Новые штрафы за нарушения при обработке персональных данных с 30 мая 2025 г.

С 30 мая 2025 г. вступили в силу изменения в законодательство об обработке персональных данных. Теперь почти любые организации, ИП и самозанятые должны зарегистрироваться как операторы обработки персональных данных, отправив специальное уведомление в Роскомнадзор (РКН). Кроме того, появился ряд новых штрафов за ошибки в работе с персональными данными и их утечку.

Больше РКН не будет напоминать о необходимости подать уведомление: он сразу вынесет предписание об устранении нарушений, а затем выпишет штраф. Также теперь нельзя снизить сумму штрафа за быструю оплату: раньше за нарушения, предусмотренные ст. 13.11 КоАП РФ, можно было получить до 50% скидки.

◾ Кого коснутся новые штрафы

Достаточно сохранить хотя бы одну связку из ФИО и номера или электронной почты (клиента, сотрудника и т. д.) — и вот вы уже обязаны регистрироваться как оператор персональных данных в РКН.

Для справки. Под обработкой персональных данных подразумевается сбор, хранение и другие действия с данными, которые позволяют однозначно идентифицировать человека. Размер бизнеса не имеет значения: подавать уведомление об обработке данных должны и международные корпорации, и ИП с двумя сотрудниками, и даже самозанятые, делающие на дому макияж или торты.

Особенно внимательными следует быть юридическим лицам, индивидуальным предпринимателям и самозанятым, зарегистрированным после 30 мая 2025 г. Они обязаны уведомить РКН до того, как начнут обрабатывать любые персональные данные, иначе гарантированно получат штрафы.

Оштрафуют и тех, кто начал обрабатывать персональные данные после 30 мая 2024 г., не подав уведомления: срок давности по такому нарушению — один календарный год. Если вы начали обрабатывать данные раньше 30 мая 2024 г., то формально закон вы нарушили, но штраф за это уже не грозит, так как срок давности истек. Однако нарушение, начавшееся до 30 мая 2024 г., может считаться длящимся и, если будет выявлено, срок давности отсчитывается со следующего дня после обнаружения нарушения (составления протокола уполномоченным лицом).  

Владельцы сайтов должны подать уведомление в РКН, если на их сайте обрабатываются cookies или другие технические данные о действиях посетителей сайта — они тоже считаются персональными данными. Соответственно, их обработка обязывает оповещать ведомство.

РКН для проверки применяет продвинутые алгоритмы, которые легко находят нарушения. В частности, они анализируют код сайта на предмет утечек, форм сбора персональных данных, запрещенных сервисов для аналитики вроде Google Analytics (с июля 2025 г.) и т. д.

Штраф за обработку без уведомления

За отсутствие в реестре операторов персональных данных в РКН организация или ИП рискует заплатить штраф от 100 000 руб. до 300 000 руб.

Физические лица (в т. ч. самозанятые) заплатят от 5000 руб. до 10 000 руб., должностные лица — от 30 000 руб. до 50 000 руб.

Штрафы за утечку персональных данных

Подразумевает самые серьезные наказания. Размер штрафа зависит от того, как много субъектов пострадало в результате утечки данных. Например, для ИП и юрлиц наказания следующие:

• От 1000 до 10 000 субъектов персональных данных (ПДн) либо от 10 000 до 100 000 идентификаторов — штраф от 3 млн руб. до 5 млн руб.

• От 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — штраф от 5 млн руб. до 10 млн руб.

• Более 100 000 субъектов либо более 1 000 000 идентификаторов — штраф от 10 млн руб. до 15 млн руб.

Для физических лиц суммы варьируются от 100 000 до 400 000 руб., а для должностных — от 200 000 до 600 000 руб. Эти суммы актуальны для первого раскрытия.

Повторная утечка карается более жестко: бизнес должен будет выплатить от 1% до 3% выручки за прошлый год, но не меньше 20 млн и не больше 500 млн руб.

Если не уведомить РКН об утечке персональных данных: за это ИП и организациям тоже придется заплатить от 1 млн руб. до 3 млн руб. Физические лица отдадут от 50 000 руб. до 100 000 руб., а должностные — от 400 000 до 800 000 руб.

При утечке специальных персональных данных (например, о религии или состоянии здоровья, согласно ч. 16 ст. 13.11 КоАП РФ), ИП должен будет внести штраф от 1 млн руб. до 1,3 млн руб., а юридическое лицо — от 10 млн руб. до 15 млн руб. А если раскрыты биометрические ПДн, суммы вырастут — от 1,3 млн руб. до 1,5 млн руб. и от 15 млн руб. до 20 млн руб. соответственно.

Кроме того, возможна и уголовная ответственность за незаконное хранение, разглашение или распространение персональных данных: согласно статье 272.1 УК РФ, вплоть до 6 лет лишения свободы нарушителю.

◾ Какие действия нужно предпринять, чтобы не получить штраф

Чтобы не получить наказание от РКН, нужно быть оператором обработки персональных данных, при этом обеспечивать их безопасные обработку и хранение. Уведомление нужно было подать до 30 мая 2025 г., если вы уже обрабатываете ПДн.

Проверить регистрацию бизнеса в РКН

Любые фирмы, ИП или самозанятые должны находиться в реестре Роскомнадзора как оператор персональных данных. Согласно ст. 22 №152-ФЗ, не подавать уведомление можно лишь в трех случаях, когда вы обрабатываете персональные данные:

• Без использования средств автоматизации, то есть только с использованием человеческих ресурсов (например, записывать телефон клиента в ежедневник, а не в память смартфона).

• В целях защиты общественного порядка и безопасности страны.

• Ради защиты транспортной безопасности.

То есть по крайне редким основаниям. Поэтому сообщать об обработке данных в РКН обязательно для всех. И пока уведомления нет, то с 30 мая 2025 г. наказание может настигнуть бизнес в любой момент.

Чтобы проверить наличие в реестре, нужно ввести в форме поиска свои ИНН либо название фирмы. Если данных о бизнесе нет, значит, нужно подавать уведомление.

Подать уведомление об обработке персональных данных

Если вас не оказалось в реестре, нужно срочно подать уведомление в РКН. За сам факт просрочки ничего не будет, если у бизнеса нет других административных правонарушений: согласно ст. 4.1.1 КоАП РФ, первый штраф заменяется предупреждением. А вот если уведомления не будет (или если у вас были другие правонарушения), а РКН увидит факт обработки ПДн, тогда можно получить штраф от 100 000 руб. до 300 000 руб.

Перед подачей уведомления важно выстроить систему обработки ПДн в фирме:

1. Написать приказ о назначении ответственных за обработку ПДн сотрудников.

2. Разработать регламент обработки и хранения персональных данных, локальные нормативные акты.

3. Прописать цели, субъекты обработки данных, категории ПДн в виде отдельных приказов.

4. Опубликовать политику обработки персданных, пользовательское соглашение, согласия на обработку, рассылку, рекомендательные технологии, публичную оферту (если нужна).

5. Предоставлять форму согласия для ПДн и cookies (если речь идет о сайте).

6. Удостовериться, что ПДн собираются и хранятся на российских серверах. Если баз данных несколько, каждую нужно будет указать в уведомлении.

7. Защитить сайт, сервер и другие места хранения ПДн: установить антивирус и сложный пароль, настроить создание резервных копий и т. д. Бумажные носители ПДн тоже должны храниться безопасно, например в сейфе.

8. Провести инструктаж сотрудников по работе с персональными данными под подпись в журнале отчета.

9. Удостовериться, что вы собираете только необходимые персданные: избыточными считаются любые ПДн, не соответствующие заявленным целям обработки.

10. Собрать с работников согласия об обработке и передаче персональных данных.

Каждое действие по обеспечению сохранности ПДн должно быть задокументировано: РКН может запросить бумаги, чтобы проверить их на соответствие с уведомлением.

Учитывайте, что вы обязаны уведомлять РКН обо всех изменениях в том, как вы обрабатываете ПДн. Следовательно, если вы начали их обрабатывать как-то иначе, чем когда подавали первое уведомление (например, заявляли об обработке ПДн клиентов без трансграничной передачи, а затем начали использовать Google Таблицы), его нужно будет обновить не позднее 15 числа месяца, идущего за месяцем изменений политики. Также нужно сообщить и о прекращении обработки.

◾ Как подать уведомление в РКН

Форма и шаблон для уведомления Роскомнадзора находятся на сайте ведомства. Там же есть инструкция, как выбрать нужный формат заявления и направить его в организацию. Отправить его можно тремя способами:

• В бумажном виде. Заполнить шаблон из пункта 1, распечатать его и отправить в территориальный орган РКН заказным письмом с описью и уведомлением.

• В электронном виде. Заполнить шаблон из пункта 2, подписать его с помощью усиленной квалифицированной электронной подписи и направить онлайн.

• Через Госуслуги. Нажать на кнопку «Подать уведомление (перейти к сервису ЕСИА)» и авторизоваться. Заполнить шаблон и отправить в РКН.

В заявке важно указать максимально подробные и достоверные данные. Роскомнадзор может сравнивать уведомление с реальным положением дел, запрашивать дополнительные документы. После его подачи у ведомства есть 30 дней на рассмотрение, проверку и ответ. По истечении этого времени оно вносит новую запись в реестр операторов.

◾ Если утечка данных уже была, нужно сообщить о ней

С 30 мая 2025 г. также вырастает ответственность за отсутствие уведомления об утечке персональных данных. Сообщить об этом нужно в РКН в течение 24 часов с момента обнаружения утечки с помощью специальной формы на сайте либо отправить уведомление на бумаге по почте.

В уведомлении нужно указать возможную причину утечки, ущерб субъектам ПДн, меры по устранению последствий передачи данных третьим лицам и контакты ответственного за работу с РКН насчет утечки. В течение трех суток необходимо разобраться в ситуации и предоставить в это же ведомство уведомление с результатами расследования.

◾ Как убедиться, что вы не нарушаете законодательство по ПДн

Чтобы удостовериться, что вы соблюдаете требования законодательства по обработке персональных данных, проверьте следующие утверждения:

• Вы состоите в реестре операторов ПДн и назначили ответственного сотрудника.

• У вас есть разработанные правила обработки ПДн, закрепленные локальными актами.

• Ваши сотрудники знают, как работать с ПДн, ознакомлены со всей локальной документацией.

• Персональные данные защищены, находятся на российских серверах.

• Вы провели юридический и технический аудит сайтов и приложений, привели их в соответствие с законом (разместили уведомления об обработке ПДн и согласия, политику конфиденциальности, удалили иностранные сервисы и т. д.).

• Компания следит за изменениями в законодательстве, обновляет локальные документы с их учетом и уведомляет РКН об этом.

Учитывайте, что законы могут быстро меняться. Поэтому важно отслеживать нововведения и адаптировать локальную нормативную базу под них с учетом возможных санкций.

◾ Как не допустить утечек персональных данных в будущем

Защита от утечек ПДн позволит избежать связанных с этим рисков и штрафов. Для повышения безопасности важно подготовить работников, настроить технику и использовать безопасные сервисы, программы и сайты.

• Оставьте доступ к необходимому минимуму ПДн только тем сотрудникам, которым они требуются для выполнения рабочих обязанностей.

• Установите проверенные отечественные антивирусы на рабочие компьютеры. Важно, чтобы все ПО было лицензионным и регулярно обновлялось.

• Обеспечьте шифрование данных на серверах и дисках.

• Обяжите работников устанавливать на рабочие аккаунты сложные пароли или двухфакторную аутентификацию.

• Проведите инструктаж по цифровой безопасности, противодействию мошенникам и возможным интернет-угрозам.

• Отслеживайте алгоритмы взаимодействия сотрудников с персданными и пресекайте нестандартные действия, ведущие к рискам утечки (например, сохранение на Google Диск для удобства удаленной работы или пересылку в мессенджерах).

• Приобретите лицензионные отечественные программы и сервисы для работы.

• Проведите технический аудит сайта и проверьте его на возможные каналы утечки, бэкдоры и другие риски.

• Регулярно обновляйте программное обеспечение — разработчики постоянно дорабатывают безопасность и исправляют ошибки.

Также стоит рассмотреть возможность внедрения полноценной DLP-системы (расшифровывается как Data Loss Prevention, или «Предотвращение потери данных»). Такие системы разработаны для поиска возможных утечек и нарушений в сфере хранения персональной информации. Они показывают действия с данными в режиме реального времени и защищают их от копирования.

◾ Про трансграничную передачу данных

Термин «трансграничная передача данных» подразумевает, что собранные данные каким-либо образом перемещаются на серверы, расположенные за пределами Российской Федерации. В том числе под это определение подпадает использование Telegram или любых сервисов и инструментов Google, включая «Таблицы», «Формы», Analytics и Tag Manager.

РКН пока что не запрещает трансграничную передачу данных как таковую. Он не разрешает осуществлять ее без предварительного уведомления до начала передачи и согласия ведомства. Но с 1 июля 2025 г. в силу вступят поправки, которые запретят применять зарубежные базы для первичного сбора персональных данных, их систематизации, изменения, хранения, накопления, обновления и извлечения информации. То есть нельзя, чтобы ПДн уходили сразу же на зарубежные серверы и обрабатывались там. Нужно сначала собирать персональные данные на российском сервере, а затем передавать их на зарубежный, если нужно.

Эти изменения сделают использование Google Analytics и Google Tag Manager незаконным, поскольку они автоматически обрабатывают ПДн на зарубежных серверах, минуя российские. Поэтому до 1 июля 2025 г. от них нужно избавиться. Придется тщательно вычистить со всех страниц остатки кода, как-то относящиеся к этим и другим зарубежным инструментам. Роскомнадзор в автоматическом режиме ищет нарушения, и если он найдет такие хвосты, то может оштрафовать.

Наказание за трансграничную передачу данных без разрешения ведомства с 30 мая 2025 г. от 60 000 до 100 000 руб. за первое нарушение. Если нарушить закон повторно, то уплатить придется уже от 100 000 руб. до 300 000 руб. Кроме того, государство потребует прекратить трансграничную передачу данных, а в особых случаях даже заблокировать сайт.