Новые ожидания РКН: штрафы за персональные данные и как минимизировать последствия

Содержание данной статьи проверено и подтверждено:

С конца мая 2025 года в России вступили в силу изменения в правовом регулировании обработки персональных данных.
Поправки, внесённые Федеральным законом № 420 ФЗ от 30 ноября 2024 года в КоАП РФ, изменили подходы, принятые ранее, и ужесточили последствия утечек ПДн.

Кто является Оператором ПДн?

Оператором считается любое юридическое лицо, индивидуальный предприниматель или даже физлицо, если оно автоматизирует обработку ПДн — будь то данные клиентов, сотрудников, посетителей сайта или пользователей мобильного приложения.

Ручная обработка (например, бумажный список клиентов) пока остаётся вне поля действия, однако даже случайная выгрузка Excel с телефона на облако превращает процесс в автоматизированный.

Внесение Оператора ПДн в Реестр Роскомнадзора: требования, сроки, последствия промедления

Если вы обрабатываете персональные данные и не уведомили Роскомнадзор до начала обработки — это нарушение.

Шаг 1. Проверьте, внесены ли вы в Реестр операторов ПДн.

Официальный реестр доступен на сайте Роскомнадзора. Проверка по ИНН или наименованию позволяет понять, направлялось ли уведомление ранее.

  • Если запись есть — проверьте актуальность целей, перечня обрабатываемых данных, категорий субъектов, способов обработки и применяемых мер защиты
  • Если записи нет — переходите к следующему шагу

Шаг 2. Подайте уведомление в РКН


Важно: требуется уведомить РКН до начала обработки, подав уведомление по форме приказа № 180 от 28.10.2022 через официальный сайт Роскомнадзора, где предусмотрена возможность входа и направления уведомления разными способами: через Госуслуги, ЭЦП или в бумажном формате.

Даже если обработка идёт уже давно — уведомление нужно подать. В противном случае вы остаетесь в «серой зоне» и попадаете под риск административной ответственности.


Важно: уведомление заполняется один раз и обновляется при наличии каких-либо изменений (например, целей обработки, категории субъектов, перечня данных, и т. п.).

Шаг 3. Санкции за неуведомление РКН

Нарушение обязанности уведомления об утечках ПДн — это статья 13.11 КоАП РФ, часть 1.2 (новая редакция с 30.05.2025).
Штрафы:

  • Для физических лиц — от 5 000 до 10 000 рублей
  • Для должностных лиц — от 50 000 до 100 000 рублей
  • Для ИП и организаций — до 300 000 рублей

Однако при первом нарушении возможно вынесение предупреждения — если нарушение не причинило вреда правам субъектов данных и не сопровождалось иными инцидентами (например, утечками).

Важно: отсутствие уведомления — даже без утечки — уже состав правонарушения
Если же компания или ИП уже ранее получали предупреждение, и уведомление так и не было подано — штраф становится неизбежным.

Утечки ПДн. Как уведомить регулятора правильно?

У оператора есть всего 24 часа с момента обнаружения утечки, чтобы сообщить о ней в Роскомнадзор. В течение следующих 72 часов необходимо подать расширенный отчёт с деталями: объёмом, характером данных, мерами реагирования и предотвращения последствий.

Несоблюдение этих сроков — прямой путь к санкциям:

  • Физические лица — штраф от 50 000 до 100 000 рублей
  • Должностные лица — от 400 000 до 800 000 рублей
  • Юридические лица и ИП — от 1 до 3 миллионов рублей

Причём даже если утекли «обычные» данные — ФИО, телефон или e-mail — штраф всё равно может быть миллионным. В случае с биометрией или медицинской информацией санкции увеличиваются.
Штрафы за утечку персональных данных:

Количество субъектов Штраф для организаций Штраф для должностных лиц
1000–10000 субъектов 3–5 млн рублей 200–400 тыс рублей
10000–100000 субъектов 5–10 млн рублей 300–500 тыс рублей
Более 100000 субъектов 10–15 млн рублей 400–600 тыс рублей
Данные особого характера (биометрия, здоровье) до 20 млн рублей до 1.5 млн рублей

Эти суммы могут быть серьезной нагрузкой для среднего бизнеса. Даже для крупных компаний это серьёзные репутационные и финансовые риски.

Оборотный штраф: важное нововведение за утечку персданных

Одно из самых опасных изменений — это введение оборотного штрафа.
Он применяется, если:

  • Вы уже попадались на инциденте ранее
  • Произошла повторная утечка (даже «незначительных» данных)

Размер: от 1 до 3 % от годовой выручки.

Но есть правила:

  • Не менее 20 млн рублей
  • Не более 500 млн рублей

Формально оборотный штраф может быть применён даже в случае повторной утечки обычной контактной информации — достаточно, чтобы у РКН были основания считать, что организация проявляет систематическую халатность.

Что делать бизнесу для соблюдения 152-ФЗ?

В первую очередь стоит:

  • Проверить статус в реестре РКН. Убедитесь, что сведения о Вас, как об Операторе ПДн внесены. Это касается даже тех, кто работает с базами внутри CRM или отправляет e-mail-рассылки
  • Срочно подать (или обновить) уведомление. Если вы раньше вносили сведения, но с тех пор изменились цели, способы обработки или произошли иные перемены — подайте корректировку
  • Назначить ответственного за обработку и защиту ПДн. Это может быть сотрудник службы безопасности, юрист или IT-специалист, но у него должна быть чёткая зона ответственности и понимание законодательства
  • Обучить персонал. Утечки чаще всего происходят по вине людей: неправильная настройка доступа, скачивание данных на личные устройства, пересылка по открытым каналам
  • Настроить мониторинг инцидентов. Даже небольшая система логирования и контроля поможет оперативно выявить подозрительные события
  • Подготовить шаблоны уведомлений. Чем быстрее вы сможете среагировать, тем больше шансов снизить штраф. Документы должны быть готовы заранее: предварительное сообщение в РКН, расширенный отчёт, уведомления субъектам данных и СМИ
  • Проводить регулярные аудиты. Регулярность проверок позволит вовремя заметить возможные нарушения.

Главное — не откладывать выполнение требований РКН. Новые реалии законодательства требуют от компаний подготовки к инцидентам и более внимательного отношения к утечкам данных.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги