Новые штрафы при работе с ПДн с 30 мая 2025

Штрафы за нарушение работы с персональными данными с 2025 года: как не нарваться на миллионы

Российское законодательство о персональных данных перестало быть «бумажным тигром». С 30 мая 2025 года штрафы за нарушения увеличились в разы — теперь за утечку биометрических данных можно получить до 20 миллионов рублей. Многие компании, ИП и даже бухгалтеры до сих пор не осознают: работа с персональными данными касается практически всех, кто ведёт бизнес или обрабатывает информацию о физлицах. В этом материале мы разберём новые штрафы, покажем, кто попадает под действие закона, и дадим практические рекомендации — от уведомления Роскомнадзора до работы с требованиями ФНС.

Что изменилось в 2025 году?

С 30 мая 2025 года начал действовать Федеральный закон № 420-ФЗ от 30.11.2024, который кардинально ужесточил административную ответственность за нарушения в сфере персональных данных. Одновременно с 11 декабря 2024 года действует статья 272.1 УК РФ, вводящая уголовную ответственность за незаконное использование компьютерной информации с персональными данными.

Ключевые изменения:

• Штрафы для организаций и ИП выросли с максимальных 75 тысяч до 20 миллионов рублей
• Введены градированные штрафы в зависимости от количества пострадавших (от 1 тысячи до 100+ тысяч человек)
• Особо жёсткие санкции за утечку биометрических данных
• Многократное увеличение штрафов за неуведомление Роскомнадзора
• Появление уголовной ответственности с лишением свободы до 6 лет

Почему это касается не только юристов? Потому что оператором персданных может стать любой, кто собирает даже базовую информацию о клиентах — от владельца интернет-магазина до HR-менеджера, ведущего картотеку сотрудников. Бухгалтеры тоже в зоне риска: обработка данных работников, контрагентов, ведение кадровой отчётности — всё это подпадает под действие закона.

Кто обязан соблюдать закон о персональных данных

Термин «оператор персональных данных» звучит солидно, но на практике охватывает практически всех, кто работает с информацией о физлицах. Согласно закону № 152-ФЗ, оператором считается любое лицо, которое определяет цели и содержание обработки перс.данных — от сбора до уничтожения.

Под действие закона попадают:

• Все организации и ИП с наёмными работниками
• Владельцы сайтов с формами обратной связи, регистрации, заказов
• Интернет-магазины, использующие CRM-системы
• Онлайн-школы, курсы, образовательные платформы
• Медицинские клиники, салоны красоты, фитнес-центры
• Гостиницы и объекты размещения
• Субъекты критической информационной инфраструктуры
• Государственные и муниципальные учреждения

Примеры операторов: не только юрлица

Классический пример заблуждения: «У нас ООО на три человека, какие тут персданные?» На самом деле даже микробизнес часто работает с большими объёмами информации:

• Консультант-эксперт собирает контакты через мессенджеры и соцсети для проведения вебинаров
• Фрилансер в сфере маркетинга ведёт базы клиентов в Excel или Google Sheets
• Блогер с 10+ тысячами подписчиков использует email-рассылки и аналитику соцсетей
• HR-менеджер обрабатывает резюме кандидатов, даже если компания их не наняла
• Владелец интернет-магазина хранит данные покупателей для повторных заказов

Наш опыт показывает: большинство предпринимателей не осознают, что стали операторами персданных в момент запуска первой рекламной кампании или создания корпоративного сайта с формой «Свяжитесь с нами».

Какие персональные данные считаются чувствительными

Не все персональные данные одинаково «опасны» с точки зрения штрафов. Закон выделяет несколько категорий, каждая из которых требует особого подхода к обработке и защите.

Ключевой момент: биометрические данные попали под особо жёсткий контроль. Если раньше фотография сотрудника в корпоративной базе воспринималась как техническая деталь, то теперь её утечка может стоить компании до 20 миллионов рублей.

Интересная деталь: видеозаписи с камер наблюдения, где можно идентифицировать лица, тоже относятся к биометрии. Это означает, что даже небольшой магазин с системой видеонаблюдения обязан соблюдать усиленные требования безопасности.

Обязанности оператора персональных данных

Стать оператором перс. данных — это не только риски, но и конкретные обязательства перед государством и субъектами данных. Вот чек-лист основных требований, которые должен выполнить каждый, кто работает с персональной информацией:

☑️ Уведомить Роскомнадзор о начале обработки ПД

• Подать уведомление до начала работы с данными
• Указать цели обработки, категории данных, сроки хранения
• Обновлять сведения при изменении условий обработки

☑️ Назначить ответственного за обработку персональных данных

• Издать приказ о назначении ответственного лица
• Обеспечить его обучение требованиям законодательства
• Наделить полномочиями для контроля соблюдения требований

☑️ Разработать внутренние документы

• Политику обработки персональных данных
• Положение об обработке ПД или иной локальный нормативный акт
• Регламенты обеспечения безопасности

☑️ Получить согласие субъектов данных

• Собрать письменное согласие на обработку (для каждой цели — отдельное)
• Обеспечить возможность отзыва согласия
• Уведомлять об изменениях в обработке данных

☑️ Обеспечить техническую и организационную защиту

• Ограничить доступ к данным по принципу «необходимо знать»
• Использовать средства защиты информации
• Вести журналы доступа к перс. данным
• Регулярно создавать резервные копии

Согласно нашим наблюдениям, больше всего ошибок совершают на этапе получения согласий: многие до сих пор считают, что одного «общего» согласия достаточно для всех видов обработки. Новые штрафы делают такую небрежность крайне дорогостоящей.

Новые штрафы с 30 мая 2025: таблица по видам нарушений

Размеры новых штрафов впечатляют даже по меркам налогового законодательства. Государство применило дифференцированный подход: чем серьёзнее нарушение и больше пострадавших, тем жёстче наказание.

За неуведомление Роскомнадзора

За утечку данных (по количеству пострадавших)

От 1 000 до 10 000 человек:

• Физлица: 100 000 – 200 000 руб.
• Должностные лица: 200 000 – 400 000 руб.
• ИП и организации: 3 – 5 млн руб.

От 10 000 до 100 000 человек:

• Физлица: 200 000 – 300 000 руб.
• Должностные лица: 300 000 – 500 000 руб.
• ИП и организации: 5 – 10 млн руб.

Свыше 100 000 человек:

• Физлица: 300 000 – 400 000 руб.
• Должностные лица: 400 000 – 600 000 руб.
• ИП и организации: 10 – 15 млн руб.

За утечку биометрических данных

Отдельная «элитная» категория нарушений с максимальными штрафами:

• Физлица: 400 000 – 500 000 руб.
• Должностные лица: 1,3 – 1,5 млн руб.
• ИП и организации: 15 – 20 млн руб.

Повторные нарушения

За повторную передачу персданных без законных оснований для ИП и организаций применяется особая формула: 1-3% от совокупной выручки за предшествующий год. Минимум для повторной утечки биометрии — 25 млн руб., максимум — 500 млн руб.

Уголовная ответственность

С декабря 2024 года за незаконное использование компьютерной информации с персональными данными грозит:

• Штраф до 300 000 руб. или лишение свободы до 4 лет
• За данные несовершеннолетних или биометрию: до 700 000 руб. штрафа или до 5 лет лишения свободы
• При корыстных мотивах или крупном ущербе: до 1 млн руб. штрафа или до 6 лет тюрьмы

Логика законодателя понятна: персданные превратились в цифровое золото, а их защита — в вопрос национальной безопасности. Интересно, что штрафы для физлиц выросли относительно меньше — видимо, предполагается, что основная ответственность лежит на бизнесе.

Как правильно уведомлять Роскомнадзор

Уведомление Роскомнадзора — это не формальность, а юридическая процедура, от которой зависит легальность всей дальнейшей работы с персональными данными. Разберём два ключевых сценария.

Уведомление перед началом обработки

Когда подавать: До начала любых действий с персональными данными. Получили первый email от клиента? Значит, уведомление уже должно быть в Роскомнадзоре.

Как подать:

1. Через сайт Роскомнадзора — заполните рекомендованную форму в личном кабинете
2. Через портал Госуслуги — раздел «Электронные услуги для бизнеса»
3. Почтой — направить бумажное уведомление в территориальный орган РКН

Что указать в уведомлении:

• Категории персданных (общие, биометрические, финансовые)
• Цели обработки (продажи, реклама, кадровое делопроизводство)
• Действия с данными (сбор, систематизация, хранение, передача)
• Сроки обработки и хранения
• Способы получения данных

Важный нюанс: в течение 30 дней РКН внесёт вашу организацию в реестр операторов персданных. Только после этого обработка станет полностью законной.

Уведомление об утечке: в течение 24 и 72 часов

При обнаружении утечки действует «правило двух уведомлений»:

Первое уведомление (в течение 24 часов):

• Краткое сообщение о факте инцидента в свободной форме
• Можно направить через личный кабинет на сайте РКН или по email
• Цель — зафиксировать, что вы знаете о проблеме и работаете над её устранением

Второе уведомление (в течение 72 часов):

• Подробный отчёт о результатах внутреннего расследования
• Количество пострадавших субъектов данных
• Причины инцидента и принятые меры
• План по предотвращению повторных утечек

Практический совет: создайте шаблоны уведомлений заранее. В стрессовой ситуации утечки времени на юридические формулировки не будет, а штраф за несвоевременное уведомление может достичь 3 миллионов рублей.

Что делать при получении требования от ФНС

Работа с персональными данными неразрывно связана с налоговой отчётностью — ведь большинство операторов ведут учёт сотрудников, подрядчиков и клиентов. При получении требования от ФНС важно действовать системно и в установленные сроки.

Настройка уведомлений и прием требований

Первый шаг — обеспечьте технический приём документов:

1. Отправьте в ИФНС любой отчёт или корректировку через систему ЭДО (например, Контур.Экстерн)
2. Альтернативно — направьте уведомление о получателе документов, указав сертификаты для шифрования

Настройте уведомления для контроля:

• Установите мобильное приложение для получения push-уведомлений
• Активируйте SMS и email-уведомления о поступлении требований
• Настройте уведомления о приближении сроков ответа

Назначение ответственных

В системах ЭДО можно разделить обязанности между сотрудниками:

• Главный бухгалтер — контролирует поступление и сроки
• Специалист по кадрам — готовит документы по персданным сотрудников
• Юрист/секретарь — отправляет квитанции и формальные ответы

Для этого подключите многопользовательский режим и назначьте роли через раздел «Управление доступом».

Подготовка ответа

Алгоритм работы с требованием:

1. Откройте требование в разделе «ФНС» → «Все требования»
2. Проанализируйте вид требования — о представлении документов, пояснений или уплате задолженности
3. Проверьте сроки — система автоматически определит дедлайны
4. Подготовьте ответ:
   • Для документов: загрузите файлы через кнопку «Ответить на требование»
   • Для пояснений: создайте формализованный ответ
   • Для платежей: сформируйте платёжное поручение с автозаполнением реквизитов

Контроль сроков и статусов

Ключевые временные рамки:

• 6 рабочих дней на отправку квитанции о получении (иначе могут заблокировать счета)
• Срок ответа определяется индивидуально для каждого требования

Инструменты контроля:

• Раздел «Задачи бухгалтера» покажет все требования с приближающимися дедлайнами
• Фильтр «Квитанция не отправлена» поможет найти требования без подтверждения получения
• «Таблица требований» даёт расширенные возможности массовой обработки

Автоматизация процесса: Включите автоматическую отправку квитанций — система отправит подтверждение на шестой рабочий день в 6:00 МСК. Это сохранит максимальное время для подготовки ответа, но потребует хотя бы однократного открытия требования до этого срока.

Помните: несвоевременная реакция на требования ФНС может повлечь блокировку счетов, что критично при работе с персональными данными — ведь за задержку зарплаты тоже предусмотрены штрафы.

Как минимизировать риски: рекомендации бизнесу

Многомиллионные штрафы — это реальность, но избежать их вполне возможно при системном подходе к защите персональных данных. Мы собрали проверенные на практике рекомендации.

Проведите аудит персональных данных 

Составьте карту всех процессов, где используются персданные: от HR-процедур до маркетинговых кампаний. Часто компании даже не подозревают, сколько точек сбора данных у них есть — корпоративный сайт, CRM, email-рассылки, системы видеонаблюдения, пропускные системы.

Внедрите внутренний регламент 

Разработайте четкие процедуры работы с персональными данными: кто имеет доступ, как долго хранить, когда уничтожать, как реагировать на запросы субъектов данных. Особое внимание — процедуре реагирования на инциденты: у вас есть всего 24 часа на первое уведомление Роскомнадзора.

Обучите сотрудников 

Согласно экспертным оценкам, до 80% утечек происходят из-за человеческого фактора. Проводите регулярные тренинги, создайте памятки по работе с персональными данными, внедрите систему отчётности об инцидентах без наказаний — важно, чтобы сотрудники не боялись сообщать о проблемах.

Используйте защищённые каналы передачи данных 

Откажитесь от передачи персональных данных через обычную электронную почту и мессенджеры. Используйте корпоративные системы с шифрованием, VPN-соединения, системы электронного документооборота с квалифицированной электронной подписью.

Регулярно проводите аудиты безопасности 

Не реже раза в год привлекайте внешних экспертов для проверки систем защиты. Технологии развиваются быстро, и то, что было безопасно год назад, сегодня может оказаться уязвимым местом.

Как отмечает Надежда Запольских, эксперт Контур.Эгиды: «В большинстве случаев утечки происходят из-за человеческого фактора. Избежать этого поможет комплексная защита данных. Компаниям стоит анализировать риски, прописать сценарии реагирования на инциденты, проводить аудиты безопасности».

Часто задаваемые вопросы

Надо ли уведомлять РКН, если у меня нет сайта? Да, если вы обрабатываете персданные любым способом — ведёте кадровый учёт, собираете контакты клиентов через мессенджеры, храните базу поставщиков. Наличие сайта не является обязательным условием для статуса оператора.

Можно ли обрабатывать персданные без согласия? Согласие — лишь одно из законных оснований. Персданные можно обрабатывать для исполнения договора (данные покупателя для доставки товара), соблюдения закона (кадровая отчётность), защиты жизненно важных интересов (медицинская помощь) и в других случаях, предусмотренных ст. 6 закона № 152-ФЗ.

Что грозит за ошибку бухгалтера при работе с персональными данными? Ответственность несёт работодатель как оператор персданных. Но бухгалтер может попасть под штраф как должностное лицо (до 1,5 млн руб. за утечку биометрии) или даже под уголовную ответственность при умышленных действиях.

Нужно ли хранить согласие в бумажном виде? Нет, согласие может быть электронным. Главное — обеспечить возможность доказать факт его получения. Подойдут записи в CRM, скриншоты с отметками времени, email-переписка с клиентом.

Распространяется ли закон на самозанятых? Да, если самозанятый обрабатывает персданные в рамках своей деятельности. Например, репетитор, ведущий записи о своих учениках, или дизайнер, собирающий портфолио с фотографиями клиентов.

Заключение

Новые штрафы за персональные данные — это не временная кампания, а долгосрочный тренд на усиление контроля за цифровой информацией. Штрафы до 20 миллионов рублей и уголовная ответственность до 6 лет лишения свободы делают соблюдение требований не вопросом выбора, а необходимостью выживания бизнеса.

Ключевые выводы для практического применения: любая организация или ИП, работающие с персональными данными, должны до начала деятельности уведомить Роскомнадзор, получить согласия субъектов данных, назначить ответственного и внедрить процедуры защиты информации. Особое внимание — биометрическим данным и системам видеонаблюдения.

Игнорирование новых требований может привести не только к разорительным штрафам, но и к уголовным делам в отношении руководителей компаний. При этом большинство нарушений можно предотвратить системной работой и привлечением квалифицированных консультантов.

Если у вас нет внутренних ресурсов для аудита персданных — доверьте эту задачу специализированным RegTech-платформам или юридическим фирмам с опытом работы в сфере информационного права. Стоимость консультаций несопоставима с размерами новых штрафов.