Новые штрафы за утечку персональных данных в 2025 году
18.04.2025 распечататьЕсли раньше кому-то санкции за нарушение закона о защите персданных казались сравнительно мягкими, с 30 мая 2025 года многим придется пересмотреть свои подходы к безопасности персональных данных клиентов и работников. Штрафы выросли в 10 раз.
После 30 мая 2025 года компании, ИП и должностные лица столкнутся с существенно более высокими штрафами за несоблюдение законодательства о защите персональных данных граждан согласно Федеральному закону от 27.07.2006 № 152-ФЗ (Федеральный закон от 30.11.2024 № 420-ФЗ).
Штраф может налагаться не только на крупный бизнес, работающий с большими базами данных. Абсолютно всем операторам персональных данных, допустившим утечку сведений, стоит опасаться больших штрафов.
Детали по теме:
Самозанятые: что надо учесть компании при обработке персданных?
Штраф за «молчание»
Речь идет о неисполнении требования Роскомнадзора, уведомлять ведомство о начале обработки персональных данных.
Любая компания или ИП, планирующая обрабатывать персональные данные, обязана подать соответствующее уведомление (ч. 1 ст. 22 Федерального закона № 152-ФЗ).
Ранее компанию, которая тихо собирала сведения и игнорировала необходимость уведомить об этом РКН, могли наказывалось по статье ст. 19.7 КоАП, назначив штраф на небольшую сумму: 300–500 рублей для должностных лиц и ИП, 3000–5000 рублей для организаций.
Теперь же за непредставление уведомления или его подачу с опозданием руководители компаний и ИП будут оштрафованы на сумму от 30 000 до 50 000 рублей, а организации – от 100 000 до 300 000 рублей.
Новшеством является и введение штрафа за неподачу уведомления в Роскомнадзор об утечке персональных данных. Организации и ИП, допустившие данное нарушение, должны будут выплатить штраф в размере от 1 до 3 миллионов рублей согласно обновленной ч. 11 ст. 13.11 КоАП.
По теме:
Как уведомить Роскомнадзор об изменении обработки персданных работников
Как сообщить в Роскомнадзор об изменениях в уведомлении об обработке персональных данных?
Штраф за «болтливость»
Закон ужесточает наказание и за разглашение персональных данных. Размер штрафа напрямую зависит от количества пострадавших граждан. «Начальный объем утечки» – 1000 пострадавших.
Введены дифференцированные санкции в зависимости от масштабов утечки:
Штраф за разглашение данных
- Для физических лиц от 1000 до 10 000 рублей.
- Для директора или ИП составит от 200 000 до 400 000 рублей.
- Для малых предприятий – от 1,5 млн. до 2,5 млн. рублей.
- Для средних и крупных организаций – от 3 млн. до 5 млн. рублей согласно ст. 13.11 КоАП.
Штраф за обработку персональных данных без согласия физического лица
- Для директора или ИП от 50 000 до 100 000 рублей.
- Для малых компаний от 150 000 до 250 000 рублей.
- Для средних и крупных организаций от 300 000 до 500 000 рублей.
В случае массовой утечке персональных штраф может достигать 15 миллионов рублей.
При повторном нарушении санкции будут составлять от 1% до 3% общей суммы выручки организации или ИП за год.
Неправомерное распространение персональных данных спецкатегорий для ИП и компаний обернется штрафом от 10 млн до 15 млн руб.
Новый вид уголовной ответственности
Появился новый вид уголовной ответственности за неправомерное обращение с личными сведениями, включая их незаконный сбор, хранение, передачу и использование согласно ст. 272.1 УК РФ.
За незаконный экспорт или продажу персональных данных виновному гражданину может грозить до 8 лет заключения. Если разглашение нанесло вред здоровью или жизни людей, наказание может составить до 10 лет лишения свободы (Федеральный закон от 30.11.2024 № 421-ФЗ).
С 1 сентября 2025 года организации обязаны предоставлять персональную информацию по требованию Минцифры. При этом данные должны быть предварительно анонимизированы согласно Федеральному закону от 08.08.2024 № 233-ФЗ. Методы обезличивания еще не определены и будут установлены Правительством РФ.
В государственной информационной системе из анонимизированных данных будут сформированы массивы информации. Доступ к этой системе и возможность обработки данных получат компании, которые:
- Зарегистрированы в реестре операторов персональных данных.
- Не имеют в ЕГРЮЛ записи о недостоверности сведений.
- Руководятся лицами с исключительно российским гражданством.
- Не связаны с экстремистской деятельностью.
Штрафы за нарушения в работе с персональными данными в 2025 году. Сводные таблицы.
Штрафы за обработку персональных данных с нарушением целей
Размеры штрафов по ч.1 ст. 13.11 КоАП.
Для кого | Размер штрафа с 30 мая 2025 | При повторном нарушении |
Для граждан | от 10 000 до 15 000 рублей | 30 000 рублей |
Для должностных лиц | от 50 000 до 100 000 рублей | 200 000 рублей |
Для юрлиц | от 150 000 до 300 000 рублей | 500 000 рублей |
Штрафы за обработку персональных данных без письменного согласия владельца
Размеры штрафов по ч.2 ст. 13.11 КоАП.
Для кого | Размер штрафа с 30 мая 2025 | При повторном нарушении |
Для граждан | от 10 000 до 15 000 рублей |
|
Для должностных лиц | от 100 000 до 300 000 рублей |
|
Для юрлиц | от 300 000 до 700 000 рублей | 1 5 000 000 рублей. |
Штраф за неуведомление Роскомнадзора
Размеры штрафов по ч. 10 и ч. 11 ст. 13.11 КоАП.
Не отправили уведомление в РКН | Размер штрафа с 30 мая 2025 |
о начале сбора и обработки персональных данных | от 100 000 до 300 000 рублей |
об утечке персональных данных | От 1 000 000 до 3 000 000 рублей |
Штрафы за утечку персональных данных
Размер штрафа зависит от объема утечек. «Начальный объем утечки» – 1000 пострадавших. Размеры штрафа установлены в ч. 12 - 15 ст. 13.11 КоАП.
Размер штрафа будет варьироваться в зависимости от объема утечек (согласно ч. 12 - 15 ст. 13.11 КоАП). «Начальный объем утечки» – 1000 пострадавших.
Число пострадавших лиц, чьи персданные стали общедоступны | Размер штрафа |
1000–10 000 / 10 000–100 000 | От 3 000 000 до 5 000 000 рублей |
10 000–100 000 / 100 000–1 000 000 | От 5 000 000 до 10 000 000 рублей |
Более 100 000 / более 1 000 000 | От 10 000000 до 15 000 000 рублей |
При повторной утечке штрафы будут составлять от 1% до 3% общей суммы выручки организации или ИП за год.
Неправомерное распространение персональных данных спецкатегорий для ИП и компаний обернется штрафом от 10 млн до 15 млн руб.
Еще по теме:
Согласие на обработку персональных данных можно давать в вольной форме
Может ли компания поделиться персданными с третьим лицами без согласия работника?
Нужно ли для СОУТ получать согласие работника на обработку персональных данных?
Подписка на новости и полезные материалы
В статье использованы фото с сайта freepik.com или shutterstock.com
