Найти в Дзене
OrLove🦅
43 подписчика

ПДн под защитой: Новые штрафы, новые правила, новые решения

11
5 мин
С 30 мая 2025 года в России вступили в силу беспрецедентные штрафы за нарушения в работе с персональными данными (ПДн). За повторную утечку компаниям теперь грозят оборотные штрафы до 3% годовой выручки (минимум — 25 млн ₽, максимум — 500 млн ₽), а за сокрытие инцидента — до 3 млн ₽ 138. Почему регулятор пошел на ужесточение и как бизнесу адаптироваться? 🔍 Ретроспектива: От формальностей — к реальной ответственности До 2025 года система регулирования ПДн в России (основанная на законе 152-ФЗ) была сравнительно мягкой: Цель новых правил — заставить компании инвестировать в защиту данных как в стратегический актив, а не выполнять требования «для галочки» . По данным Роскомнадзора, только за январь–май 2025 года в РФ зафиксировано 30 утечек, скомпрометировавших 38 млн строк данных. ⚖️ Что изменилось с 30 мая: Главные нововведения 1. Фиксированные штрафы за первичные нарушения Размер зависит от объема утекших данных 2. Оборотные штрафы за повторные утечки 3. Жестче санкции за бюрократичес
Авандонк.Согласия Что изменилось 30 мая 2025?
Авандонк.Согласия Что изменилось 30 мая 2025?

С 30 мая 2025 года в России вступили в силу беспрецедентные штрафы за нарушения в работе с персональными данными (ПДн). За повторную утечку компаниям теперь грозят оборотные штрафы до 3% годовой выручки (минимум — 25 млн ₽, максимум — 500 млн ₽), а за сокрытие инцидента — до 3 млн ₽ 138. Почему регулятор пошел на ужесточение и как бизнесу адаптироваться?

🔍 Ретроспектива: От формальностей — к реальной ответственности

До 2025 года система регулирования ПДн в России (основанная на законе 152-ФЗ) была сравнительно мягкой:

  • Максимальный штраф для юрлиц не превышал 700 тыс. ₽ даже за массовые утечки 28;
  • Уведомление Роскомнадзора об обработке данных часто игнорировалось (штраф — всего 3–5 тыс. ₽) 8;
  • Отсутствовала градация нарушений по масштабу ущерба: утечка 100 номеров телефонов и 1 млн биометрических записей каралась одинаково.

Цель новых правил — заставить компании инвестировать в защиту данных как в стратегический актив, а не выполнять требования «для галочки» . По данным Роскомнадзора, только за январь–май 2025 года в РФ зафиксировано 30 утечек, скомпрометировавших 38 млн строк данных.

⚖️ Что изменилось с 30 мая: Главные нововведения

1. Фиксированные штрафы за первичные нарушения

Размер зависит от объема утекших данных

Штрафы с 30 мая 2025
Штрафы с 30 мая 2025

2. Оборотные штрафы за повторные утечки

  • 1–3% годовой выручки (для банков — % от размера собственных средств);
  • Минимум: 20–25 млн ₽ (за обычные и биометрические данные соответственно);
  • Максимум: 500 млн ₽ 389.

3. Жестче санкции за бюрократические нарушения

  • Неуведомление РКН о начале обработки ПДн: 100–300 тыс. ₽;
  • Сокрытие факта утечки: 1–3 млн ₽.

Ключевой сигнал регулятора: Теперь важна не только профилактика утечек, но и прозрачность при их возникновении. Уведомить Роскомнадзор нужно в течение 24 часов после обнаружения инцидента.

🛡 Что хочет регулятор: Требования к компаниям в 2025 году

Роскомнадзор акцентирует, что бизнес должен:

  1. Легализовать все процессы с ПДн через регистрацию в реестре операторов (до 30 мая 2025 года подано 321 тыс. уведомлений — в 100 раз больше обычного);
  2. Внедрить систему защиты данных, а не «латать дыры» постфактум;
  3. Создать регламенты реагирования на утечки — от расследования до уведомления регулятора и клиентов .

«Оборотные штрафы — это логика пропорциональности ущербу. Компании начнут инвестировать в кибербезопасность не по остаточному принципу», — отмечает сенатор Артем Шейкин.

🧼 Гигиенический минимум: 5 шагов для защиты бизнеса

Чтобы снизить риски до приемлемого уровня, компаниям достаточно:

1. Зарегистрироваться как оператор ПДн

  • Подать уведомление в Роскомнадзор через сайт ведомства или Госуслуги;
  • Обновлять данные при изменении целей/способов обработки.

2. Провести аудит процессов работы с данными

  • Выявить, какие ПДн собираются, где хранятся, кто имеет к ним доступ;
  • Сверить практику с требованиями 152-ФЗ и приказов ФСТЭК/РКН.

3. Назначить ответственного за защиту ПДн

Его обязанности: контроль соблюдения закона, обучение сотрудников, работа с запросами граждан.

4. Разработать регламент реагирования на утечки

  • Фиксация инцидента (логи, скриншоты);
  • Расследование (72 часа);
  • Уведомление РКН в первые 24 часа.

5. Пересмотреть отношения с подрядчиками

  • Если данные передаются в CRM, колл-трекинговые системы и т.д., это должно регулироваться договором с гарантиями защиты.

Пример: После объявления о штрафах «Билайн» публично подтвердил наличие «современных технологий шифрования и регулярных аудитов безопасности» 2. Для малого бизнеса Роскомнадзор советует использовать облачные сервисы крупных провайдеров с сертифицированной защитой.

Более подробный чек-лист смотрите тут

⚠️ Почему бумажных согласий недостаточно в 2025 году?

Автоматизация — не «удобство», а единственный способ избежать катастрофы. С 30 мая штрафы за нарушения в работе с ПДн сотрудников достигли 3% годовой выручки (мин. 25 млн ₽). Бумажные согласия и ручное управление — это:

  • Потеря контроля: Физические документы теряются, сроки их действия невозможно отслеживать в реальном времени.
  • Нулевая прозрачность: При проверке Роскомнадзора вы не сможете мгновенно предоставить историю согласий/отзывов.
  • Сокрытие = штраф: Не уведомили регулятора об утечке за 24 часа? Готовьте 3 млн ₽.

Репутационный ад: Утечка данных сотрудников разрушает доверие и бренд работодателя.

🛡 Авандок.Согласия: Как решение закрывает риски

(На основе функционала платформы данных сотрудников Авандок.EDP)

Соответствие с 152-ФЗ и новыми штрафами

  • Настройка автоматического уведомления РКН об истечении срока согласий или отзыве — без участия HR.
  • Цифровой аудит за 1 клик: Готовая отчетность для проверяющих по ст. 13.11 КоАП.
  • Шаблоны согласий с юрсилой: Учтены все требования к ПДн (цели обработки, сроки, биометрия).

🔄 Ликвидация «ручного труда» HR и юристов

  • Сокращение времени на процессы до 80%:

- Массовая рассылка запросов на подписание.

- Интеграция с 1С, СБИС, CRM (данные сотрудников синхронизируются автоматически).

  • ИИ-помощник:

- Распознает бумажные согласия через OCR и загружает в систему.

- Контролирует сроки действия, отправляет уведомления в Telegram.

🚨 Защита от оборотных штрафов (1-3% выручки)

  • Централизованное хранилище: Все подписи, отзывы согласий, истории изменений — в защищенном реестре.
  • Трекинг в реальном времени: Карта рисков по отозванным согласиям или истекающим срокам.
  • Ролевая модель доступа: Разделение прав (HR, юристы, СБ) + криптозащита данных.

Новые требования регулятора — не просто жесткие меры, а долгожданный шаг к цифровой зрелости. Рост штрафов до 3% выручки — это ответ на реальные угрозы: только за 2025 год в России зафиксировано 38 млн утекших записей персональных данных. Такие правила создают справедливую экосистему, где защита приватности становится конкурентным преимуществом, а не формальностью.

Компании, которые уже внедрили автоматизированные решения, отмечают двойной эффект:

  • Снижение рисков штрафов и рост лояльности клиентов и сотрудников за счет прозрачности;
  • Оптимизация процессов при одновременном укреплении репутации.

Регулятор не карает — он задает новые стандарты цифровой этики. Это история не об ограничениях, а о возможностях: бизнес, инвестирующий в защиту данных сегодня, завтра получит доверие рынка, сократит издержки на кризисы и построит устойчивое будущее. Жесткие рамки — лишь катализатор для перехода от эпохи бумажного соблюдения нормативов к эре технологической ответственности.

Суть изменений — не в страхе перед штрафами, а в создании культуры безопасного цифрового пространства для всех. Это сложный, но необходимый этап — и те, кто его пройдут первыми, станут лидерами завтрашнего дня.

Елена Орлова

#персданные #штрафы #согласие #152ФЗ #ПерсональныеДанные #Роскомнадзор #ФСТЭК #ИнформационнаяБезопасность #Compliance #ЧекЛист #Штрафы #ЗащитаДанных #Юристы #IT #Авандок

Изменения в законодательстве
19,4 тыс интересуются