Новые штрафы Роскомнадзора

🚨 Новые штрафы Роскомнадзора за нарушения в сфере персональных данных: что нужно знать бизнесу с 30 мая 2025 года

Для начала разберем что входит в состав понятия «Персональные данные».

И так персональные данные — это любая информация, которая относится к конкретному человеку или позволяет его идентифицировать. Другими словами, это всё, что может помочь узнать личность человека напрямую или косвенно.

4 категории персональных данных

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» выделяет четыре категории персональных данных:

1. Общие — базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email.
2. Специальные — информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
3. Биометрические — физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, группа крови, генетическая информация.
4. Иные — всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определённой социальной группе, корпоративные данные (зарплата, периоды отпусков, стаж).

Таким образом в состав персональных данных входят практически любые сведения, так или иначе связанные с личностью конкретного человека. При этом все эти данные строго охраняются законом.

Так с 30 мая 2025 года в России вступили в силу масштабные изменения в законодательстве о персональных данных. Штрафы за нарушения выросли в десятки раз, а Роскомнадзор усиливает надзор за обработкой персональных данных. В этом посте мы разберем ключевые нарушения и новые размеры санкций, которые коснутся практически все организации и ИП.

Обработка персональных данных без согласия субъекта 

Что считается нарушением: Сбор, хранение или использование персональных данных без получения письменного согласия субъекта, за исключением случаев, предусмотренных законом (например, трудовые отношения).

Ответственность (ч. 2 ст. 13.11 КоАП РФ):

• Для граждан: 10 000 – 15 000 руб.(первое нарушение), 15 000 – 30 000 руб. (повторное нарушение).
• Для должностных лиц: 100 000 – 300 000 руб.(первое нарушение), 300 000 – 500 000 руб. (повторное нарушение).
• Для юридических лиц и ИП: 300 000 – 700 000 руб.(первое нарушение), 1 – 1,5 млн руб. (повторное нарушение).

Распространение персональных данных без согласия

Что считается нарушением: Передача данных третьим лицам или их публикация без согласия субъекта, включая случаи, когда данные становятся доступными неавторизованным сотрудникам.

Ответственность зависит от масштаба нарушения.

• Например, дисциплинарная ответственность (ст. 81 ТК РФ). Основание для расторжение трудового договора с работником распространившем персональные данные по инициативе работодателя.
• Административная (ст. 13.11, 13.14 КоАП РФ) применяется, если деяние не сопряжено с уголовным составом. Размер штрафа — до 5000 рублей, а для юрлиц — до 200 000 рублей.
• Уголовная (ст. 137 УК РФ) применяется, если виновный незаконно собирал и распространял сведения о личной жизни человека без согласия (фото, аудио, видео, медицинские документы). Наказание в виде штрафа, а также обязательные или исправительные работы вплоть до лишения свободы.
• Гражданско-правовая ответственность.  Пострадавший сотрудник, сведения о котором незаконно раскрыли, может потребовать возместить убытки и компенсировать моральный вред (ст. 15, 151 ГК). Размер компенсации определяет суд с учётом того, насколько пострадала репутация человека из-за разглашения персональных данных третьим лицам.

Задайте вопрос всем юристам на сайте

659 юристов отвечают

48 минут среднее время ответа

458 вопросов за сутки

Опишите ваш вопрос или ситуацию простыми словами. Начните с вопросительных слов, таких как «Что», «Как», «Можно ли» и т.д.

Задать вопрос

Незаконная обработка персональных данных

Незаконной обработкой персональных считается обработка данных без четко сформулированных целей или с нарушением установленных правил. Например, использование данных для целей, не указанных в политике конфиденциальности.

Ответственность по общему составу (ч. 1 ст. 13.11 КоАП РФ):

• Для юридических лиц: 150 000 – 300 000 руб.(первое нарушение), 300 000 – 500 000 руб. (повторное нарушение)

Передача персональных данных с нарушением правил

Это когда передача данных подрядчикам без заключения договора о совместной обработке или передача данных за рубеж без соблюдения требований о локализации.

Ответственность наступает, например, за передачу биометрических данных:

• Для организаций и ИП: 15–20 млн руб.(первое нарушение), 1–3% годовой выручки (но не менее 25 млн руб.) для повторного нарушения.

Утечка персональных данных

Утечкой персональных данные считается любое неправомерное распространение данных, включая доступ к данным сотрудников, не авторизованных для работы с ними (например, если не издан приказ о допуске). Утечкой также считается публикация клиентской базы или компрометация паролей.

Ответственность зависит от объема утечки санкции могу применяться разные:

• 1 000–10 000 субъектов: 3–5 млн руб. для юрлиц.
• Более 100 000 субъектов: 10–15 млн руб. для юрлиц.
• Повторная утечка: штраф в размере 1–3% годовой выручки(минимум 20–25 млн руб., максимум 500 млн руб.).

Нарушения при работе с биометрическими данными

Это обработка биометрии (отпечатки пальцев, изображения лиц, записи голоса) без аккредитации или без принятия мер безопасности.

Ответственность:

• Для организаций и ИП: 15–20 млн руб.(первое нарушение), 1–3% годовой выручки (повторное нарушение).

Неисполнение обязанностей при взаимодействии с Роскомнадзором 

Отсутствие регистрации в реестре операторов.

Все организации и ИП, обрабатывающие персональные данные, обязаны уведомить Роскомнадзор до начала обработки.

Ответственность:

• Для должностных лиц: 30 000 – 50 000 руб.
• Для организаций и ИП: 100 000 – 300 000 руб.

Несвоевременное уведомление об утечке данных

Если оператор ПД не сообщил в Роскомнадзор об утечке в течение 24 часов с момента обнаружения инцидента, предусмотрена ответственность для организаций и ИП: 1–3 млн руб.

Выводы и рекомендации для бизнеса 

1. Подайте уведомление в Роскомнадзор. Проверьте, есть ли ваша компания в реестре операторов. Если нет — срочно подайте уведомление через портал Роскомнадзора или Госуслуги.
2. Обновите документацию. Разработайте политику обработки персональных данных, назначьте ответственного и проведите аудит процессов.
3. Заключите договоры с подрядчиками. Если передаете данные третьим лицам (например, CRM-системам), убедитесь, что заключены договоры о совместной обработке.
4. Обеспечьте безопасность. Ограничьте доступ к данным только авторизованным сотрудникам и издайте соответствующие приказы.
5. Реагируйте на утечки оперативно. В случае инцидента уведомьте Роскомнадзор в течение 24 часов.

Важно: С 30 мая 2025 года Роскомнадзор активно проводит проверки и блокирует сайты за нарушения. Даже небольшие компании рискуют получить миллионные штрафы.