710 млн записей с персональными данными россиян утекли в сеть в 2024 году. Роскомнадзор официально зафиксировал 135 таких утечек.
Власти отреагировали на рост их числа: оборотные штрафы, усиленные санкции за утечку биометрии и много других новшеств. Рассказываем о рисках, штрафах и даже сроках. А также о действиях, которые помогут этого избежать.


❯ Ответственность по 152-ФЗ и изменения

Главным законом, регулирующим обработку персональных данных, остаётся 152-ФЗ. Но с декабря 2024 года вступили в силу сразу два Федеральных закона, которые ужесточают ответственность за нарушения. Вот они:

  • ФЗ-420 с изменениями в Кодекс об административных правонарушениях РФ;

  • ФЗ-421, изменивший Уголовный Кодекс РФ.

❯ Уведомление Роскомнадзора и штрафы

А с 30 мая 2025 года вступили в силу новые нормы, ужесточающие ответственность за утечку персональных данных.

Кроме самой утечки данных, штрафы теперь грозят оператору (любому физическому или юридическому лицу, которое собирает, хранит или передаёт данные) за неуведомление Роскомнадзора:

  • если оператор не уведомил о сборе — до 300 000 рублей для юрлиц;

  • если не сообщил об утечке в течение 24 часов — до 3 миллионов рублей для юрлиц.

Записи ручкой в тетради — пожалуй, единственный формат сбора персональных данных, о котором пока можно не уведомлять Роскомнадзор | <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2Fgray-pen-5_Ez6yEh8EE&postId=1885084" rel="nofollow noreferrer noopener" target="_blank">Источник</a>
Записи ручкой в тетради — пожалуй, единственный формат сбора персональных данных, о котором пока можно не уведомлять Роскомнадзор | Источник

❯ Особые категории данных

В новых законах появились категории данных, за утечки которых предусмотрена особая ответственность:

  • Биометрия. За её утечку юрлицу грозит самый крупный штраф — до 20 миллионов рублей.

  • Данные несовершеннолетних — штраф до 700 000 рублей.

  • Трансграничная передача данных — штраф до 2 миллионов рублей.

За утёкшие «пальчики» бизнес заплатит больше | <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2Fround-black-and-white-light-SRFG7iwktDk&postId=1885084" rel="nofollow noreferrer noopener" target="_blank">Источник</a>
За утёкшие «пальчики» бизнес заплатит больше | Источник

❯ Что влияет на размер штрафа

Его размер зависит от количества субъектов персональных данных в утечке. Если с момента первого нарушения прошло менее года, утечку признают повторной. Компания получит за неё оборотный штраф — от 1 до 3% годовой выручки с максимальным размером 500 миллионов рублей.

Закон предусматривает три смягчающих обстоятельства, которые позволят нарушителю рассчитывать на минимальный размер штрафа:

  • наличие ежегодных расходов на информационную безопасность в течение последних трёх лет;

  • документально подтверждённое соблюдение требований к защите данных при их обработке;

  • отсутствие отягчающих обстоятельств вроде продолжения деятельности, несмотря на требование уполномоченных лиц прекратить её.

Больше документов — вот беспроигрышная бизнес-стратегия | <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2Fstack-of-books-on-table-snNHKZ-mGfE&postId=1885084" rel="nofollow noreferrer noopener" target="_blank">Источник</a>
Больше документов — вот беспроигрышная бизнес-стратегия | Источник

❯ Уголовная ответственность за утечку данных — теперь реальность

ФЗ-421 определяет максимальные сроки, которые может получить осуждённый за нарушения в области персональных данных:

  • без отягчающих обстоятельств — до 4 лет;

  • при обработке данных несовершеннолетних — до 5 лет;

  • при трансграничной передаче — до 8 лет;

  • группой по предварительному сговору и с крупным ущербом — до 10 лет.

Контроль не дремлет, закон неумолим | <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2Flego-policeman-toy-a7CAWm1KrSg&postId=1885084" rel="nofollow noreferrer noopener" target="_blank">Источник</a>
Контроль не дремлет, закон неумолим | Источник

❯ Штрафы, сроки — что ещё?

Могут ли заблокировать ресурс, на котором не соблюдаются правила сбора персональных данных? Такой меры в ФЗ-152 нет, но по решению суда доступ могут временно ограничить за несоблюдение законодательства.

Репутационные риски также не стоит сбрасывать со счетов, хоть их и невозможно измерить. После утечек компании теряют в объёмах продаж и количестве клиентов. Перспективные контрагенты также не выстраиваются к ним в очередь для сотрудничества.

Лёгким движением руки, репутационные риски превращаются в реальные финансовые потери | Кадр из фильма «Бриллиантовая рука»
Лёгким движением руки, репутационные риски превращаются в реальные финансовые потери | Кадр из фильма «Бриллиантовая рука»

❯ Кто несёт ответственность за нарушения при обработке ПД

Любой оператор персональных данных:

  • физическое лицо;

  • индивидуальный предприниматель;

  • должностное лицо;

  • государственные и муниципальные структуры;

  • юридические лица.

Отсутствие в «Реестре операторов ПД» не освобождает от административной и уголовной ответственности за нарушения закона.

Компания отвечает за утечку в любом случае, даже если она вызвана действиями третьих лиц. Помимо административной и уголовной ответственности, если утечка вызвала убытки для субъектов ПД, компания станет ответчиком в суде.

Для разработчиков ПО, которое компания использовала для защиты своих утёкших данных, ответственность пока не предусмотрена. Однако Минэкономразвития уже предлагало штрафы и для них.

За утечку по вине подрядчика, который должен был обеспечить безопасность данных, отвечает оператор. Убедить суд в том, что утечка вызвана действиями третьих лиц в большинстве случаев не удаётся. Однако оператор может взыскать с подрядчика неустойку или обратиться в суд для возмещения убытков.

Безалаберность подрядчика не освобождает бизнес от ответственности! | <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Funsplash.com%2Fphotos%2Fbrown-wooden-tool-on-white-surface-veNb0DDegzE&postId=1885084" rel="nofollow noreferrer noopener" target="_blank">Источник</a>
Безалаберность подрядчика не освобождает бизнес от ответственности! | Источник

❯ Что нужно делать бизнесу уже сейчас

  • Документировать. Составить модель угроз и план обработки данных по стандартам ФСТЭК, написать или обновить политики безопасности, назначить ответственного за информационную безопасность. Эти действия уменьшают не только риски, но и размер штрафа в случае утечки.

  • Автоматизировать. Установить и регулярно обновлять необходимое ПО для защиты данных, сделать мониторинг угроз непрерывным и автоматическим.

  • Уведомлять. Убедиться, что все необходимые уведомления о сборе ПД правильно составлены и направлены в Роскомнадзор.

  • Выбирать. Раз за действия подрядчиков отвечает оператор ПД, важно, чтобы они были в безопасности. Например, облачная инфраструктура Timeweb Cloud развёрнута на серверах в России и полностью соответствует 152-ФЗ со всеми последними изменениями.

❯ Вывод: легче защитить, чем разгребать последствия

Пренебрежение защитой персональных данных становится для бизнеса всё дороже. Лучше заранее предпринять все необходимые меры, чем потом разбираться со штрафами, уголовным преследованием, исками о возмещении ущерба от утечек и «подсушиванием» подмоченной репутации.


Присмотритесь к нашим сервисам, решениям и инструментам.Размещайте и запускайте свои проекты в облаке — будущее уже здесь!

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале 

Опробовать ↩

? Читайте также:

Комментарии (2)


  1. sof07
    07.07.2025 18:13

    А что значит без отягчающих? Вот утекли мои данные из условного СДЭК (как это уже было), через пару лет возник конфликт на дороге, допустим не пропустил горячего парня, он меня нашел используя глаз бога, в который попала утечка из СДЭК и проломил мне голову. Понесет ответственность СДЭК?

    И второй вопрос, какого лешего государству то штрафы в карман? Я тоже хочу нагнуть тот же СДЭК за слив моих данных и получить компенсацию.


  1. VictorPetrov
    07.07.2025 18:13

    Просто нужно перестать валять дурака. Никаких так называемых "персональных данных" не должно быть вообще.
    ВСЕМ ВСЁ должно быть известно. Важное замечание: именно ВСЁ и именно ВСЕМ.
    Не должно быть групп людей, которые знают ВСЁ обо ВСЕХ и о которых эти самые ВСЕ не знают НИЧЕГО.
    И второе важное замечание: если даже ВСЕ знают ВСЁ обо ВСЕХ моих документах, НИ У КОГО не должно быть возможности меня обмануть и обокрасть.
    К примеру банкстеры должны давать кредиты именно МНЕ, а не моим документам. И у банкстеров должны быть неоспоримые доказательства,
    что именно Я, а не кто-либо взял кредит, пользуясь знаниями о моих документах.
    То есть знания о чужих документах, номерах телефонов, адресах, фотографиях, особых приметах и всём чем угодно
    не должно давать никаких преимуществ никому. Пусть все посторонние прикладывают знания обо мне себе к вискам.
    Только в этом от этого знания у них может быть польза. Это касается и биометрии.
    Пусть ВСЕ знают ВСЁ о всех моих морщинках на коже во всех местах, мой голос, радужку глаз и всё что угодно остальное,
    это не должно давать им возможности выдавать себя за меня. Но кому нужно, мог бы убедиться, что я - это действительно я,
    пользуясь моими общеизвестными биометрическими данными, а не документами. Так называемые документы в конечном счёте вообще не нужны.
    Это просто бумажки, которые ко мне, как живому человеку, вообще не имеют отношения. Мало ли кто-то где-то когда-то что-то написал
    на каких-то бумажках. Я тут при чём? Тем более нужно учитывать большой прогресс в области дипфейков. Будет ещё хуже.
    ВСЕ данные обо ВСЕХ документах и ВСЕЙ биометрии ВСЕХ должны быть в свободном доступе всеми способами.
    Граждане должны иметь полное право собирать любые данные о любых так называемых "персональных данных" любых других граждан.
    Это касается и биометрии. Все должны иметь право владеть, разрабатывать, изготавливать, продавать и распространять любым способом
    технические средства для сбора биометрии кого угодно. Также у граждан должно быть право владеть, разрабатывать, изготавливать и распространять
    технические средства для защиты от сбора биометрии. Для конкуренции должна быть непрерывная борьба "снаряда" и "брони".
    Бороться нужно не с распространением "персональных данных", а с ворами и жуликами. В том числе распространением их персональных данных.
    Воры и жулики всегда были, есть и будут и они вас обворуют и без всяких "персональных данных". И дело не в суровости, а в неотвратимости наказания.
    Как бы не извивались любители "персональных данных", всё равно всё к этому придёт. Компы и сети всех к этом приведут.
    Как говорит одна моя хорошая знакомая:
    " Если изнасилование неизбежно, то не нужно верещать и царапаться. Нужно просто расслабиться и получить удовольствие".