Контакты
Подписка 2026

Что нужно знать про новые штрафы в области ПДн?

Валерий Нарежный, 14/01/25

В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Автор: Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”

ris1-Jan-14-2025-11-51-38-8819-AM

С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их совершение. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании.

Новые нормы вводят уголовную ответственность за:

  • неправомерное использование, передачу или хранение данных, полученных незаконным путем;
  • создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных;
  • нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персональных данных.

В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлекли тяжкие последствия.

В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные.

От чего зависит размер штрафа за утечку?

Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные.

  1. Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов – 3–5 млн руб.
  2. 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5– 10 млн руб.
  3. Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб.

Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КоАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц.

Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб.

Если компания выявила факт утечки, она обязана в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и в течение 72 часов подать итоговый отчет с указанием причин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб.

Что же такое "идентификатор"?

Нетрудно заметить, что размер штрафа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов".

Идентификатор, согласно КоАП, это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не вполне понятным, как соотнести понятия "идентификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование.

Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, которая усложнит и затормозит рассмотрение административных дел.

Смягчающие обстоятельства

В принятых поправках написано, что назначается 1/10 от минимального размера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий:

  1. Расходы компании на ИБ за три года составляли не менее 0,1% от совокупного размера суммы выручки.
  2. Для выполнения работ по ИБ привлекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии.
  3. Есть документальные подтверждения соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности.
  4. Отсутствуют отягчающие обстоятельства (они тоже вводятся поправками).

Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утечку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распространяется на компании, использующие нелегально приобретенные базы данных.

Как минимизировать риски?

Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем. Важные шаги:

  1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
  2. Утвердите нормативные документы, регулирующие работу с ПДн.
  3. Объясните работникам, как правильно обрабатывать персональные данные и предотвращать утечки.
  4. Внедрите сертифицированные системы защиты информации.

Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обработка избыточных ПДн должно стать невыгодным для компаний.

Из новых правил вытекают высокие стандарты в области защиты персональных данных. Для успешного соблюдения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты.

Памятку по новой ответственности в области персональных данных можно найти по ссылке:  https://www.gorodissky.ru/upload/articles/files/Personal_data_fines_2025.pdf 

 

Темы:Персональные данныеВебмониторэксЖурнал "Информационная безопасность" №6, 2024оборотные штрафы
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Утечка данных и судебная практика в 2026 году
    Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 г. шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 г. накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы ее смягчить или вовсе снять. Разбираем четыре ключевых дела и делаем выводы.
  • Эволюция контроля ПДн в организациях
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Функция контроля обработки персональных данных в организациях Российской Федерации претерпевает системную трансформацию, переходя от формального документального соответствия к интегрированной бизнес-функции. Давайте проанализируем ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
  • ПДн в маркетинге – где проходит черта законности
    Константин Холманов, консультант по персональным данным компании Б-152
    Маркетинг не может жить без данных, поскольку их наличие обеспечивает понимание целевой аудитории, фокуса продукта и слабых сторон. Однако собирая данные через обратную связь, опросы, исследования либо через сам продукт, многие не до конца осознают, что это в первую очередь персональные данные, обработка которых должна обеспечиваться законом. Рассмотрим обработку персональных данных в маркетинге под новым углом.
  • Трансграничная передача данных: алгоритмы соблюдения требований и актуальные риски
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
  • Аутсорсинг процессов с точки зрения законодательства о персональных данных
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    Популярность аутсорсинга технологических и бизнес-процессов в России продолжает расти, что неудивительно: этот подход дает компаниям реальные преимущества. Он позволяет оптимизировать бюджет, гибко управляя затратами на инфраструктуру и персонал, получить доступ к узкоспециализированной экспертизе без долгосрочных инвестиций и сконцентрировать внутренние ресурсы на ключевых, профильных задачах, повышая общую эффективность бизнеса.
  • Персональные данные: прогноз на 2026 год
    Если десять лет назад хакеров интересовали только компании-гиганты, в основном в столице и нескольких городах-миллионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкиваются даже индивидуальные предприниматели, самозанятые и просто физические лица.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...