Новые штрафы за обработку персональных данных в 2025 году
Время на чтение: 6 мин.
Наказания за нарушения в области обработки персональных данных ужесточили — добавили новые многомиллионные штрафы за обработку персональных данных, а суммы старых кратно увеличили.
В этой статье:
- Закон о персональных данных: ужесточение нарушений
- Новые штрафы за нарушение обработки персональных данных
- Новые штрафы за утечку персональных данных
- Что сделать для организации хранения и обработки персональных данных
Закон о персональных данных: ужесточение нарушений
Требования к операторам персональных данных и новые суммы штрафов прописали в Федеральном законе N 420-ФЗ от 30 ноября 2024, но бизнесу и ответственным лицам дали полгода на адаптацию — изменения вступили в силу 30 мая 2025 года.
За нарушение в каких областях ужесточили наказание:
- неправомерная обработка персданных, например, без уведомления;
- утечка данных — первичная или вторичная;
- утечка специальных и биометрических персональных данных;
- отсутствие уведомления Роскомнадзора о начале обработки или утечке данных.
Штрафы за разглашение, передачу третьим лицам, несоблюдение порядка обработки, хранения и уничтожения тоже могут ударить по финансовым показателям компании или ИП. Чтобы обезопасить бизнес, важно внимательно читать требования закона и обеспечить защиту персональных данных работников на бумаге, на электронных носителях и в информационных системах.
Новые штрафы за нарушение обработки персональных данных
С 30 мая 2025 года, если компания или ИП начинают обрабатывать персональные данные, то им нужно помнить сразу о двух видах штрафов: санкции за нарушение федерального закона и ответственность перед Роскомнадзором.
До вступления в силу изменений, получить штраф от ведомства можно было при условии, что инспекторы РКН сами найдут нарушения у компании или ИП, а за отсутствие уведомления о начале обработки штрафа вообще не было. Теперь, если после 30 мая не послать уведомление в Роскомнадзор, то оператор рискует получить штраф до 3 миллионов рублей.
Если вы ещё не отправили уведомление, то стоит поспешить — сформировать его на портале pd.rkn.gov.ru. Малый бизнес из реестра МСП, который не уведомит РКН или сделает это с опозданием, оштрафуют минимум на 50 тысяч рублей. Основание — ч. 10 ст. 13.11 КоАП РФ.
Таблица штрафов за нарушение обработки персональных данных.
| Вид нарушения | Кто нарушил | Штрафы до 30 мая 2025 года (тыс. руб.) | Штрафы после 30 мая 2025 года (тыс. руб.) |
|---|---|---|---|
| Первичное нарушение правил обработки персональных данных | Физическое лицо | от 2 до 6 | от 10 до 15 |
Ответственное (должностное) лицо | от 10 до 20 | от 50 до 100 | |
Компания | от 60 до 100 | от 150 до 300 | |
| Повторное (и далее) нарушение правил обработки персональных данных | Физическое лицо | от 4 до 12 | от 15 до 30 |
Ответственное (должностное) лицо | от 20 до 50 | от 100 до 200 | |
ИП | от 50 до 100 | от 100 до 200 | |
Компания | от 100 до 300 | от 300 до 500 |
Закон ужесточили — внесли новые нарушения и штрафы. Поэтому имеет смысл подстраховаться — не только направить уведомление в Роскомнадзор, но и прописать в нём все цели, для чего вы собираете персональные данные у физических лиц.
Впрочем мы об этом уже писали вы статье Подайте уведомление в Роскомнадзор!
Новые штрафы за утечку персональных данных
Теперь организации или предпринимателю придётся платить штраф пропорционально объёму данных, которые попали в общий доступ — размер отчислений в бюджет сделали оборотным.
Если допустить утечку повторно, то бизнес оштрафуют в размере от 1 до 3 процентов годовой выручки.
Новые штрафы, которые действуют с 30 мая 2025 года.
| Объём утечки | Штраф для физлица (тыс. руб.) | Штраф для ответственного (должностного) лица (тыс. руб.) | Штраф для компании (млн руб.) |
|---|---|---|---|
| От 1 000 до 10 000 субъектов, и/или от 10 000 до 100 000 идентификаторов | от 100 до 200 | от 200 до 400 | от 3 до 5 |
| От 10 000 до 100 000 субъектов, и/или от 100 000 до 1 000 000 идентификаторов | от 200 до 300 | от 300 до 500 | от 5 до 10 |
| Более 100 000 субъектов, и/или более 1 000 000 идентификаторов | от 300 до 400 | от 400 до 600 | от 10 до 15 |
Если допустить повторную утечку, то придется заплатить больше.
| Вид повторной утечки | Штраф для физлица (тыс. руб.) | Штраф для ответственного (должностного) лица (млн руб.) | Штраф для компании |
|---|---|---|---|
| Утекли только общие данные | от 400 до 600 | от 0,6 до 1 | от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 20 и не более 500 млн руб. |
| Утекла не только общая информация, но и специальные данные, биометрия | от 500 до 800 | от 1,5 до 2 | от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 25 и не более 500 млн руб. |
Что сделать для организации хранения и обработки персональных данных
Чтобы не вызывать вопросы со стороны контрольных органов и не создавать риски для утечки, компании или индивидуальному предпринимателю стоит регулярно выполнять несколько мероприятий.
Опубликовать политику компании по использованию персональных данных. Важно предоставить физический доступ к документу, например, разместить его на специальном стенде в офисе. Если у предпринимателя нет офиса или сотрудники находятся на «удалёнке», то опубликовать политику на интернет‑ресурсе с общим доступом, например, на официальном сайте компании. Более того, если у бизнеса есть свой сайт, то публиковать там политику обработки персональных данных пользователей нужно в обязательном порядке.
Если документ не сделать или не опубликовать, то можно получить штраф:
- 1,5 – 3 тыс. руб. для физических лиц;
- 6 – 12 тыс. руб. для должностных лиц;
- 10 – 20 тыс. руб. для ИП;
- 30 – 60 тыс. руб. для компаний.
Скачать образец политики защиты и обработки персональных данных
Скачать образец политики обработки персональных данных пользователей интернет‑сайта
Вовремя отвечать за запросы владельца персональных данных. Сотрудник может спросить работодателя — как именно он обрабатывает и хранит его данные. На его запрос важно не только ответить, но и сделать это вовремя — в течение 30 дней.
Если игнорировать запрос, то можно получить штраф:
- 2 – 4 тыс. руб. для физических лиц;
- 8 – 12 тыс. руб. для должностных лиц;
- 20 – 30 тыс. руб. для ИП;
- 40 – 80 тыс. руб. для компаний.
Организовать хранение персональных данных. Закон разделяет два вида обработки данных — автоматизированный и неавтоматизированный. Если сведения о сотрудниках вносятся в компьютерные базы, значит, надо организовать защиту электронных носителей информации, например:
- установить режим безопасности в помещениях, где находится компьютер с базой данных;
- определить лиц, которым разрешат доступ к базам;
- применять шифровальные (криптографические) средства для защиты и копирования информации.
Если персональные данные обрабатывают без автоматизации — на бланках или карточках — надо организовать защиту места хранения. Например, приобрести надёжный сейф, ограничить доступ в комнату, где хранятся данные.
Если не обеспечить сохранность носителей, то назначат штраф:
- 1,5 – 4 тыс. руб. для физических лиц;
- 8 – 20 тыс. руб. для должностных лиц;
- 20 – 40 тыс. руб. для ИП;
- 50 – 100 тыс. руб. для компаний.
Следить за уничтожением персональных данных. Сотрудник или его уполномоченный представитель, на которого он оформил доверенность, могут потребовать уничтожить персональные данные, отозвать согласие на их обработку. Такие требования будут обоснованы, если информация:
- утратила актуальность;
- была получена незаконно;
- используется в целях, которые не закреплены в политике защиты и обработки персональных данных.
Если владелец персональных данных потребовал их уничтожить, то продолжать обработку и хранение нельзя, иначе придется заплатить штраф:
- 2 – 4 тыс. руб. для физических лиц, в случае повторного нарушения — 20 – 30 тыс. руб.
- 8 – 20 тыс. руб. для должностных лиц, в случае повторного нарушения — 30 – 50 тыс. руб.
- 20 – 40 тыс. руб. для ИП, в случае повторного нарушения — 50 – 100 тыс. руб.
- 50 – 90 тыс. руб. для компаний, в случае повторного нарушения — 300 – 500 тыс. руб.
А еще важно уложиться в сроки уничтожения — 7 дней в случае требования от сотрудника, 10 дней, если ошибку нашёл сам оператор, и 30 дней, если данные надо уничтожить, потому что выполнена цель их обработки.
Бумажные носители можно измельчить в шредере или сжечь, компьютерные файлы — стереть, носители — отформатировать.
В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, сайта kontur.ru, сайта www.buhonline.ru, сайта самозанятые.рф, сайта mertech.ru, а также материалы и обзоры из их телеграм‑каналов.
Владельцам бизнеса
Штрафов и конфликтов с контролирующими организациями вы можете избежать полностью, если заключите с нами Договор на Аутсорсинг бухгалтерских услуг
ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский и налоговый учёт,кадровый учёт и расчёт заработной платы, воинский учёт, составление необходимых форм отчётности, ведение 1С, а также юридическую поддержку.
Мы обеспечим учёт в полном соответствии с законодательством РФ, защиту базы данных и предоставим страховку от штрафов.
В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ЖСК и СНТ зарегистрированными и ведущими свою деятельность на территории Санкт‑Петербурга и Ленинградской области.
Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.
Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.
Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:
или оставить заявку в чате.
