стать катастрофой для организации:
В 2025 году крупный банк, обрабатывающий биометрические данные клиентов для удаленной идентификации, допустил повторную утечку базы с фотографиями и голосовыми образцами. Первая утечка была выявлена за четыре месяца до этого, за нее организация уже получила штраф в 20 млн руб. После второго инцидента Роскомнадзор квалифицировал нарушение по ч.18 ст. 13.11 КоАП РФ как повторное, связанное с биометрией. Штраф был рассчитан исходя из 2% годовой выручки банка, которая составила 40 млрд руб., — итоговая сумма достигла 800 млн руб. Но, поскольку законом установлен предел в 500 млн руб., именно эта сумма и была взыскана.
Чтобы избежать многомиллионных штрафов и репутационных потерь, операторам персональных данных необходимо выстроить систему защиты информации так, чтобы утечка была максимально маловероятной. Ст.18.1 ФЗ от 27.07.2006 №152-ФЗ прямо обязывает их принимать организационные и технические меры, соответствующие характеру обрабатываемых данных и угрозам их безопасности.
Что нужно сделать:
Юридически грамотная профилактика всегда дешевле, чем ликвидация последствий утечки.
Новые оборотные штрафы за утечку персональных данных в 2025 году лишают права на ошибку. Один инцидент может обернуться не только огромными финансовыми потерями, но и полной потерей доверия клиентов. Закон требует от операторов жесткой дисциплины и комплексной защиты информации, иначе последствия будут необратимыми.
Подобрать пакет документов