Блог
15.05.2025

Изменения в сфере персональных данных

С 30 мая 2025 года вступают в силу изменения в закон о персональных данных (ФЗ № 152). Вводятся новые категории данных, усиленный контроль за обработкой и штрафы. Изменения затронут организации, ИП и самозанятых, если они собирают данные клиентов или сотрудников.

Ужесточение требований к обработке персональных данных

Согласно новым нормам, организации, обрабатывающие персональные данные, должны соблюдать более строгие требования их защиты. В частности:

Обязанность проводить регулярные аудиты безопасности своих сайтов. Теперь необходим не только правовой аудит (наличие политики и согласия на обработку данных), но и технический — для выявления иностранных сервисов, через которые собираются данные (например, Google Analytics, Meta Pixel).

Операторы данных обязаны не только собирать, но и хранить и обрабатывать информацию исключительно на территории РФ.
Ранее закон требовал обрабатывать данные в РФ, допуская передачу за рубеж. Теперь трансграничная передача возможна только с разрешения Роскомнадзора, который контролирует систему «Ревизор». Рекомендуется переносить сайты на российские серверы.

Компании должны не просто хранить информацию в России, но и ограждать ее от утечек.
Помогут надежное шифрование, многофакторная аутентификация и регулярное обновление ПО, особенно антивирусного. Доступ к данным должен быть только у сотрудников, которым он необходим по должностным обязанностям.

Установление ответственности за нарушения

С новыми изменениями вводится более жесткая ответственность, а также новые санкции.

Новые штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных:

  • от 5 до 10 тыс. рублей — для физлиц
  • от 30 до 50 тыс. рублей — для должностных лиц организаций
  • от 100 до 300 тыс. рублей — для ИП
  • от 100 до 300 тыс. рублей — для организаций.

В 2025 году действуют оборотные штрафы за утечку персональных данных.
Размер штрафа зависит от объёма утечки:

В случае утечки данных от 1 тыс. до 10 тыс. человек, штраф:
  • от 100 до 200 тыс. рублей — для физлиц
  • от 200 до 400 тыс. рублей — для должностных лиц
  • от 3 млн. до 5 млн. рублей — для организаций и ИП.

Если утечка данных была в отношении более 10 тыс. человек, штраф:

от 200 до 300 тыс. рублей — для физлиц
от 300 до 500 тыс. рублей — для должностных лиц
от 5 млн до 10 млн рублей — для организаций и ИП

И далее.

За повторные нарушения штрафы зависят от выручки: до 500 млн руб. для компаний и ИП, до 600 тыс. руб. для граждан и до 1 млн руб. для должностных лиц.

Штрафы за утечку специальных категорий персональных данных
(касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости):

  • от 300 до 400 тыс. руб.— для граждан
  • от 1 млн. до 1,3 млн. руб. — для должностных лиц государственного или муниципального органа либо НКО
  • от 10 млн до 15 млн руб. — для ИП и компаний.

Отдельное наказание будет за нарушение порядка обработки биометрических данных (снимков лица, отпечатков пальцев, записей голоса):

  • от 400 до 500 тыс. рублей — для физлиц
  • от 1,3 до 1,5 млн рублей — для должностных лиц
  • от 15 млн до 20 млн рублей — для организаций и ИП.

При повторном нарушении: минимальный штраф 25 млн рублей, максимальный — 500 млн рублей (ч. 18 ст. 13.11 КоАП).

Чтобы избежать штрафа за утечку, компания должна в течение 24 часов уведомить Роскомнадзор, а за 72 часа провести расследование и отправить повторное уведомление с результатами (ч. 3.1 ст. 21 ФЗ № 152 от 27.07.2006).

К указанным изменениям рекомендуется подготовиться заранее:

  • Проверить наличие положения об обработке данных
  • Ввести журнал обработки обращений, где будут фиксироваться все запросы граждан на удаление, уточнение, доступ и т.п.
  • Внедрить внутренний регламент с пошаговым алгоритмом реагирования на утечки
  • Подать уведомление в Роскомнадзор, если оно не направлялось ранее. Если уведомление подавалось до декабря 2022 года — подать повторно из-за изменений в форме и составе данных
  • Назначить ответственного за персональные данные.