Новые штрафы за нарушения в сфере персональных данных с 30 мая 2025 года
С 30 мая 2025 года бизнес столкнётся с новыми, беспрецедентно жёсткими штрафами за нарушения при обработке персональных данных. Это не просто косметические изменения в КоАП РФ — это полноценный режим повышенной ответственности, где цена ошибки может измеряться миллионами рублей и процентами от годовой выручки.
Поправки к статье 13.11 КоАП РФ затрагивают всех — от небольших ИП до крупных корпораций. Больше не получится списать нарушение на формальность, незнание или «так все делают». За обработку персональных данных без оснований, неполученные или неправильно оформленные согласия, неуведомление о начале обработки или, что особенно критично, утечку данных — грозят штрафы в десятки, а в ряде случаев и сотни раз выше прежних.
На карту поставлена не только репутация, но и финансовая устойчивость компании. За повторные инциденты Роскомнадзор теперь сможет назначить оборотные штрафы — до 3% от годовой выручки, что, по сути, приравнивает нарушения в сфере ПД к налоговым и антимонопольным проступкам по тяжести последствий.
Этот шаг — сигнал: государство окончательно обозначило обработку и защиту персональных данных как зону повышенной цифровой ответственности. До вступления новых санкций в силу остаётся всего несколько дней. Если ваша компания до сих пор не подала уведомление в Роскомнадзор, не провела аудит согласий или не усилила меры кибербезопасности — самое время это сделать.
1. Основные изменения
Новая редакция ст. 13.11 КоАП РФ вводит градацию нарушений и значительно увеличивает штрафы для граждан, должностных лиц, индивидуальных предпринимателей и юридических лиц. Теперь любое нарушение — от забывчивости при уведомлении Роскомнадзора до недостаточной защиты данных — может обернуться не просто штрафом, а многомиллионным взысканием, вплоть до 3 % от годовой выручки. Причём штрафы коснутся как юридических лиц, так и ИП, должностных лиц и даже обычных граждан.
Закон делает акцент на повторных нарушениях, утечках и отсутствии согласий. Утечка биометрии — особая зона риска: штрафы за неё начинаются с 15 миллионов рублей. Больше не важно, была ли угроза реальной — сам факт небрежности станет основанием для сурового наказания.
Эти изменения — не формальность и не «пугалка» от регулятора. Это часть комплексной реформы в сфере цифрового суверенитета, направленной на то, чтобы персональные данные россиян обрабатывались строго по правилам. И компании, которые не успеют адаптироваться, рискуют оказаться не просто оштрафованными — вне рынка.
1.1. Общие нарушения (ч. 1, 1.1 ст. 13.11 КоАП РФ)
Обработка ПД без законных оснований или не в тех целях, для которых они собирались:
- Граждане: 10 000 — 15 000 ₽ (было 2 000 — 6 000 ₽);
- Должностные лица: 50 000 — 100 000 ₽ (было 10 000 — 20 000 ₽);
- Юрлица: 150 000 — 300 000 ₽ (было 60 000 — 100 000 ₽).
Повторное нарушение:
- Граждане: 15 000 — 30 000 ₽;
- Должностные лица: 100 000 — 200 000 ₽;
- Юрлица и ИП: 300 000 — 500 000 ₽.
1.2. Отсутствие согласия на обработку ПД (ч. 2, 2.1)
Если согласие не получено или оформлено с нарушениями:
- Граждане: 10 000 — 15 000 ₽;
- Должностные лица: 100 000 — 300 000 ₽;
- Юрлица: 300 000 — 700 000 ₽.
Повторное нарушение:
- Граждане: 15 000 — 30 000 ₽;
- Должностные лица: 300 000 — 500 000 ₽;
- ИП: 500 000 — 1 000 000 ₽;
- Юрлица: 1 000 000 — 1 500 000 ₽.
2. Новые составы нарушений
2.1. Неуведомление Роскомнадзора (ч. 10, 11)
Не подано уведомление о начале обработки ПД:
- Граждане: 5 000 — 10 000 ₽;
- Должностные лица: 30 000 — 50 000 ₽;
- Юрлица и ИП: 100 000 — 300 000 ₽.
Не сообщили об утечке в течение 24 часов:
- Граждане: 50 000 — 100 000 ₽;
- Должностные лица: 400 000 — 800 000 ₽;
- Юрлица и ИП: 1 000 000 — 3 000 000 ₽.
2.2. Утечка персональных данных (ч. 12—18)
Штрафы зависят от масштаба утечки:
| Количество пострадавших | Граждане | Должностные лица | Юрлица и ИП |
|---|---|---|---|
| 1 000—10 000 человек | 100 000—200 000 ₽ | 200 000—400 000 ₽ | 3 000 000—5 000 000 ₽ |
| 10 000—100 000 человек | 200 000—300 000 ₽ | 300 000—500 000 ₽ | 5 000 000—10 000 000 ₽ |
| Более 100 000 человек | 300 000—400 000 ₽ | 400 000—600 000 ₽ | 10 000 000—15 000 000 ₽ |
| Утечка биометрии | 400 000—500 000 ₽ | 1 300 000—1 500 000 ₽ | 15 000 000—20 000 000 ₽ |
Повторная утечка (в течение года после первого штрафа) грозит:
- 1—3% годовой выручки (минимум 20 миллионов рублей, максимум — 500 миллионов рублей).
3. Что нужно сделать до 30 мая 2025 года?
3.1. Подать уведомление в Роскомнадзор
Если вы ещё не зарегистрированы как оператор ПД, нужно срочно подать уведомление:
- Проверить, есть ли ваша компания в реестре (сайт Роскомнадзора).
- Заполнить форму (указать цели обработки, категории данных, способы защиты).
- Отправить через:
- Госуслуги;
- сайт Роскомнадзора;
- личный визит (с бумажным заявлением).
Важно! Если данные или цели обработки изменятся, нужно обновить уведомление в течение 10 дней.
3.2. Проверить согласия на обработку ПД
Согласие должно быть письменным (или в электронной форме с ЭП), в нём должны быть указаны:
- цели обработки;
- перечень данных;
- срок действия;
- ФИО и контакты оператора.
3.3. Усилить защиту данных
- Шифрование и антивирусная защита;
- Ограничение доступа сотрудников;
- Регулярные проверки уязвимостей.
4. Что делать при утечке?
- В течение 24 часов — сообщить в Роскомнадзор;
- В течение 72 часов — провести расследование и отправить отчёт:
- причины утечки;
- список пострадавших;
- принятые меры.
- Уведомить субъектов ПД, если утечка может причинить им вред.
Вывод
С 30 мая 2025 года штрафы за нарушения в сфере ПД вырастут в 5—50 раз. Чтобы избежать санкций:
— Подайте уведомление в Роскомнадзор (если ещё не сделали этого);— Проверьте согласия на обработку ПД;
— Усильте защиту данных;
— Готовьтесь к проверкам — Роскомнадзор активизирует контроль.
Промедление может стоить бизнесу миллионов! Или — самого бизнеса.