Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Новые штрафы по ФЗ-420 с мая 2025 года: от 3 до 500 млн рублей для организаций, уголовная ответственность для руководителей. Таблица санкций, примеры расчёта риска, что проверяет РКН.
Заголовок H2
Заголовок H3
Заголовок H4
Book design is the art of incorporating the content, style, format, design, and sequence of the various components of a book into a coherent whole. In the words of Jan Tschichold, "Methods and rules that cannot be improved upon have been developed over centuries. To produce perfect books, these rules must be revived and applied." The front matter, or preliminaries, is the first section of a book and typically has the fewest pages.
Цитата
Это текст врезки
Что изменилось с принятием ФЗ-420
До мая 2025 года штрафы за нарушения при обработке персональных данных были, мягко говоря, необременительными: максимум несколько сотен тысяч рублей для юридического лица. Многие компании фактически закладывали их в бюджет как приемлемый риск.
С вступлением в силу ФЗ-420 арифметика изменилась. Новые штрафы за утечку персональных данных начинаются от 3 млн рублей и доходят до 500 млн. Для должностных лиц введена уголовная ответственность — вплоть до 10 лет лишения свободы. Закон распространяется на всех операторов персональных данных без исключений по размеру или отрасли.
Под определение «оператора» попадает практически любой бизнес. Магазин, собирающий email-адреса клиентов, — оператор. Работодатель, хранящий копии паспортов сотрудников, — оператор. Медклиника с историями болезней — тем более.
Параллельно изменился подход РКН к правоприменению. В 2025 году ведомство резко нарастило число проверок после нескольких крупных публичных инцидентов. Регулятор всё реже ограничивается предписаниями и всё чаще выписывает штрафы по максимальной ставке.
Таблица штрафов за утечку персональных данных (2025)
Актуальные санкции по статье 13.11 КоАП с учётом изменений ФЗ-420:
Спецкатегории персональных данных — это сведения о здоровье, расе и национальности, политических взглядах, религиозных убеждениях, судимости. Для медицинских организаций, HR-систем с расширенными анкетами и операторов биометрии нижняя планка штрафа составляет 15 млн рублей независимо от объёма утечки.
[CTA-блок после таблицы]
Узнайте, насколько ваша компания защищена → Бесплатная экспресс-консультация
Уголовная ответственность за утечку данных
Статья 272.1 УК РФ, введённая ФЗ-420, устанавливает уголовную ответственность за незаконные сбор, распространение или передачу персональных данных.
Формально уголовное дело возбуждается при наличии умысла. На практике граница между умыслом и халатностью трактуется широко — особенно когда выясняется, что компания не приняла никаких мер по защите данных.
Санкции зависят от тяжести нарушения:
- штраф до 700 тыс. рублей или лишение свободы до 4 лет — за базовое нарушение;
- до 10 лет лишения свободы — если утечка причинила крупный ущерб или затронула более 100 000 человек;
- запрет занимать определённые должности — для должностных лиц в любом случае.
Для руководителя это означает прямой личный риск. Нет назначенного ответственного за ПДн, нет актуальной политики обработки, нет технических мер защиты — при расследовании эти факты интерпретируются не в пользу менеджмента.
Как рассчитать реальный риск для вашей компании
Размер штрафа за нарушение 152-ФЗ зависит от двух переменных: объём базы и категория данных.
Интернет-магазин с базой 50 000 клиентов (имя, телефон, email, адрес доставки). При утечке всей базы штраф составит от 10 до 15 млн рублей — при первичном нарушении. Если прецедент уже был — до 500 млн. При этом причиной может быть уязвимость в CMS или несвоевременное обновление плагина: умысел тут вовсе не нужен.
Медицинская клиника с историями болезней. Диагнозы — это спецкатегории ПДн. Штраф при любом масштабе утечки начинается от 15 млн рублей. Уголовная ответственность главврача в такой ситуации — не абстракция.
Компания с HR-системой, хранящей номера паспортов, ИНН и сведения о здоровье для расчёта больничных. Данные о здоровье — тоже спецкатегории. 300 сотрудников в базе означают потенциальный штраф от 3 до 5 млн рублей. Плюс обязательное уведомление РКН в течение 24 часов после обнаружения инцидента.
Штраф — не единственная статья расходов.
К нему добавляются юридическое сопровождение, устранение технических последствий, уведомление субъектов ПДн и неизбежный репутационный ущерб. Полная стоимость инцидента обычно кратно превышает сумму административного штрафа.
Что проверяет РКН при расследовании утечки
При расследовании инцидента Роскомнадзор работает по стандартному чеклисту.
Уведомление об утечке. С мая 2025 года оператор обязан сообщить об инциденте в течение 24 часов. Пропуск срока — отдельный состав правонарушения. Форма подаётся через ГОССОПКА или портал РКН.
Документация. Инспектор запросит политику обработки ПДн, приказы о назначении ответственных, реестр информационных систем, образцы согласий субъектов. Каждый отсутствующий документ — дополнительный штраф по КоАП.
Технические меры защиты. Проверяются шифрование, контроль доступа к базам данных, журналы аудита, резервное копирование, антивирусная защита. К проверкам всё чаще привлекают технических экспертов ФСТЭК.
Соответствие информационных систем классу защиты. ИСПДн должны соответствовать уровням защищённости УЗ-1 — УЗ-4 по приказу ФСТЭК №21. Если система не классифицирована или не аттестована — штраф практически гарантирован.
Уведомление субъектов ПДн. Оператор обязан уведомить пострадавших в течение 72 часов. Задержка или отсутствие уведомления — самостоятельное нарушение.
Что делать прямо сейчас
Закон действует с мая 2025 года. Проверки идут.
Проверьте документацию. Политика обработки персональных данных должна отражать реальные процессы в компании, а не быть шаблоном из интернета. Если документ существует, но написан два года назад и в нём фигурирует другое название или юридический адрес — при проверке это не считается. РКН требует актуальный документ, соответствующий фактической деятельности.
Назначьте ответственного за ПДн. Закон не требует штатного специалиста — функцию можно передать на аутсорсинг. Но в организации должна быть конкретная фамилия, зафиксированная приказом. «Ответственны все» при проверке не работает.
Составьте реестр информационных систем. Перечислите все системы, где хранятся персональные данные: CRM, 1С, почтовый сервер, Google Таблицы с базой клиентов. Для каждой системы определите класс защищённости. Если системы не классифицированы — это нарушение, которое легко устранить до проверки.
Подключите мониторинг инцидентов. Уведомить РКН за 24 часа возможно, только если вы сами узнали об утечке достаточно быстро. Без системы мониторинга это нереально. Минимум: логирование доступа к базам данных и алерты на аномальную активность.
Проверьте договоры с подрядчиками. Если вы передаёте данные клиентов CRM-сервису, колл-центру или маркетинговому агентству — вы остаётесь оператором. Ответственность за их действия при утечке лежит на вас. В договорах должны быть пункты об условиях обработки ПДн.
[CTA-блок в конце раздела]
Закажите аудит ПДн — выявим риски до того, как их найдёт РКН →
Часто задаваемые вопросы
Распространяется ли ФЗ-420 на малый бизнес?
Да. Ограничений по размеру компании нет. ИП с базой клиентов в 2 000 контактов — это оператор персональных данных. Штрафы для ИП и небольших ООО ниже, чем для крупных юрлиц, но это всё равно миллионы рублей.
Что считается «утечкой» по закону?
Утечка — любое несанкционированное получение доступа к персональным данным третьими лицами. Взлом сервера, отправка базы не тому адресату, кража ноутбука сотрудника, случайная публикация данных на открытом ресурсе — всё это утечка.
Нужно ли уведомлять самих субъектов ПДн?
Да, в течение 72 часов после обнаружения инцидента. Уведомление должно содержать описание произошедшего, перечень затронутых данных и контакты для обратной связи. Форма произвольная, но факт отправки нужно задокументировать.
Можно ли избежать штрафа, если утечка произошла у подрядчика?
Сложно. Оператор несёт ответственность за данные, переданные третьим лицам, если только не докажет, что принял все разумные меры: заключил договор с условиями об обработке ПДн, провёл проверку контрагента, организовал контроль. На практике таких аргументов обычно недостаточно.
Штраф за утечку данных одного сотрудника — это сколько?
Формально утечка 1 записи подпадает под нижнюю планку: от 3 млн рублей для юридического лица. Но РКН при мелких инцидентах чаще выносит предписание, чем штраф — если компания уведомила вовремя и устраняет нарушения.
Что вообще такое трансграничная передача?
Заголовок H3
Заголовок H4
Трансграничной передачей считается любая передача персональных данных на территорию другого государства иностранному лицу. При этом даже не обязательно «передавать», достаточно предоставить доступ.
Цитата
Это текст врезки
Что вообще такое трансграничная передача?
Трансграничной передачей считается любая передача персональных данных на территорию другого государства иностранному лицу. При этом даже не обязательно «передавать», достаточно предоставить доступ.
То есть: если человек, подрядчик, система или сервер находятся за пределами России и могут получить доступ к персональным данным — это трансграничная передача.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Материалы по теме