Новые штрафы за нарушения обработки персональных данных

С 30 мая 2025 увеличились штрафы за нарушения при работе с персональными данными. Разберёмся по пунктам, что делать и к чему готовиться.

Что считается персональными данными и как их можно обрабатывать

По закону под персональными данными понимается любая информация, которая позволяет идентифицировать человека. Это может быть ФИО, дата рождения, паспорт, адрес регистрации или проживания, телефон, email, а также фото и видео, на которых можно узнать конкретное лицо.
В бизнесе с такими данными работает практически каждая компания или ИП. Это сведения о работниках, клиентах, подрядчиках или пользователях сайта.
Обработка персональных данных — это любые действия с ними: сбор, хранение и т.д. Работать с такими данными можно только на законных основаниях. Самые частые — наличие согласия или выполнение условий договора.
Для бизнеса обработкой данных является:

подбор сотрудников, трудоустройство, кадровые изменения;
взаимодействие с самозанятыми и исполнителями по договорам;
заключение соглашений с физлицами;
ведение бухгалтерии, налоговой и пенсионной отчетности;
использование форм обратной связи на сайте;
продвижение услуг, товаров, работ;
иные процессы, связанные с персональными данными.

Поскольку ИП и компании используют в работе данные физических лиц, они автоматически становятся операторами таких данных. А значит, обязаны обрабатывать их корректно. Руководителям стоит понимать, какие санкции последуют за нарушение правил.

Штрафы за нарушения

ИП приравнены к юрлицам

Индивидуальные предприниматели несут такую же ответственность, как и компании. Это означает, что суммы штрафов для ИП вырастут в разы. Конкретные суммы ждут вас в тексте ниже.

Санкции за отсутствие уведомления Роскомнадзора

Согласно закону «О персональных данных», каждый оператор обязан уведомить Роскомнадзор о начале работы с данными. После этого его включают в специальный реестр.

Раньше за неуведомление не было отдельной ответственности — максимум могли оштрафовать на 5 000 ₽ за непредоставление информации госорганам. Теперь всё строже. Штраф за отсутствие уведомления — от 100 000 до 300 000 ₽. Проверить, отправлялось ли уведомление, можно в реестре Роскомнадзора.

Утечка + отсутствие уведомления = штраф до 3 миллионов

Если произошла утечка данных, а уведомление в Роскомнадзор не подавалось, штраф увеличивается в 10 раз. Сумма — от 1 000 000 до 3 000 000 ₽. Отдельно за неуведомление в этом случае уже не штрафуют.

Жестче штраф за отсутствие согласия

Чтобы избежать штрафа, нужно либо получить согласие на обработку данных, либо иметь иное правовое основание, например, договор.

Важно: если обработка происходит по договору, можно использовать только те данные, которые нужны для его исполнения (например, паспорт и реквизиты). Для дополнительных данных требуется отдельное согласие.

Штраф за работу с данными без согласия:

до 150 000-300 000 ₽ за первое нарушение;
до 300 000-500 000 ₽ за повторное.

Новые штрафы за масштаб утечек

Теперь будут учитывать не только количество пострадавших, но и число утекших уникальных данных.

Три уровня утечек:

Небольшие — 1 000-10 000 человек или 10 000-100 000 данных. За такую утечку грозит штраф от 3 000 000 до 5 000 000 ₽.

Средние — 10 000-100 000 человек или 100 000-1 000 000 данных. Такая утечка подразумевает штраф от 5 000 000 до 10 000 000 ₽.

Крупные — более 100 000 человек или более 1 000 000 данных. За утечку такого уровня штраф составит от 10 000 000 до 15 000 000 ₽.

Повторная утечка — до полумиллиарда штрафа

Если произошла повторная утечка, штраф будет составлять от 1 до 3% годовой выручки. Минимум — 20 000 000 ₽, максимум — 500 000 000 ₽.

Отдельные санкции за утечку чувствительных и биометрических данных

К чувствительным относятся данные о здоровье, расе, вероисповедании, политике, судимости и интимной жизни. Биометрия — это информация о физиологических признаках: отпечатки пальцев, голос, сетчатка и пр.

Штраф за утечку спецданных: от 10 000 000 до 15 000 000 ₽
Штраф за утечку биометрии: от 15 000 000 до 20 000 000 ₽

Как видите, все очень строго и серьезно. Рекомендуем проверить процессы обработки персональных данных.

Что такое списание дебиторской задолженности и зачем оно нужно

Представьте ситуацию: у вас на балансе «висит» долг контрагента, а шансов его получить уже нет. Суд пройден, приставы развели руками, должника ликвидировали или давно истёк срок исковой давности. В учёте эта сумма всё ещё числится, но в жизни её уже не существует. В этот момент и возникает необходимость списания дебиторской задолженности. Списание дебиторской задолженности — … Continue reading «Что такое списание дебиторской задолженности и зачем оно нужно»

Читать

Что такое договор на оказание услуг и как его составить

Представьте, что вы договорились об услуге «на словах». Все всё поняли по‑своему, сроки поплыли, оплата повисла в воздухе. Знакомо? Именно для того, чтобы таких ситуаций не было, и нужен договор на оказание услуг. Договор на оказание услуг — это соглашение между заказчиком и исполнителем. Исполнитель берёт на себя обязательство выполнить определённые действия или вести деятельность, … Continue reading «Что такое договор на оказание услуг и как его составить»

Читать

НДС с аванса: зачем он вообще нужен и почему его нельзя игнорировать

Представьте ситуацию: вы получили от клиента предоплату, а до фактической отгрузки товара ещё неделя или месяц. Деньги уже на счёте, а товара у клиента пока нет. Нужно ли с этих денег платить НДС уже сейчас? Да, нужно. И это как раз тот случай, когда появляется НДС с аванса — налог, который продавец начисляет в момент … Continue reading «НДС с аванса: зачем он вообще нужен и почему его нельзя игнорировать»

Читать

Больше интересных новостей в нашем Telegram канале

Присоединяйтесь и получайте полезную информацию для процветания вашего бизнеса!

Читать в Telegram