Личный кабинет
8 (800) 505 21 30
Личный кабинет
8 (800) 505 21 30

Штрафы за утечку персональных данных в 2025 году. Что нужно знать бизнесу?

21.04.2025
Штрафы за утечку персональных данных

В современном мире информация стала одним из самых ценных ресурсов, а её защита — одной из главных задач для любого бизнеса. Ежегодно с ростом объемов обрабатываемой информации растет и число инцидентов. Государство, стремясь обеспечить безопасность граждан и защитить их личные данные от несанкционированного доступа, активно работает над совершенствованием законодательства в области информационной безопасности.

Ужесточение ответственности за нарушение закона о персональных данных

С декабря 2024 года вступили в действие изменения в Уголовный кодекс РФ (ФЗ от 30.11.2024 № 421–ФЗ), расширившие зоны ответственности за утечку персональных данных. С 30 мая 2025 года начнут действовать изменения Кодексе РФ об административных правонарушениях (ФЗ от 30.11.2024 № 420–ФЗ), вводящие многомиллионные штрафы за утечку персональных данных, включая оборотные штрафы. Как это отразится на требованиях к защите персональных данных и что это значит для бизнеса? Рассказываем в этой статье.

Уголовная ответственность за утечку персональных данных

Если действия повлекли тяжкие последствия, законом предусмотрена уголовная ответственность, включающая штрафы:

  1.  За незаконное использование, сбор, передачу или хранение ПДн: Штраф от 300 до 400 тыс. рублей, принудительные работы до 4 лет либо лишение свободы до 4 лет.
  2. За действия с ПДн несовершеннолетних или биометрией: Штраф до 700 тыс. рублей, принудительные работы до 5 лет или лишение свободы до 5 лет.
  3. При тяжких последствиях или организованных группой: Лишение свободы до 10 лет.
  4. За создание сайтов для хранения и распространения незаконно полученных ПДн: Максимальное наказание – 5 лет лишения свободы.

Многомиллионные штрафы за утечку

На сегодняшний день максимальный штраф за нарушение обращения с персональными данными составляет до 100 тыс. руб. при повторном инциденте до 300 тыс. руб. С мая 2025 года сумма штрафа, зависящая от объема и характера разглашенных данных, будет составлять:

Объем утечки данных Размер штрафа
1-10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов 3-5 млн. руб.
10–100 тыс. субъектов ПДн и (или) 100 тыс. — 1 млн. идентификаторов 5–10 млн. руб.
более 100 тыс. субъектов ПДн и (или) более 1 млн. идентификаторов 10-15 млн. руб.

Под субъектом персональных данных понимается физическое лицо, которому принадлежат персональные данные. Идентификатором ПДн считаются сведения, позволяющие точно определить носителя персональных данных, к ним относятся паспортные данные, СНИЛС, ИНН, биометрические данные, банковские данные.
могут привести к значительным оборотным штрафам, которые составят от 1% до 3% от годовой выручки компании. При этом минимальная сумма штрафа будет 20 млн руб., а максимальная — 500 млн руб.

Если компания обнаруживает утечку данных, она должна незамедлительно, в течение 24 часов, сообщить об этом в Роскомнадзор и начать внутреннее расследование. Итоговый отчет с указанием причин инцидента и виновных лиц необходимо предоставить в течение 72 часов. За нарушение этих сроков компании грозит штраф до 3 млн руб.

Теперь ответственность будут нести не только хакеры, мошенники и юридические лица, но и сотрудники компаний, допустившие утечку данных, а также руководители, которые не обеспечили должную защиту. Кроме того, под санкции попадают компании, использующие незаконно приобретенные базы данных.

Смягчающие обстоятельства

Для административных правонарушений предусмотрены смягчающие обстоятельства. В этом случае назначается штраф в размере 1/10 от минимального оборотного штрафа, но не менее 15 миллионов и не более 50 миллионов рублей. Для этого необходимо соблюдение следующих условий:

  1. Компания за три последних года потратила на информационную безопасность не менее 0,1% от общей суммы выручки.;
  2. Работы по информационной безопасности проводились лицензиатами ФСТЭК и ФСБ России;
  3. За последние 12 месяцев был проведен аудит информационной безопасности, которому есть документальные подтверждения;
  4. Отсутствуют отягчающие обстоятельства, усиливающие административную ответственность.

Как минимизировать риски?

Изменения в законодательстве, вступающие в силу в 2025 году, существенно ужесточают ответственность за утечку и неправомерное использование персональных данных. Бизнесу необходимо адаптироваться к новым требованиям, чтобы избежать крупных штрафов и обеспечить надежную защиту данных.
В первую очередь рекомендуем сделать следующее:

  1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
  2. Проверьте наличие нормативных документов, регулирующих работу с ПДн.
  3. Убедитесь, что ваши сотрудники соблюдают правила обращения и обработки персональных данных и знают порядок действий для предотвращения их утечки.
  4. В вашей компании внедрены сертифицированные системы защиты информации.
  5. Обратитесь к специалистам по информационной безопасности для проведения аудита по информационной безопасности, а также получения консультаций и помощи в приведении ваших процессов в соответствие с новыми нормами.

DATA POOL – лицензиат ФСТЭК и ФСБ с многолетним опытом

Мы, как компания, специализирующаяся на информационной безопасности, готовы предложить вам профессиональную помощь и консультации по всем вопросам защиты данных. Наша команда обладает глубокими знаниями и опытом в области обеспечения безопасности информационных систем и персональных данных. Мы поможем вам провести аудит системы информационной безопасности, внедрить новые технологии и методы защиты, обучить персонал, разработать эффективные стратегии реагирования на инциденты и простроить систему защиты информации.
Получите рекомендации по защите вашего бизнеса на бесплатной консультации у нашего специалиста.

Не рискуйте своей репутацией и финансовыми интересами — доверьтесь профессионалам в области информационной безопасности!