Новые ожидания РКН: штрафы за персональные данные и как минимизировать последствия
Содержание данной статьи проверено и подтверждено:
Маргарян Карине Вагановна
Юрист в сфере ИТ, специалист по охране и защите интеллектуальной собственностиС конца мая 2025 года в России вступили в силу изменения в правовом регулировании обработки персональных данных.
Поправки, внесённые Федеральным законом № 420 ФЗ от 30 ноября 2024 года в КоАП РФ, изменили подходы, принятые ранее, и ужесточили последствия утечек ПДн.
Кто является Оператором ПДн?
Оператором считается любое юридическое лицо, индивидуальный предприниматель или даже физлицо, если оно автоматизирует обработку ПДн — будь то данные клиентов, сотрудников, посетителей сайта или пользователей мобильного приложения.
Ручная обработка (например, бумажный список клиентов) пока остаётся вне поля действия, однако даже случайная выгрузка Excel с телефона на облако превращает процесс в автоматизированный.
Внесение Оператора ПДн в Реестр Роскомнадзора: требования, сроки, последствия промедления
Если вы обрабатываете персональные данные и не уведомили Роскомнадзор до начала обработки — это нарушение.
Шаг 1. Проверьте, внесены ли вы в Реестр операторов ПДн.
Официальный реестр доступен на сайте Роскомнадзора. Проверка по ИНН или наименованию позволяет понять, направлялось ли уведомление ранее.
- Если запись есть — проверьте актуальность целей, перечня обрабатываемых данных, категорий субъектов, способов обработки и применяемых мер защиты
- Если записи нет — переходите к следующему шагу
Шаг 2. Подайте уведомление в РКН
Важно: требуется уведомить РКН до начала обработки, подав уведомление по форме приказа № 180 от 28.10.2022 через официальный сайт Роскомнадзора, где предусмотрена возможность входа и направления уведомления разными способами: через Госуслуги, ЭЦП или в бумажном формате.
Даже если обработка идёт уже давно — уведомление нужно подать. В противном случае вы остаетесь в «серой зоне» и попадаете под риск административной ответственности.
Важно: уведомление заполняется один раз и обновляется при наличии каких-либо изменений (например, целей обработки, категории субъектов, перечня данных, и т. п.).
Шаг 3. Санкции за неуведомление РКН
Нарушение обязанности уведомления об утечках ПДн — это статья 13.11 КоАП РФ, часть 1.2 (новая редакция с 30.05.2025).
Штрафы:
- Для физических лиц — от 5 000 до 10 000 рублей
- Для должностных лиц — от 50 000 до 100 000 рублей
- Для ИП и организаций — до 300 000 рублей
Однако при первом нарушении возможно вынесение предупреждения — если нарушение не причинило вреда правам субъектов данных и не сопровождалось иными инцидентами (например, утечками).
Если же компания или ИП уже ранее получали предупреждение, и уведомление так и не было подано — штраф становится неизбежным.
Утечки ПДн. Как уведомить регулятора правильно?
У оператора есть всего 24 часа с момента обнаружения утечки, чтобы сообщить о ней в Роскомнадзор. В течение следующих 72 часов необходимо подать расширенный отчёт с деталями: объёмом, характером данных, мерами реагирования и предотвращения последствий.
Несоблюдение этих сроков — прямой путь к санкциям:
- Физические лица — штраф от 50 000 до 100 000 рублей
- Должностные лица — от 400 000 до 800 000 рублей
- Юридические лица и ИП — от 1 до 3 миллионов рублей
Причём даже если утекли «обычные» данные — ФИО, телефон или e-mail — штраф всё равно может быть миллионным. В случае с биометрией или медицинской информацией санкции увеличиваются.
Штрафы за утечку персональных данных:
Количество субъектов | Штраф для организаций | Штраф для должностных лиц |
---|---|---|
1000–10000 субъектов | 3–5 млн рублей | 200–400 тыс рублей |
10000–100000 субъектов | 5–10 млн рублей | 300–500 тыс рублей |
Более 100000 субъектов | 10–15 млн рублей | 400–600 тыс рублей |
Данные особого характера (биометрия, здоровье) | до 20 млн рублей | до 1.5 млн рублей |
Эти суммы могут быть серьезной нагрузкой для среднего бизнеса. Даже для крупных компаний это серьёзные репутационные и финансовые риски.
Оборотный штраф: важное нововведение за утечку персданных
Одно из самых опасных изменений — это введение оборотного штрафа.
Он применяется, если:
- Вы уже попадались на инциденте ранее
- Произошла повторная утечка (даже «незначительных» данных)
Размер: от 1 до 3 % от годовой выручки.
Но есть правила:
- Не менее 20 млн рублей
- Не более 500 млн рублей
Формально оборотный штраф может быть применён даже в случае повторной утечки обычной контактной информации — достаточно, чтобы у РКН были основания считать, что организация проявляет систематическую халатность.
Что делать бизнесу для соблюдения 152-ФЗ?
В первую очередь стоит:
- Проверить статус в реестре РКН. Убедитесь, что сведения о Вас, как об Операторе ПДн внесены. Это касается даже тех, кто работает с базами внутри CRM или отправляет e-mail-рассылки
- Срочно подать (или обновить) уведомление. Если вы раньше вносили сведения, но с тех пор изменились цели, способы обработки или произошли иные перемены — подайте корректировку
- Назначить ответственного за обработку и защиту ПДн. Это может быть сотрудник службы безопасности, юрист или IT-специалист, но у него должна быть чёткая зона ответственности и понимание законодательства
- Обучить персонал. Утечки чаще всего происходят по вине людей: неправильная настройка доступа, скачивание данных на личные устройства, пересылка по открытым каналам
- Настроить мониторинг инцидентов. Даже небольшая система логирования и контроля поможет оперативно выявить подозрительные события
- Подготовить шаблоны уведомлений. Чем быстрее вы сможете среагировать, тем больше шансов снизить штраф. Документы должны быть готовы заранее: предварительное сообщение в РКН, расширенный отчёт, уведомления субъектам данных и СМИ
- Проводить регулярные аудиты. Регулярность проверок позволит вовремя заметить возможные нарушения.
Главное — не откладывать выполнение требований РКН. Новые реалии законодательства требуют от компаний подготовки к инцидентам и более внимательного отношения к утечкам данных.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram