С 30 мая 2025 года в России вступают в силу масштабные изменения в Кодекс об административных правонарушениях (КоАП РФ) и Уголовный кодекс. Они касаются ответственности за нарушения законодательства в сфере обработки и защиты персональных данных. Эти меры — часть государственной стратегии по усилению контроля над цифровой безопасностью граждан.
Что изменилось?
Теперь компании, допустившие утечку персональных данных, рискуют не просто штрафами — а оборотными санкциями, зависящими от выручки. Повторная утечка может обойтись в 1–3% годового дохода компании, но не менее 20 миллионов рублей. В случае утечки биометрических или специальных категорий персональных данных минимальный порог штрафа увеличивается до 25 миллионов рублей.
Кроме того, если ранее нарушитель уже привлекался к ответственности, штраф может достичь 500 миллионов рублей.
Впервые на законодательном уровне закреплено определение «утечки» как неправомерной передачи, распространения или получения доступа к персональным данным. При этом большое значение приобретает количество пострадавших:
- от 1 000 до 10 000 субъектов — штраф до 5 млн ₽
- от 10 000 до 100 000 субъектов — до 10 млн ₽
- более 100 000 субъектов — до 15 млн ₽ и выше, с оборотной составляющей
Когда можно рассчитывать на смягчение?
Штраф может быть уменьшен в 10 раз, если:
- компания в течение последних 3 лет инвестировала в информационную безопасность не менее 0,1% от годовой выручки
- использовала лицензированные решения для защиты данных
- имела актуальную документацию по ИСПДн и не допускала отягчающих обстоятельств
Важно: даже при наличии этих факторов штраф не отменяется полностью — он просто уменьшается.
Новые обязанности компаний
Введено понятие «идентификатор» — уникальный цифровой код, привязанный к субъекту персональных данных, и его утечка также влияет на тяжесть ответственности. Кроме того, компании обязаны уведомлять Роскомнадзор не только о начале обработки персональных данных, но и об утечках — в кратчайшие сроки.
Нарушение сроков уведомления может привести к отдельному штрафу — до 3 млн рублей.
Федеральный закон № 421-ФЗ вводит изменения в Уголовный кодекс РФ. За кражу, передачу или хранение персональных данных, полученных незаконным путем, теперь грозит:
- лишение свободы до 10 лет
- штраф до 3 млн рублей
- запрет на профессиональную деятельность до 5 лет
Новые правила делают защиту персональных данных не просто формальностью, а стратегической задачей для любого бизнеса. Компании, которые своевременно адаптируются к требованиям законодательства и выстроят системный подход к информационной безопасности, смогут минимизировать риски, сохранить репутацию и обеспечить устойчивость в условиях усиливающегося государственного контроля.