Привет! Сегодня напомним о наиболее важных изменениях в законодательстве, касающихся персональных данных. Некоторые изменения актуальны с марта 2025.

Что изменится?

Изменения в законодательстве направлены на повышение прозрачности и безопасности обработки персональных данных, а также повышения уровня ответственности за нарушения требований к обработке персональных данных.

Основные изменения

Повышенные штрафы за утечки данных

  • Утечка данных 1−10 тысяч субъектов: штрафы от 3 до 5 млн рублей

  • Более 100 тысяч субъектов: до 15 млн рублей

  • Повторные утечки: до 3% годового оборота компании

Жёсткие требования к Единой биометрической системе (ЕБС)

  • Несанкционированное использование ЕБС обойдётся в штраф от 500 тыс. до 1 млн рублей

  • Обработка данных без аккредитации: от 1 до 2 млн рублей

Уголовная ответственность за нарушения

  • Незаконная обработка данных грозит штрафами до 700 тыс. рублей или лишением свободы до 5 лет

  • Серьёзные утечки с последствиями: до 10 лет лишения свободы

Для большей наглядности мы свели всё в табличку.

На всякий случай напомним, что изменения затрагивают все организации, работающие с персональными данными.

Чтобы соответствовать новым требованиям, важно начать подготовку уже сейчас. Мы рекомендуем проверить вашу готовность к нововведениям и базово пройтись хотя бы по основным пунктам.

  • Аналитика текущих процессов. Проведите аудит обработки данных, чтобы выявить потенциальные риски утечек и нарушения законодательства.

  • Инвестируйте в безопасность. Увеличьте бюджет на информационную безопасность. Закон предусматривает смягчение штрафов, если компания тратит не менее 0,1% выручки на ИБ.

  • Технические и организационные меры. Внедрите системы мониторинга утечек, контроля доступа и защиты данных, включая шифрование и резервное копирование.

  • Введите регулярные аудиты. Ежегодные проверки на соответствие требованиям закона — обязательный шаг для минимизации риска штрафов

Обращаем ваше внимание, это именно минимально необходимый перечень. Мы видим в российском праве явную тенденцию к ужесточению ответственности за нарушение законодательства о персональных данных, дальнейшей диверсификации составов административных правонарушений и введению уголовной ответственности за ряд нарушений.

Во избежание возникновения любых рисков операторам персональных данных, как минимум, необходимо удостовериться, что они полностью соблюдают соответствующие положения законодательства, а также убедиться в защищённости данных в используемых ими информационных системах.

P. S.

Для более детальной оценки соответствия инфраструктуры требованиям законодательства можно воспользоваться услугами компаний-аудиторов. Например, Cloud4Y предлагает услуги аудита защищённости систем обработки персональных данных, создание систем защиты ПДн, предоставление заключения о соответствии, проводит анализ уязвимостей информационных систем и веб-приложений. Если вы заинтересованы в организации надёжной защиты ваших систем, наши специалисты готовы помочь с этим вопросом.

Спасибо за внимание, ваш Cloud4Y. Читайте нас здесь или в Telegram‑канале!

Комментарии (3)


  1. Ivnika
    17.02.2025 08:31

    С одной стороны суровость законов нивелируется их неисполнением ( , с другой неплохое начало, главное чтобы не вылилось в охоту на ведьм оставив реальных крупных игроков (банки и тп) в неприкосновенности


  1. nin-jin
    17.02.2025 08:31

    А подпадают ли криптоконтейнеры под закон о персональных данных? Ну то есть, на стороне пользователя данные шифруются, упаковываются в контейнеры, а они уже сохраняются на сервере. С сервера доступ к контейнерам есть, но к самим данным - нет. Сам пользователь может дать право доступа другому пользователю, передав ему ключ шифрования. И может забрать это право в дальнейшем в любой момент.


    1. SmileyK
      17.02.2025 08:31

      Тут в игру еще вступают уровни криптозащиты , а так же под какую категорию о ПНД вы попадаете …