Новые штрафы за нарушения обработки персональных данных

С 30 мая 2025 увеличились штрафы за нарушения при работе с персональными данными. Разберёмся по пунктам, что делать и к чему готовиться.

Что считается персональными данными и как их можно обрабатывать

По закону под персональными данными понимается любая информация, которая позволяет идентифицировать человека. Это может быть ФИО, дата рождения, паспорт, адрес регистрации или проживания, телефон, email, а также фото и видео, на которых можно узнать конкретное лицо.
В бизнесе с такими данными работает практически каждая компания или ИП. Это сведения о работниках, клиентах, подрядчиках или пользователях сайта.
Обработка персональных данных — это любые действия с ними: сбор, хранение и т.д. Работать с такими данными можно только на законных основаниях. Самые частые — наличие согласия или выполнение условий договора.
Для бизнеса обработкой данных является:

• подбор сотрудников, трудоустройство, кадровые изменения;
• взаимодействие с самозанятыми и исполнителями по договорам;
• заключение соглашений с физлицами;
• ведение бухгалтерии, налоговой и пенсионной отчетности;
• использование форм обратной связи на сайте;
• продвижение услуг, товаров, работ;
• иные процессы, связанные с персональными данными.

Поскольку ИП и компании используют в работе данные физических лиц, они автоматически становятся операторами таких данных. А значит, обязаны обрабатывать их корректно. Руководителям стоит понимать, какие санкции последуют за нарушение правил.

Штрафы за нарушения

ИП приравнены к юрлицам

Индивидуальные предприниматели несут такую же ответственность, как и компании. Это означает, что суммы штрафов для ИП вырастут в разы. Конкретные суммы ждут вас в тексте ниже.

Санкции за отсутствие уведомления Роскомнадзора

Согласно закону «О персональных данных», каждый оператор обязан уведомить Роскомнадзор о начале работы с данными. После этого его включают в специальный реестр.

Раньше за неуведомление не было отдельной ответственности — максимум могли оштрафовать на 5 000 ₽ за непредоставление информации госорганам. Теперь всё строже. Штраф за отсутствие уведомления — от 100 000 до 300 000 ₽. Проверить, отправлялось ли уведомление, можно в реестре Роскомнадзора.

Утечка + отсутствие уведомления = штраф до 3 миллионов

Если произошла утечка данных, а уведомление в Роскомнадзор не подавалось, штраф увеличивается в 10 раз. Сумма — от 1 000 000 до 3 000 000 ₽. Отдельно за неуведомление в этом случае уже не штрафуют.

Жестче штраф за отсутствие согласия

Чтобы избежать штрафа, нужно либо получить согласие на обработку данных, либо иметь иное правовое основание, например, договор.

Важно: если обработка происходит по договору, можно использовать только те данные, которые нужны для его исполнения (например, паспорт и реквизиты). Для дополнительных данных требуется отдельное согласие.

Штраф за работу с данными без согласия:

• до 150 000-300 000 ₽ за первое нарушение;
• до 300 000-500 000 ₽ за повторное.

Новые штрафы за масштаб утечек

Теперь будут учитывать не только количество пострадавших, но и число утекших уникальных данных.

Три уровня утечек:

Небольшие — 1 000-10 000 человек или 10 000-100 000 данных. За такую утечку грозит штраф от 3 000 000 до 5 000 000 ₽.

Средние — 10 000-100 000 человек или 100 000-1 000 000 данных. Такая утечка подразумевает штраф от 5 000 000 до 10 000 000 ₽.

Крупные — более 100 000 человек или более 1 000 000 данных. За утечку такого уровня штраф составит от 10 000 000 до 15 000 000 ₽.

Повторная утечка — до полумиллиарда штрафа

Если произошла повторная утечка, штраф будет составлять от 1 до 3% годовой выручки. Минимум — 20 000 000 ₽, максимум — 500 000 000 ₽.

Отдельные санкции за утечку чувствительных и биометрических данных

К чувствительным относятся данные о здоровье, расе, вероисповедании, политике, судимости и интимной жизни. Биометрия — это информация о физиологических признаках: отпечатки пальцев, голос, сетчатка и пр.

• Штраф за утечку спецданных: от 10 000 000 до 15 000 000 ₽
• Штраф за утечку биометрии: от 15 000 000 до 20 000 000 ₽

Как видите, все очень строго и серьезно. Рекомендуем проверить процессы обработки персональных данных.