710 млн записей с персональными данными россиян утекли в сеть в 2024 году. Роскомнадзор официально зафиксировал 135 таких утечек.
Власти отреагировали на рост их числа: оборотные штрафы, усиленные санкции за утечку биометрии и много других новшеств. Рассказываем о рисках, штрафах и даже сроках. А также о действиях, которые помогут этого избежать.

❯ Ответственность по 152-ФЗ и изменения

Главным законом, регулирующим обработку персональных данных, остаётся 152-ФЗ. Но с декабря 2024 года вступили в силу сразу два Федеральных закона, которые ужесточают ответственность за нарушения. Вот они:

• ФЗ-420 с изменениями в Кодекс об административных правонарушениях РФ;

• ФЗ-421, изменивший Уголовный Кодекс РФ.

❯ Уведомление Роскомнадзора и штрафы

А с 30 мая 2025 года вступили в силу новые нормы, ужесточающие ответственность за утечку персональных данных.

Кроме самой утечки данных, штрафы теперь грозят оператору (любому физическому или юридическому лицу, которое собирает, хранит или передаёт данные) за неуведомление Роскомнадзора:

• если оператор не уведомил о сборе — до 300 000 рублей для юрлиц;

• если не сообщил об утечке в течение 24 часов — до 3 миллионов рублей для юрлиц.

❯ Особые категории данных

В новых законах появились категории данных, за утечки которых предусмотрена особая ответственность:

• Биометрия. За её утечку юрлицу грозит самый крупный штраф — до 20 миллионов рублей.

• Данные несовершеннолетних — штраф до 700 000 рублей.

• Трансграничная передача данных — штраф до 2 миллионов рублей.

❯ Что влияет на размер штрафа

Его размер зависит от количества субъектов персональных данных в утечке. Если с момента первого нарушения прошло менее года, утечку признают повторной. Компания получит за неё оборотный штраф — от 1 до 3% годовой выручки с максимальным размером 500 миллионов рублей.

Закон предусматривает три смягчающих обстоятельства, которые позволят нарушителю рассчитывать на минимальный размер штрафа:

• наличие ежегодных расходов на информационную безопасность в течение последних трёх лет;

• документально подтверждённое соблюдение требований к защите данных при их обработке;

• отсутствие отягчающих обстоятельств вроде продолжения деятельности, несмотря на требование уполномоченных лиц прекратить её.

❯ Уголовная ответственность за утечку данных — теперь реальность

ФЗ-421 определяет максимальные сроки, которые может получить осуждённый за нарушения в области персональных данных:

• без отягчающих обстоятельств — до 4 лет;

• при обработке данных несовершеннолетних — до 5 лет;

• при трансграничной передаче — до 8 лет;

• группой по предварительному сговору и с крупным ущербом — до 10 лет.

❯ Штрафы, сроки — что ещё?

Могут ли заблокировать ресурс, на котором не соблюдаются правила сбора персональных данных? Такой меры в ФЗ-152 нет, но по решению суда доступ могут временно ограничить за несоблюдение законодательства.

Репутационные риски также не стоит сбрасывать со счетов, хоть их и невозможно измерить. После утечек компании теряют в объёмах продаж и количестве клиентов. Перспективные контрагенты также не выстраиваются к ним в очередь для сотрудничества.

❯ Кто несёт ответственность за нарушения при обработке ПД

Любой оператор персональных данных:

• физическое лицо;

• индивидуальный предприниматель;

• должностное лицо;

• государственные и муниципальные структуры;

• юридические лица.

Отсутствие в «Реестре операторов ПД» не освобождает от административной и уголовной ответственности за нарушения закона.

Компания отвечает за утечку в любом случае, даже если она вызвана действиями третьих лиц. Помимо административной и уголовной ответственности, если утечка вызвала убытки для субъектов ПД, компания станет ответчиком в суде.

Для разработчиков ПО, которое компания использовала для защиты своих утёкших данных, ответственность пока не предусмотрена. Однако Минэкономразвития уже предлагало штрафы и для них.

За утечку по вине подрядчика, который должен был обеспечить безопасность данных, отвечает оператор. Убедить суд в том, что утечка вызвана действиями третьих лиц в большинстве случаев не удаётся. Однако оператор может взыскать с подрядчика неустойку или обратиться в суд для возмещения убытков.

❯ Что нужно делать бизнесу уже сейчас

• Документировать. Составить модель угроз и план обработки данных по стандартам ФСТЭК, написать или обновить политики безопасности, назначить ответственного за информационную безопасность. Эти действия уменьшают не только риски, но и размер штрафа в случае утечки.

• Автоматизировать. Установить и регулярно обновлять необходимое ПО для защиты данных, сделать мониторинг угроз непрерывным и автоматическим.

• Уведомлять. Убедиться, что все необходимые уведомления о сборе ПД правильно составлены и направлены в Роскомнадзор.

• Выбирать. Раз за действия подрядчиков отвечает оператор ПД, важно, чтобы они были в безопасности. Например, облачная инфраструктура Timeweb Cloud развёрнута на серверах в России и полностью соответствует 152-ФЗ со всеми последними изменениями.

❯ Вывод: легче защитить, чем разгребать последствия

Пренебрежение защитой персональных данных становится для бизнеса всё дороже. Лучше заранее предпринять все необходимые меры, чем потом разбираться со штрафами, уголовным преследованием, исками о возмещении ущерба от утечек и «подсушиванием» подмоченной репутации.

Присмотритесь к нашим сервисам, решениям и инструментам.Размещайте и запускайте свои проекты в облаке — будущее уже здесь!

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩

? Читайте также:

• ➤ Инфраструктура, которую видно: как мы делаем визуализацию облака

• ➤ Почему в 2025 году важно уметь писать промпты, даже если вы не технарь. Без этого навыка уже никуда

• ➤ Пока ты делаешь 10 задач в день, кто-то делает одну — и получает больше

• ➤ Как мы построили систему автотестов с 5 000+ проверками в Timeweb Cloud

• ➤ Артефакты с балкона: о чём говорят забытые вещи