С 30 мая 2025 года в силу вступают изменения в Федеральный закон №152-ФЗ «О персональных данных», которые существенно ужесточают ответственность организаций и предпринимателей за нарушения в области обработки и хранения персональных данных. Основное нововведение — увеличение штрафов за персональные данные, которое уже вызвало серьезный резонанс среди бизнес-сообщества.
Если раньше за утечку или незаконную обработку персональных данных компании могли отделаться сравнительно небольшими суммами, то теперь речь идет о миллионных штрафах, особенно в случае повторных нарушений или работы с большим объемом информации. Эти меры направлены на повышение уровня информационной безопасности, а также на приведение российского законодательства в соответствие с международными стандартами, включая GDPR.
Что изменилось в 152-ФЗ с 30 мая 2025 года
Основное нововведение — дифференцированный подход к оценке правонарушений. В зависимости от характера, объема пострадавших субъектов и повторности инцидента, назначаются конкретные суммы административных штрафов. Теперь учитываются не только формальные нарушения, такие как отсутствие политики обработки ПДн на сайте или отсутствие уведомления Роскомнадзора, но и системные сбои — утечки, трансграничная передача без согласия и др.
Особо жёсткие меры предусмотрены в отношении повторных нарушений и утечек персональных данных. Если раньше закон ограничивался фиксированными суммами, то теперь предусмотрена градация по масштабу утечки, с оборотными штрафами для крупных компаний (до 3% от годовой выручки).
Под действие обновлённого закона подпадают:
- юридические лица любой организационно-правовой формы;
- индивидуальные предприниматели;
- государственные учреждения;
- должностные лица, включая специалистов по ИБ, IT-директоров, HR и других сотрудников, работающих с персональными данными.
Отдельное внимание уделено ответственности за утечку биометрических и специальных категорий персональных данных — штрафы здесь выше, чем за нарушение при работе с общими сведениями.
Изменился и сам механизм выявления нарушений. Роскомнадзор получил полномочия на централизованный сбор сведений о повторных инцидентах, автоматический мониторинг веб-ресурсов и анализ утечек в открытых и закрытых источниках (включая Даркнет). Это значит, что игнорирование требований закона уже невозможно: нарушения фиксируются без обязательного визита инспектора.
Конкретные суммы штрафов за типовые нарушения
Изменения в законодательстве чётко обозначили ответственность за каждое распространённое нарушение при работе с персональными данными. С 30 мая 2025 года суммы штрафов выросли в несколько раз, а в некоторых случаях — стали сопоставимыми с оборотом компании. Ниже разберём типовые случаи нарушений и реальные санкции, которые за ними следуют.
Нарушения при обработке персональных данных
| Нарушение | Физическое лицо | Должностное лицо | Индивидуальный предприниматель | Юридическое лицо |
| Обработка ПДн без оснований или несовместимая с целями сбора (ст. 13.11 ч.1) | 2–6 тыс. руб. | 10–20 тыс. руб. | — | 60–100 тыс. руб. |
| Повторное нарушение (ст. 13.11 ч.1.1) | 4–12 тыс. руб. | 20–50 тыс. руб. | 50–100 тыс. руб. | 100–300 тыс. руб. |
| Обработка ПДн без письменного согласия (ст. 13.11 ч.2) | 3–10 тыс. руб. | 20–50 тыс. руб. | 50–100 тыс. руб. | 100–300 тыс. руб. |
| Повторное нарушение обработки без согласия (ст. 13.11 ч.2.1) | 6–20 тыс. руб. | 50–100 тыс. руб. | 100–200 тыс. руб. | 300–500 тыс. руб. |
| Нарушение при трансграничной передаче ПДн (ст. 13.11 ч.3) | 5–15 тыс. руб. | 30–60 тыс. руб. | 60–120 тыс. руб. | 150–300 тыс. руб. |
| Нарушение при обработке специальных категорий ПДн (ст. 13.11 ч.4) | 10–30 тыс. руб. | 50–100 тыс. руб. | 100–200 тыс. руб. | 200–500 тыс. руб. |
| Нарушение при обработке биометрических ПДн (ст. 13.11 ч.5) | 15–40 тыс. руб. | 60–120 тыс. руб. | 120–250 тыс. руб. | 250–600 тыс. руб. |
| Отказ в предоставлении информации субъекту ПДн (ст. 13.11 ч.6) | 2–4 тыс. руб. | 8–12 тыс. руб. | 20–30 тыс. руб. | 40–80 тыс. руб. |
| Отсутствие политики обработки ПДн на сайте (ст. 13.11 ч.7) | 1,5–3 тыс. руб. | 6–12 тыс. руб. | 10–20 тыс. руб. | 30–60 тыс. руб. |
Нарушения, связанные с уведомлением Роскомнадзора
| Нарушение | Должностное лицо | Индивидуальный предприниматель | Юридическое лицо |
| Неуведомление о начале обработки ПДн (ст. 13.11 ч.10) | 30–50 тыс. руб. | 100–300 тыс. руб. | 100–300 тыс. руб. |
| Несвоевременное уведомление о начале обработки ПДн (ст. 13.11 ч.10) | 30–50 тыс. руб. | 100–300 тыс. руб. | 100–300 тыс. руб. |
| Неуведомление об утечке ПДн (ст. 13.11 ч.11) | 400–800 тыс. руб. | 1–3 млн руб. | 1–3 млн руб. |
Штрафы за утечку персональных данных
| Объем утечки (количество субъектов) | Физическое лицо | Должностное лицо | Юридическое лицо |
| 1 000 – 10 000 | 100–200 тыс. руб. | 200–400 тыс. руб. | 3–5 млн руб. |
| 10 000 – 100 000 | 200–300 тыс. руб. | 300–500 тыс. руб. | 5–10 млн руб. |
| Более 100 000 | 300–400 тыс. руб. | 400–600 тыс. руб. | 10–15 млн руб. |
Повторные утечки персональных данных
| Категория данных | Физическое лицо | Должностное лицо | Юридическое лицо |
| Общие данные | 400–600 тыс. руб. | 0,6–1 млн руб. | 1–3% годовой выручки (не менее 20 и не более 500 млн руб.) |
| Специальные данные и биометрия | 500–800 тыс. руб. | 1,5–2 млн руб. | 1–3% годовой выручки (не менее 25 и не более 500 млн руб.) |
Размер штрафа может быть увеличен в зависимости от масштаба нарушения, объема утекшей информации, количества пострадавших и наличия предыдущих инцидентов.
Реформирование законодательства в сфере ПДн делает защиту персональных данных приоритетной обязанностью любой организации. Несоблюдение требований теперь — это не просто риск, а гарантированные финансовые последствия.
Как подготовиться: пошаговая инструкция для организаций
После вступления в силу изменений в 152-ФЗ с 30 мая 2025 года, каждая организация, работающая с персональными данными, обязана не просто «иметь политику на сайте», а обеспечить реальное соответствие всех процессов требованиям закона. Пренебрежение даже формальными аспектами может привести к серьёзным штрафам. Ниже — подробный алгоритм подготовки.
Шаг 1. Проведите аудит персональных данных
Начните с ответа на простые, но ключевые вопросы:
- Какие персональные данные вы обрабатываете (ФИО, email, паспортные данные, IP-адреса, биометрия)?
- На каком основании вы это делаете?
- Где хранятся эти данные?
- Кто имеет к ним доступ?
В результате аудита формируется реестр обработки ПДн, который становится основой для дальнейшей правовой и технической работы.
Шаг 2. Назначьте ответственного за ПДн
Это может быть:
- сотрудник в штате (например, специалист по ИБ или юрист);
- сторонняя организация (по договору);
- должностное лицо, назначенное приказом.
Ответственный не только контролирует соблюдение закона, но и отвечает за взаимодействие с Роскомнадзором в случае проверок или инцидентов.
Шаг 3. Обновите комплект внутренних документов
Необходимо иметь:
- Политику обработки ПДн (опубликованную и актуальную);
- Согласие на обработку ПДн — отдельно для клиентов, сотрудников, подрядчиков;
- Уведомление об использовании cookies и трекеров (если применимо);
- Порядок отзыва согласия;
- Журнал учета запросов субъектов ПДн;
- Договоры с третьими лицами с пунктами об ответственности за ПДн.
Все документы должны быть согласованы между собой и соответствовать реальным бизнес-процессам.
Шаг 4. Обеспечьте техническую защиту
Закон обязывает использовать разумные и достаточные меры защиты:
- Шифрование хранимых и передаваемых данных;
- Резервное копирование;
- Двухфакторная аутентификация для доступа;
- Ограничение прав пользователей;
- Журналирование действий;
- Обнаружение и реагирование на инциденты.
Если вы используете облачные хранилища или CRM — убедитесь, что ваши провайдеры соответствуют требованиям ФЗ-152.
Шаг 5. Проведите обучение сотрудников
Регулярные внутренние инструкции и тренинги по работе с ПДн:
- Как оформлять согласие;
- Как обрабатывать обращения субъектов;
- Что делать в случае утечки;
- Как не допустить ошибок при передаче данных третьим лицам.
Даже при технической защите, отсутствие актуальных документов или неправильно оформленного согласия может привести к штрафу.
Следование этим пяти шагам снижает риск санкций, повышает доверие клиентов и позволяет бизнесу работать в правовом поле. Кроме того, в случае проверки Роскомнадзором наличие этих мер может смягчить последствия или предотвратить наложение штрафа вовсе.
Что делать при проверке Роскомнадзора
Проверки Роскомнадзора — это не абстрактная угроза, а вполне реальный процесс, с которым сталкиваются тысячи организаций ежегодно. Особенно с 30 мая 2025 года, когда вступили в силу новые требования к обработке персональных данных и выросли штрафы, контроль со стороны регулятора стал более системным и жёстким.
Какие бывают виды проверок
- Плановые — проводятся по утверждённому графику (публикуется на сайте Роскомнадзора).
- Внеплановые — по жалобе субъекта персональных данных, по результатам мониторинга сайта, СМИ или утечки в Даркнете.
- Документарные — проверка только документов без визита инспектора.
- Выездные — инспектор приходит в офис и может требовать пояснений, осмотр серверной, выгрузки данных.
В 2024 году доля внеплановых проверок выросла на 35%. Поводом часто служат жалобы сотрудников, клиентов или «автоматическая фиксация» нарушений на сайте.
Что чаще всего запрашивает Роскомнадзор
- Политика обработки персональных данных;
- Согласия на обработку ПДн (в т.ч. от сотрудников, клиентов, пользователей сайта);
- Приказ о назначении ответственного за обработку ПДн;
- Договоры с операторами и третьими лицами;
- Локальные акты (порядок обработки, хранения, уничтожения ПДн);
- Документы об обучении сотрудников;
- Уведомление о начале обработки ПДн;
- Доказательства принятия технических мер защиты;
- Переписка с субъектами по их обращениям.
Все документы должны быть подписаны, оформлены юридически грамотно и отражать текущие бизнес-процессы. Проверяющие видят «копипасту из интернета» с первого взгляда.
Как себя вести при проверке
- Не паникуйте — проверка не всегда заканчивается штрафом.
- Назначьте контактное лицо — это должен быть либо ответственный за ПДн, либо юрист.
- Подготовьте все документы заранее — желательно хранить их в электронном и бумажном виде.
- Не искажайте информацию — если допущено нарушение, лучше зафиксировать план устранения, чем пытаться скрыть.
- Фиксируйте действия проверяющих — это ваше право, особенно при выездной проверке.
Если подготовка проведена грамотно, то проверка Роскомнадзора — это не повод для паники, а подтверждение вашей правовой устойчивости. В следующем разделе разберём, как снизить риски нарушений и что можно сделать на упреждение.
Как минимизировать риски и избежать штрафов
В условиях ужесточения требований 152-ФЗ и повышения размеров штрафов, главной задачей любой организации становится не только соблюдение формальных требований, но и внедрение устойчивой системы защиты персональных данных. Ниже — проверенные практики и профилактические меры, которые реально помогают снизить риск штрафов до минимума.
1. Постоянно актуализируйте документы
Многие компании ошибочно считают, что один раз подготовленный комплект документов решает все проблемы. На практике:
- Уведомление Роскомнадзора может устареть;
- Цели и способы обработки могут измениться;
- Новые категории персональных данных (например, биометрия) требуют отдельного согласия.
Даже если у вас уже есть политика обработки ПДн — проверьте дату её утверждения и соответствие текущим реалиям. В случае проверки регулятор оценивает не просто наличие документа, а его актуальность и применимость.
2. Не доверяйте шаблонам из интернета
Универсальные шаблоны политики обработки ПДн, скачанные с чужих сайтов, не учитывают особенности конкретного бизнеса и не выдерживают проверок. Например:
- в документе указано одно основание обработки, а в жизни используется другое;
- в согласии нет пункта о трансграничной передаче, хотя используется зарубежный хостинг.
Решение: адаптируйте документы под свой бизнес или закажите аудит и настройку у профильных специалистов.
3. Проводите внутренние проверки (самоаудит)
Не дожидайтесь визита Роскомнадзора — регулярно проверяйте:
- корректность заполнения согласий;
- работу форм на сайте;
- порядок хранения бумажных документов с ПДн;
- доступ к информации внутри организации.
Идеально, если самоаудит проводится раз в 6–12 месяцев и фиксируется в виде отчёта.
4. Уделяйте внимание подрядчикам и SaaS-сервисам
Если вы передаёте персональные данные:
- в колл-центр,
- маркетинговому агентству,
- сервису рассылок или аналитики (в т.ч. зарубежному),
…обязательно заключайте договор с пунктами об ответственности и мерах защиты ПДн.
Многие нарушения фиксируются не на стороне самой компании, а в действиях подрядчиков. Но штраф приходит именно вам, как оператору данных.
5. Реагируйте на инциденты правильно
Если произошла утечка, важно:
- немедленно зафиксировать факт (логами, письмами, скриншотами);
- уведомить Роскомнадзор в течение 24 часов;
- принять меры по устранению последствий;
- задокументировать все действия.
Попытка скрыть факт утечки почти всегда приводит к повышенному штрафу и дополнительным проверкам. Прозрачность и проактивность — лучший способ снизить давление регулятора.
Заключение
С 30 мая 2025 года ответственность за нарушение закона о персональных данных вышла на принципиально новый уровень. Выросли штрафы, расширился перечень нарушений, а Роскомнадзор получил дополнительные инструменты для контроля и фиксации инцидентов.
Если раньше формальный подход — «согласие есть, политика на сайте висит» — мог сработать, то теперь проверяются не декларации, а реальные действия и системность. Компании, которые пренебрегают внутренним аудитом, используют шаблоны, не уведомляют регулятора об обработке и утечках, — рискуют попасть под многомиллионные санкции.
Что важно сделать уже сейчас:
- Провести аудит персональных данных;
- Назначить ответственного;
- Обновить документацию;
- Настроить технические меры защиты;
- Организовать обучение сотрудников;
- Взаимодействовать с подрядчиками на юридически выверенных условиях.
Для большинства компаний это не вопрос бюджета, а вопрос организационной дисциплины. Защита персональных данных — это уже не просто комплаенс, а конкурентное преимущество и фактор доверия со стороны клиентов, партнёров и государства.
