Штрафы Роскомнадзора за нарушение правил работы с персональными данным в 2025 году

Число случаев утечек персональных данных с каждым годом увеличивается. Так, по сведениям Роскомнадзора, в 2024 году в России зафиксировано 135 утечек баз данных, в которых содержались 750 миллионов записей о россиянах. Ввиду новых возможностей искусственного интеллекта данные показатели могут значительно вырасти.

30 мая текущего года вступил в силу 420-ФЗ, существенно увеличивающий штрафы для всех, кто работает с персональными данными.  

Основые зменения для бизнеса по 420-ФЗ с 30 мая 2025 года

1. По ч.1 ст. 13.11 КоАП РФ (обработка данных в случаях, не предусмотренных законодательством, а также обработка данных, не совместимая с целями их сбора) штрафы составят:

   • для должностных лиц и ИП – от 50 до 100 тысяч рублей (ранее – от 10 до 20 тысяч рублей);
   • для компаний – от 150 до 300 тысяч рублей (ранее – от 60 до 100 тысяч рублей).

2. По ч.1.1 ст. 13.11 КоАП РФ, закрепляющей ответственность за повторное нарушение, штрафы составят:

   • для должностных лиц – от 100 до 200 тысяч рублей (ранее – от 20 до 50 тысяч рублей);
   • для компаний и ИП – от 300 до 500 тысяч рублей (ранее – от 100 до 300 тысяч рублей).

Помимо этого, данный закон вводит новые составы административных правонарушений:

1. Неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные (ч. 10 ст. 13.11 КоАП РФ). За несоблюдение обязанности, предусмотренной ст. 22 ФЗ «О персональных данных», на должностных лиц накладывается штраф в размере от 30 до 50 тысяч, а на юрлиц – от 100 до 300 тысяч рублей. Ранее за данное нарушение юрлиц штрафовали по ст. 19.7 КоАП РФ, согласно которой максимальный размер штрафа составляет всего 5 тысяч рублей.
2. Неуведомление или несвоевременное уведомление Роскомнадзора об утечке персональных данных (ч. 11 ст. 13.11 КоАП РФ). Напомним, оператор должен уведомить Роскомандзор об инциденте в течение 24 часов, и в течение 72 часов предоставить данные внутреннего расследования (п. 3.1 ст. 21 ФЗ «О персональных данных»). Если не сделать этого, должностное лицо ждет штраф в размере от 400 тысяч до 800 тысяч рублей, а компанию – от 1 до 3 миллионов рублей.
3. Действия (или бездействие) оператора, повлекшие утечку персданных от 1 тысячи до 10 тысяч человек или от 10 тысяч до 100 тысяч идентификаторов (ч. 12 ст. 13.11 КоАП РФ). За данное деяние должностных лиц могут оштрафовать на сумму от 200 до 400 тысяч рублей, а юрлиц - на сумму от 3 до 5 миллионов рублей.
4. Действия (или бездействие) оператора, повлекшие утечку данных от 10 тысяч до 100 тысяч субъектов или от 100 тысяч до 1 миллиона идентификаторов (ч. 13 ст. 13.11 КоАП РФ). На должностных лиц налагается штраф в размере от 300 до 500 тысяч рублей, а компании ждет штраф в размере от 5 до 10 миллионов рублей.
5. Действия (или бездействие) оператора, повлекшие утечку данных более 100 тысяч человек или более 1 миллиона идентификаторов (ч. 14 ст. 13.11 КоАП РФ). Для должностных лиц предусмотрены штрафы в пределах 400-600 тысяч рублей, для компаний - от 10 до 15 миллионов рублей.

6. Действия (или бездействие) оператора, повлекшие утечку персональных данных, если ранее он был привлечен к административной ответственности за аналогичное нарушение (ч. 15 ст. 13.11 КоАП РФ). Должностные лица будут штрафоваться на сумму от 800 тысяч до 1,2 миллиона рублей.

   А для компаний предусмотрены оборотные штрафы в размере 1-3 % от совокупного размера выручки:

   • за календарный год, предшествующий году, когда было обнаружено нарушение;
   • за период календарного года, предшествующий дате выявления нарушения, если в предыдущем календарном году предпринимательская деятельность не осуществлялась;

Если речь идет о кредитной организации, то при расчете штрафа может быть учтен размер собственных средств (капитала) на дату совершения административного правонарушения. В любом случае минимальный размер штрафа составит 20 миллионов, а максимальный - 500 миллионов рублей.

7. Действия (или бездействие) оператора, повлекшие утечку специальной категории персданных (ч. 16 ст. 13.11 КоАП РФ). В соответствии со ст. 10 ФЗ «о персональных данных», это сведения о расовой, национальной принадлежности, политических взглядах, состоянии здоровья, интимной жизни и т.д. Должностные лица в случае совершения указанного нарушения могут быть оштрафованы на сумму от 1 до 1,3 миллиона рублей, а компании - от 10 до 15 миллионов рублей.
8. Действия (или бездействие) оператора, повлекшие утечку биометрических данных - записей голоса, изображений, отпечатков пальцев (ч. 17 ст. 13.11 КоАП РФ). Для должностных лиц размер штрафа составит 1,3-1,5 миллиона рублей, для фирм - 15-20 миллионов рублей.
9. Действия (или бездействие) оператора, повлекшие утечку биометрических данных или специальной категории персданных, если ранее данное лицо уже привлекалось к ответственности за аналогичное нарушение (ч. 18 ст. 13.11 КоАП РФ). Штрафы для должностных лиц составят 1,5-2 миллиона рублей, для компаний - 1-3 % от совокупного размера выручки (возможны и другие вариации). Минимальный размер штрафа для юридических лиц составит 25, а максимальный - 500 миллионов рублей.

Необходимо отметить: за утечку персональных данных и некоторые другие правонарушения ИП несут такую же ответственность по 420-ФЗ, как и юридические лица.

Еще одно важное нововведение: теперь нарушитель не сможет заплатить штраф со скидкой 50 % в течение 20 дней с момента вынесения соответствующего постановления. Изменения затронули ч. 1.3-3 ст. 32.2 КоАП РФ.

Таким образом, всем без исключения компаниям и ИП необходимо быть крайне внимательными при работе с персональными данными. Очень важно уделять внимание как внедрению технических инструментов по противодействию кибератакам, так и наладить внутреннюю работу с «чувствительной» информацией.