Блог
15.05.2025
Изменения в сфере персональных данных
С 30 мая 2025 года вступают в силу изменения в закон о персональных данных (ФЗ № 152). Вводятся новые категории данных, усиленный контроль за обработкой и штрафы. Изменения затронут организации, ИП и самозанятых, если они собирают данные клиентов или сотрудников.
Ужесточение требований к обработке персональных данных
Согласно новым нормам, организации, обрабатывающие персональные данные, должны соблюдать более строгие требования их защиты. В частности:
Обязанность проводить регулярные аудиты безопасности своих сайтов. Теперь необходим не только правовой аудит (наличие политики и согласия на обработку данных), но и технический — для выявления иностранных сервисов, через которые собираются данные (например, Google Analytics, Meta Pixel).
Операторы данных обязаны не только собирать, но и хранить и обрабатывать информацию исключительно на территории РФ.
Ранее закон требовал обрабатывать данные в РФ, допуская передачу за рубеж. Теперь трансграничная передача возможна только с разрешения Роскомнадзора, который контролирует систему «Ревизор». Рекомендуется переносить сайты на российские серверы.
Компании должны не просто хранить информацию в России, но и ограждать ее от утечек.
Помогут надежное шифрование, многофакторная аутентификация и регулярное обновление ПО, особенно антивирусного. Доступ к данным должен быть только у сотрудников, которым он необходим по должностным обязанностям.
Установление ответственности за нарушения
С новыми изменениями вводится более жесткая ответственность, а также новые санкции.
Новые штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных:
В 2025 году действуют оборотные штрафы за утечку персональных данных.
Размер штрафа зависит от объёма утечки:
В случае утечки данных от 1 тыс. до 10 тыс. человек, штраф:
Если утечка данных была в отношении более 10 тыс. человек, штраф:
от 200 до 300 тыс. рублей — для физлиц
от 300 до 500 тыс. рублей — для должностных лиц
от 5 млн до 10 млн рублей — для организаций и ИП
И далее.
За повторные нарушения штрафы зависят от выручки: до 500 млн руб. для компаний и ИП, до 600 тыс. руб. для граждан и до 1 млн руб. для должностных лиц.
Штрафы за утечку специальных категорий персональных данных
(касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости):
Отдельное наказание будет за нарушение порядка обработки биометрических данных (снимков лица, отпечатков пальцев, записей голоса):
При повторном нарушении: минимальный штраф 25 млн рублей, максимальный — 500 млн рублей (ч. 18 ст. 13.11 КоАП).
Чтобы избежать штрафа за утечку, компания должна в течение 24 часов уведомить Роскомнадзор, а за 72 часа провести расследование и отправить повторное уведомление с результатами (ч. 3.1 ст. 21 ФЗ № 152 от 27.07.2006).
К указанным изменениям рекомендуется подготовиться заранее:
Изменения в сфере персональных данных
С 30 мая 2025 года вступают в силу изменения в закон о персональных данных (ФЗ № 152). Вводятся новые категории данных, усиленный контроль за обработкой и штрафы. Изменения затронут организации, ИП и самозанятых, если они собирают данные клиентов или сотрудников.
Ужесточение требований к обработке персональных данных
Согласно новым нормам, организации, обрабатывающие персональные данные, должны соблюдать более строгие требования их защиты. В частности:
Обязанность проводить регулярные аудиты безопасности своих сайтов. Теперь необходим не только правовой аудит (наличие политики и согласия на обработку данных), но и технический — для выявления иностранных сервисов, через которые собираются данные (например, Google Analytics, Meta Pixel).
Операторы данных обязаны не только собирать, но и хранить и обрабатывать информацию исключительно на территории РФ.
Ранее закон требовал обрабатывать данные в РФ, допуская передачу за рубеж. Теперь трансграничная передача возможна только с разрешения Роскомнадзора, который контролирует систему «Ревизор». Рекомендуется переносить сайты на российские серверы.
Компании должны не просто хранить информацию в России, но и ограждать ее от утечек.
Помогут надежное шифрование, многофакторная аутентификация и регулярное обновление ПО, особенно антивирусного. Доступ к данным должен быть только у сотрудников, которым он необходим по должностным обязанностям.
Установление ответственности за нарушения
С новыми изменениями вводится более жесткая ответственность, а также новые санкции.
Новые штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных:
- от 5 до 10 тыс. рублей — для физлиц
- от 30 до 50 тыс. рублей — для должностных лиц организаций
- от 100 до 300 тыс. рублей — для ИП
- от 100 до 300 тыс. рублей — для организаций.
В 2025 году действуют оборотные штрафы за утечку персональных данных.
Размер штрафа зависит от объёма утечки:
В случае утечки данных от 1 тыс. до 10 тыс. человек, штраф:
- от 100 до 200 тыс. рублей — для физлиц
- от 200 до 400 тыс. рублей — для должностных лиц
- от 3 млн. до 5 млн. рублей — для организаций и ИП.
Если утечка данных была в отношении более 10 тыс. человек, штраф:
от 200 до 300 тыс. рублей — для физлиц
от 300 до 500 тыс. рублей — для должностных лиц
от 5 млн до 10 млн рублей — для организаций и ИП
И далее.
За повторные нарушения штрафы зависят от выручки: до 500 млн руб. для компаний и ИП, до 600 тыс. руб. для граждан и до 1 млн руб. для должностных лиц.
Штрафы за утечку специальных категорий персональных данных
(касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости):
- от 300 до 400 тыс. руб.— для граждан
- от 1 млн. до 1,3 млн. руб. — для должностных лиц государственного или муниципального органа либо НКО
- от 10 млн до 15 млн руб. — для ИП и компаний.
Отдельное наказание будет за нарушение порядка обработки биометрических данных (снимков лица, отпечатков пальцев, записей голоса):
- от 400 до 500 тыс. рублей — для физлиц
- от 1,3 до 1,5 млн рублей — для должностных лиц
- от 15 млн до 20 млн рублей — для организаций и ИП.
При повторном нарушении: минимальный штраф 25 млн рублей, максимальный — 500 млн рублей (ч. 18 ст. 13.11 КоАП).
Чтобы избежать штрафа за утечку, компания должна в течение 24 часов уведомить Роскомнадзор, а за 72 часа провести расследование и отправить повторное уведомление с результатами (ч. 3.1 ст. 21 ФЗ № 152 от 27.07.2006).
К указанным изменениям рекомендуется подготовиться заранее:
- Проверить наличие положения об обработке данных
- Ввести журнал обработки обращений, где будут фиксироваться все запросы граждан на удаление, уточнение, доступ и т.п.
- Внедрить внутренний регламент с пошаговым алгоритмом реагирования на утечки
- Подать уведомление в Роскомнадзор, если оно не направлялось ранее. Если уведомление подавалось до декабря 2022 года — подать повторно из-за изменений в форме и составе данных
- Назначить ответственного за персональные данные.