С конца мая 2025 года в России внесены поправки в КоАП РФ и УК РФ, связанные с ужесточением ответственности за нарушение правил работы с персональными данными. Теперь за неправомерные действия с персональными данными могут не только оштрафовать, но и привлечь к уголовной ответственности руководство компании.
К персональным данным относится любая информация, которая прямо или косвенно позволяет идентифицировать физическое лицо, включая:
- ФИО, паспортные сведения
- контактную информацию: телефон, адрес
- профессиональные сведения: место работы, должность
- специальные категории данных: биометрия, здоровье, судимости
- цифровые идентификаторы (IP-адрес).
Многие компании до сих пор не знают о новых требованиях или откладывают их выполнение. Успели ли вы адаптироваться?
Самые важные изменения
✔ Обязательное уведомление РКН – Теперь сообщать о работе с перс. данными должны даже ИП и малый бизнес. Раньше для них были исключения.
✔ Ограничение сроков хранения – Данные нельзя хранить дольше, чем требуется для заявленных целей.
✔ Рост штрафов – Теперь за неисполнение новых правил можно получить штраф до 500 млн. руб.
Что должен знать бизнес о работе с персональными данными в 2025 году
🔴 Административная ответственность (КоАП РФ):
- Штрафы за нарушения правил обработки: от 150 до 700 тыс. руб. для юр. лиц, от 50 до 300 тыс.руб. для должностных лиц.
Штраф применим, если сотрудник кадровой службы сделал копию свидетельства о заключении брака, чтобы оформить выплаты сотруднику, но не взял на это письменного согласия.
Повторные нарушения правил обработки: до 1,5 млн. руб.
- Штрафы за утечку перс. данных (в зависимости от количества пострадавших): от 3 до 15 млн. руб. для юр. лиц, от 200 до 600 тыс. руб. для руководителей
Например, если произошла утечка данных от 1 000 до 10 000 сотрудников, то организации придётся заплатить до 5 млн.руб.
Повторные нарушения, связанные с утечкой перс. данных: до 3% годового оборота
- Штрафы за утечку биометрии: от 15 до 20 млн. руб. для юр. лиц, от 1,3 до 1,5 млн. руб. для руководителей
Например, если в финансовой организации произошла утечка биометрических данных, таких как отпечатки пальцев или фотографии радужки глаз клиентов
Повторные нарушения, связанные с утечкой биометрии: от 25 до 500 млн. руб.
- Отсутствие уведомления Роскомнадзора о начале обработки: от 100 до 300 тыс. руб. для юр. лиц, от 30 до 50 тыс. руб. для руководителей.
Если организация собирает номера телефонов и ФИО посетителей сайта, она обязана уведомить Роскомнадзор о намерении собирать и хранить эти данные. В противном случае её ждёт штраф.
Уведомление можно подать на сайте РКН.
- Отсутствие уведомления Роскомнадзора об утечке/о неправомерной передаче данных в течение суток: от 1 до 3 млн. руб. для юр. лиц, от 400 до 800 тыс. руб. для руководителей
Например, директор узнал, что менеджер по продажам скачал архив клиентских данных с целью передачи его третьим лицам.
Уведомить Роскомнадзор можно так же, на сайте, в разделе «Инциденты (утечки ПД)».
🔴 Уголовная ответственность (УК РФ):
- Ст. 137: до 5 лет за систематические нарушения. Статья 137 УК РФ запрещает сбор, распространение или использование личных данных без согласия человека или за разглашение тайны переписки, телефонных разговоров, сообщений.
То есть, если кто-то выложил в сеть фото- и видеоматериалы человека без разрешения — он совершил правонарушение. Так в Ростове-на-Дону завели уголовное дело за нарушение неприкосновенности частной жизни гражданина.
- Ст. 272: до 7 лет за неправомерный доступ к данным. Статья 272 УК РФ запрещает взлом, несанкционированный доступ к данным, хранящимся на компьютерах, серверах или в электронных системах (например, переписка, базы данных, личные файлы).
Соответственно, если хакер осуществил взлом данных с Госуслуг и продал их, то такое нарушение попадает под статьи 272 и 137.1 и ему грозит до 7 лет лишения свободы.
Кто пострадает, а кто выиграет?
В зоне риска:
🔴 Малый бизнес (салоны красоты, онлайн-магазины) – многие до сих пор не знают о новых правилах.
🔴 Стартапы – нет ресурсов на дорогие системы защиты.
Кому новые правила выгодны:
🟢 Юридические компании – спрос на комплаенс услуги резко вырос.
🟢 IT-разработчики – бизнес активнее покупает системы шифрования.
🟢 Крупные корпорации – у них уже всё готово, а конкуренты отстают.
Мнение экспертов
Заместитель главы Роскомнадзора Милош Вагнер в рамках Петербургского международного юридического форума прокомментировал халатное отношение к работе с персональными данными. Позиция «пусть утекает у кого угодно, лишь бы не у меня» больше не приемлема, и государство будет использовать доступные механизмы для стимулирования ответственного поведения и снижения вероятности утечек данных.
Через год-два компании, не соблюдающие закон, уйдут с рынка, а остальных ждут постоянные проверки.
Что делать уже сейчас?
- Срочно провести аудит:
Какие данные храните?
Есть ли согласия?
Соответствует ли защита требованиям? - Документальная защита:
Обновить политику обработки ПДн
Перейти на КЭДО с комплексной защитой персональных данных сотрудников Ввести журнал учета доступов - Технические меры:
Шифрование баз данных
внедрение DLP-системы
Регулярная оценка безопасности средствами моделирования атаки злоумышленника методом pentest
Важно: С 2025 года Роскомнадзор усилил контроль за соблюдением требований законодательства в сфере обработки и хранения персональных данных – теперь даже единичная жалоба сотрудника может запустить внеплановую проверку.
Решение есть:
Как официальный партнер фирмы 1С и Центр компетенций по КЭДО, мы предлагаем комплексную защиту персональных данных с помощью внедрения 1С:Кабинет сотрудника.
Почему это работает?
- Полный переход на электронный кадровый документооборот (КЭДО) исключает риски утечки бумажных документов
- Встроенные механизмы 1С:КС автоматически обеспечивают:
Юридически значимое хранение персданных
Контроль сроков обработки информации
Не ждите проверки – переходите на безопасный документооборот уже сегодня!
Внедрим 1С:Кабинет сотрудника с гарантией соответствия 152-ФЗ от 3 рабочих дней.
P.S. Первый штрафы уже выписаны – не ждите, пока проверят вас!