С 30 мая 2025 года в России вступают в силу поправки к Кодексу об административных правонарушениях РФ, которые кардинально меняют правила работы с персональными данными. Новые нормы вводят более строгие требования и значительно увеличивают штрафы за нарушения. Физические лица, самозанятые, должностные лица, индивидуальные предприниматели (ИП) и организации теперь рискуют столкнуться с санкциями до 500 миллионов рублей за утечки данных и другие нарушения. Что это значит для бизнеса, и как подготовиться к изменениям? Разбираемся в деталях.
Зачем ужесточают правила?
Новые поправки направлены на усиление защиты персональных данных граждан в условиях роста киберугроз и цифровизации. Утечки данных, особенно биометрических (например, отпечатков пальцев или изображений лица), могут нанести серьезный ущерб, как гражданам, так и репутации компаний. Законодатели вводят жесткие меры, чтобы заставить бизнес ответственно подходить к обработке информации. Кроме того, теперь компании обязаны уведомлять Роскомнадзор об утечках в течение 24 часов, а нарушение этого требования влечет отдельные штрафы.
Для бизнеса это означает необходимость срочно пересмотреть процессы обработки данных, усилить системы безопасности и обучить сотрудников. Невыполнение требований может привести не только к финансовым потерям, но и к утрате доверия клиентов и партнеров.
Какие нарушения приведут к штрафам?
Новые правила охватывают широкий спектр нарушений: от несвоевременного уведомления Роскомнадзора до повторных утечек биометрических данных. Для наглядности мы разделили ключевые составы правонарушений и штрафы по категориям, основываясь на статье 13.11 КоАП РФ.
Утечки персональных данных
Штрафы за утечки зависят от количества затронутых субъектов или идентификаторов (ID). Чем больше масштаб утечки, тем серьезнее санкции.
|
Статья |
Нарушение |
Штрафы |
|||
|
Физ. лица |
Долж. |
ИП |
Организации |
||
|
13.11 ч.12 |
Утечка данных (1000-10.000 субъектов или от 10.000 до 100.000 ID) |
100-200 тыс. руб. |
200-400 тыс.руб. |
3-5 млн руб. |
3-5 млн руб. |
|
13.11 ч.13 |
Утечка данных (10.000-100.000 субъектов или от 100.000 до 1.000.000 ID) |
200-300 тыс. руб. |
300-500 тыс. руб. |
5-10 млн руб. |
5-10 млн руб. |
|
13.11 ч.14 |
Утечка данных (более 100.000 субъектов или более 1.000.000 ID) |
300-400 тыс. руб. |
400-600 тыс. руб. |
10-15 млн руб. |
10-15 млн руб. |
Утечки специальных и биометрических данных
Особое внимание уделяется данным специальной категории (например, о здоровье, религиозных убеждениях) и биометрическим данным, которые требуют повышенной защиты.
|
Статья |
Нарушение |
Штрафы |
|||
|
Физ. лица |
Долж. |
ИП |
Организации |
||
|
13.11 ч.16 |
Утечка персональных данных специальной категории |
300-400 тыс. руб. |
1-1,3 млн руб. |
10-15 млн руб. |
10-15 млн руб. |
|
13.11 ч.17 |
Утечка биометрических персональных данных |
400-500 тыс. руб. |
1,3-1,5 млн руб. |
15-20 млн руб. |
15-20 млн руб. |
Повторные утечки
Повторные нарушения влекут самые суровые санкции, включая штрафы, рассчитываемые как процент от годовой выручки.
|
Статья |
Нарушение |
Штрафы |
|||
|
Физ. лица |
Долж. |
ИП |
Организации |
||
|
13.11 ч.15 |
Повторная утечка персональных данных |
400-600 тыс. руб. |
800 тыс.-1,2 млн руб. |
1-3% от годовой выручки (не менее 20 млн и не более 500 млн руб.) |
1-3% от годовой выручки (не менее 20 млн и не более 500 млн руб.) |
|
13.11 ч.18 |
Повторная утечка биометрических персональных данных |
500-800 тыс. руб. |
1,5-2 млн руб. |
1-3% от годовой выручки (не менее 25 млн и не более 500 млн руб.) |
1-3% от годовой выручки (не менее 25 млн и не более 500 млн руб.) |
Прочие нарушения
Нарушение процедур уведомления, обработки данных без согласия и локализации данных также влечет серьезные штрафы.
|
Статья |
Нарушение |
Штрафы |
|||
|
Физ. лица |
Долж. |
ИП |
Организации |
||
|
13.11 ч.1 |
Обработка |
10-15 тыс. руб. |
50-100 тыс. руб. |
50-100 тыс. руб. |
150-300 тыс. руб. |
|
13.11 ч.1.1 |
Повторное нарушение обработки персональных данных без согласия субъекта |
15-30 тыс. руб. |
100-200 тыс. руб. |
100-200 тыс. руб. |
300-500 тыс. руб. |
|
13.11 ч.8 |
Сбор и хранение персональных данных граждан РФ |
30-50 тыс. руб. |
100-200 тыс. руб. |
1-6 млн руб. |
1-6 млн руб. |
|
13.11 ч.9 |
Повторное нарушение сбора и хранения персональных данных граждан РФ |
50-100 тыс. руб. |
500-800 тыс. руб. |
6-18 млн руб. |
6-18 млн руб. |
|
13.11 ч.10 |
Непредставление уведомления о начале обработки персональных данных |
5-10 тыс. руб. |
30-50 тыс. руб. |
100-300 тыс. руб. |
100-300 тыс. руб. |
|
13.11 ч.11 |
Непредставление уведомления об утечке персональных данных в течении 24 часов |
50-100 тыс. руб. |
400-800 тыс. руб. |
1-3 млн руб. |
1-3 млн руб. |
Что это значит для бизнеса и частных лиц?
Для компаний, особенно крупных, новые штрафы представляют серьезный финансовый риск. Например, организация с годовой выручкой 5 млрд рублей при повторной утечке биометрических данных может заплатить до 150 млн рублей штрафа. Для малого бизнеса и самозанятых даже меньшие суммы, такие как 100 000 рублей за неуведомление об утечке, могут стать ощутимой нагрузкой.
Помимо финансовых последствий, утечки данных наносят репутационный ущерб. Клиенты и партнеры могут потерять доверие к компании, которая не смогла защитить их данные. В условиях ужесточения контроля со стороны Роскомнадзора бизнесу необходимо действовать активно, чтобы избежать проверок и санкций.
Как подготовиться к новым требованиям?
Чтобы минимизировать риски и соответствовать новым нормам, бизнесу и частным лицам рекомендуется принять следующие меры:
- Проведите аудит процессов. Проверьте, соответствуют ли ваши процедуры обработки данных требованиям закона №152-ФЗ. Убедитесь, что вы уведомили Роскомнадзор о начале обработки данных.
- Усильте защиту информации. Внедрите современные системы шифрования, DLP (Data Loss Prevention) и мониторинга для предотвращения утечек, особенно биометрических данных.
- Настройте процесс уведомления. Разработайте четкий план действий для оперативного информирования Роскомнадзора об утечках в течение 24 часов.
- Обеспечьте локализацию данных. Убедитесь, что персональные данные граждан РФ хранятся на серверах в России, чтобы избежать штрафов до 18 млн. рублей за повторное нарушение.
- Получите согласие субъектов. Проверьте, что обработка данных осуществляется только с письменного согласия пользователей.
- Обучите сотрудников. Проводите регулярные тренинги для персонала, особенно для должностных лиц, ответственных за обработку данных.
Теперь каждому бизнесу следует провести аудит процессов и усилить защиту информации. Для консультаций обращайтесь через страницу контактов. Обновление ПО и обучение сотрудников помогут избежать штрафов и повысить доверие клиентов.
