2025: ужесточение ответственности за нарушение закона о персональных данных (152-ФЗ)
В эпоху цифровизации персональные данные клиентов есть у каждой компании – от интернет-гигантов до малого бизнеса. Эта статья предназначена для руководителей и владельцев малого и среднего бизнеса, которые работают с персональными данными. Мы расскажем о том, как в 2025 году усилилась ответственность за нарушение российского закона о персональных данных (152-ФЗ), какие риски грозят бизнесу, и какие шаги необходимо предпринять, чтобы избежать штрафов. Цель – помочь вам разобраться в новых требованиях, защитить ваш бизнес от санкций и ненужных проверок, а заодно мягко показать, как эксперты (например, компания «Киберпериметр») могут вам в этом помочь.
Начало ужесточения. В период 2021–2024 гг. государство постепенно увеличивало требования и санкции в сфере персональных данных. В 2021 году вступили в силу первые поправки, которые повысили штрафы и ввели ответственность за повторные нарушения. Например, уже с 2021 года за отсутствие необходимого согласия или политики конфиденциальности компании могли получать пусть ещё небольшие, но ощутимые штрафы. Кроме того, появилась обязанность публиковать понятную политику обработки персональных данных на сайте – невыполнение этого требования с 2021 года стало административным правонарушением (штраф для юридического лица до 60 тыс. руб).
Новые требования и штрафы. В 2022 году внимание к персональным данным ещё более возросло на фоне крупных утечек данных. С 1 сентября 2022 в 152-ФЗ внесли поправки, обязавшие компании уведомлять Роскомнадзор о любых утечках персональных данных в сжатые сроки. Одновременно Роскомнадзор получил полномочия вносить компании-нарушители в реестр инцидентов и информировать другие органы. В 2023 году были одобрены новые поправки (например, закон №589-ФЗ от 12.12.2023), которые значительно повысили штрафы за отсутствие надлежащего согласия на обработку данных – для юридических лиц максимально до 700 тыс. руб (ранее было до 300 тыс.). Штрафы выросли и за повторные аналогичные нарушения, достигая 1,5 млн руб для бизнеса.
Активность Роскомнадзора. Регулятор всё строже следит за выполнением закона. Если в 2021 году Роскомнадзор составил лишь 4 протокола об утечках данных (суммарно штрафы 200 тыс. руб), то в 2022 году было уже 66 протоколов (штрафов более чем на 2,4 млн руб). В 2023-м число дел и сумм штрафов выросло в разы (87 дел и свыше 4,6 млн руб). То есть за два года сумма взысканий за утечки увеличилась в 23 раза, и это при том, что реальное число инцидентов, по оценкам экспертов, ещё больше. Стало очевидно, что прежние штрафы (до 100–300 тыс. руб за утечку) не соответствуют масштабам ущерба, наносимого людям и бизнесу. Государственная Дума и регуляторы сочли необходимым радикально усилить ответственность, чтобы мотивировать компании серьёзнее вкладываться в защиту данных.
Новые требования и штрафы. В 2022 году внимание к персональным данным ещё более возросло на фоне крупных утечек данных. С 1 сентября 2022 в 152-ФЗ внесли поправки, обязавшие компании уведомлять Роскомнадзор о любых утечках персональных данных в сжатые сроки. Одновременно Роскомнадзор получил полномочия вносить компании-нарушители в реестр инцидентов и информировать другие органы. В 2023 году были одобрены новые поправки (например, закон №589-ФЗ от 12.12.2023), которые значительно повысили штрафы за отсутствие надлежащего согласия на обработку данных – для юридических лиц максимально до 700 тыс. руб (ранее было до 300 тыс.). Штрафы выросли и за повторные аналогичные нарушения, достигая 1,5 млн руб для бизнеса.
Активность Роскомнадзора. Регулятор всё строже следит за выполнением закона. Если в 2021 году Роскомнадзор составил лишь 4 протокола об утечках данных (суммарно штрафы 200 тыс. руб), то в 2022 году было уже 66 протоколов (штрафов более чем на 2,4 млн руб). В 2023-м число дел и сумм штрафов выросло в разы (87 дел и свыше 4,6 млн руб). То есть за два года сумма взысканий за утечки увеличилась в 23 раза, и это при том, что реальное число инцидентов, по оценкам экспертов, ещё больше. Стало очевидно, что прежние штрафы (до 100–300 тыс. руб за утечку) не соответствуют масштабам ущерба, наносимого людям и бизнесу. Государственная Дума и регуляторы сочли необходимым радикально усилить ответственность, чтобы мотивировать компании серьёзнее вкладываться в защиту данных.
Поправки 2024/2025. Кульминацией ужесточения стал федеральный закон №420-ФЗ от 30.11.2024, который вступил в силу с 30 мая 2025 года. Он внёс серьёзные изменения в Кодекс об административных правонарушениях (КоАП РФ) в части нарушений 152-ФЗ. Теперь за незаконный оборот персональных данных (утечки, незаконные передачи и пр.) предусмотрены многократно большие штрафы, вплоть до оборотных (процент от выручки). Одновременно закон №421-ФЗ ввёл и уголовную ответственность за определённые действия с персональными данными (новая ст. 272.1 УК РФ) – вплоть до 10 лет лишения свободы за тяжкие случаи незаконного обращения с данными. Мы далее сосредоточимся на административных рисках для бизнеса.
Основные изменения КоАП с 30.05.2025: Во-первых, значительно выросли штрафы практически по всем составам нарушений в области персональных данных. Например, обработка данных не по закону или не по назначению (общий случай) теперь грозит фирме штрафом 150–300 тыс. руб вместо прежних 60–100 тыс. Во-вторых, введены новые составы правонарушений. Теперь отдельно наказываются: неуведомление Роскомнадзора о начале обработки данных (штраф для юрлица до 300 тыс. руб), а также неуведомление о факте утечки данных (до 3 млн руб для компании). Ранее обязанность уведомлять о планах обработки или об инцидентах часто игнорировалась и практически не наказывалась – теперь же за неподачу уведомления будут штрафовать строго. В-третьих, увеличен срок давности по таким нарушениям: вместо 3 месяцев он теперь составляет 1 год То есть Роскомнадзор сможет привлечь компанию к ответственности даже спустя многие месяцы после выявленного нарушения, что раньше было затруднительно.
Акцент на утечках и биометрии. Особое внимание закон уделил утечкам персональных данных. Введена градация штрафов в зависимости от масштаба утечки – чем больше записей и людей пострадало, тем выше санкции (подробно – в таблице ниже). Максимальный штраф за первую утечку теперь достигает 15 млн руб. для юридического лица . Отдельно выделены утечки биометрических данных или данных специальных категорий (например, здоровье, сведения о расовом происхождении, убеждениях и т.п.): за них фиксированные штрафы ещё выше – до 20 млн руб. для компании уже при первом нарушении. А если компания повторно допустит утечку, вступают в силу оборотные штрафы – до 3% годовой выручки, минимум 20 млн руб (25 млн при утечке биометрии/сенситивных данных) и максимум 500 млн руб. Фактически по тяжести это уже сопоставимо с европейским GDPR. Роскомнадзор открыто заявляет, что такая мера необходима, поскольку штрафы в 100–300 тыс. руб. ранее никак не пугали нарушителей.
Позиция регулятора. Роскомнадзор поддерживает эти изменения и нацелен активно их применять. Новые законы призваны дать компаниям стимул вкладываться в защиту данных пользователей. При этом законодатели учли и позицию бизнеса: в ходе обсуждений звучали опасения, что драконовские штрафы могут «убить» компании. В итоге появились смягчающие условия: если оператор данных заблаговременно заботился о безопасности (например, тратил не менее 0,1% выручки на информационную безопасность, привлекал лицензированных специалистов, проводил ежегодные аудиты) и при утечке не было отягчающих факторов, то штраф может быть снижен в 10 раз. Таким образом, государство сигнализирует: лучше инвестировать в безопасность сейчас, чем платить в десятки раз больше после инцидента. Кроме того, Роскомнадзор продолжает разрабатывать методички и индикаторы риска, чтобы выявлять проблемы до жалоб. Например, с ноября 2023 действует приказ Минцифры №720, по которому если данные, указанные вами в уведомлении Роскомнадзора, не соответствуют политике на вашем сайте (более 3 несоответствий), то это считается “индикатором риска” и поводом для внезапной проверки. Регулятор фактически в режиме онлайн мониторит сайты компаний (без взаимодействия с ними) на наличие политики, условий обработки и их соответствие заявленным данным . Таким образом, в 2025 году подход таков: максимальные штрафы для злостных или повторных нарушителей и стимулы для добросовестных операторов внедрять все требования 152-ФЗ заранее.
Основные изменения КоАП с 30.05.2025: Во-первых, значительно выросли штрафы практически по всем составам нарушений в области персональных данных. Например, обработка данных не по закону или не по назначению (общий случай) теперь грозит фирме штрафом 150–300 тыс. руб вместо прежних 60–100 тыс. Во-вторых, введены новые составы правонарушений. Теперь отдельно наказываются: неуведомление Роскомнадзора о начале обработки данных (штраф для юрлица до 300 тыс. руб), а также неуведомление о факте утечки данных (до 3 млн руб для компании). Ранее обязанность уведомлять о планах обработки или об инцидентах часто игнорировалась и практически не наказывалась – теперь же за неподачу уведомления будут штрафовать строго. В-третьих, увеличен срок давности по таким нарушениям: вместо 3 месяцев он теперь составляет 1 год То есть Роскомнадзор сможет привлечь компанию к ответственности даже спустя многие месяцы после выявленного нарушения, что раньше было затруднительно.
Акцент на утечках и биометрии. Особое внимание закон уделил утечкам персональных данных. Введена градация штрафов в зависимости от масштаба утечки – чем больше записей и людей пострадало, тем выше санкции (подробно – в таблице ниже). Максимальный штраф за первую утечку теперь достигает 15 млн руб. для юридического лица . Отдельно выделены утечки биометрических данных или данных специальных категорий (например, здоровье, сведения о расовом происхождении, убеждениях и т.п.): за них фиксированные штрафы ещё выше – до 20 млн руб. для компании уже при первом нарушении. А если компания повторно допустит утечку, вступают в силу оборотные штрафы – до 3% годовой выручки, минимум 20 млн руб (25 млн при утечке биометрии/сенситивных данных) и максимум 500 млн руб. Фактически по тяжести это уже сопоставимо с европейским GDPR. Роскомнадзор открыто заявляет, что такая мера необходима, поскольку штрафы в 100–300 тыс. руб. ранее никак не пугали нарушителей.
Позиция регулятора. Роскомнадзор поддерживает эти изменения и нацелен активно их применять. Новые законы призваны дать компаниям стимул вкладываться в защиту данных пользователей. При этом законодатели учли и позицию бизнеса: в ходе обсуждений звучали опасения, что драконовские штрафы могут «убить» компании. В итоге появились смягчающие условия: если оператор данных заблаговременно заботился о безопасности (например, тратил не менее 0,1% выручки на информационную безопасность, привлекал лицензированных специалистов, проводил ежегодные аудиты) и при утечке не было отягчающих факторов, то штраф может быть снижен в 10 раз. Таким образом, государство сигнализирует: лучше инвестировать в безопасность сейчас, чем платить в десятки раз больше после инцидента. Кроме того, Роскомнадзор продолжает разрабатывать методички и индикаторы риска, чтобы выявлять проблемы до жалоб. Например, с ноября 2023 действует приказ Минцифры №720, по которому если данные, указанные вами в уведомлении Роскомнадзора, не соответствуют политике на вашем сайте (более 3 несоответствий), то это считается “индикатором риска” и поводом для внезапной проверки. Регулятор фактически в режиме онлайн мониторит сайты компаний (без взаимодействия с ними) на наличие политики, условий обработки и их соответствие заявленным данным . Таким образом, в 2025 году подход таков: максимальные штрафы для злостных или повторных нарушителей и стимулы для добросовестных операторов внедрять все требования 152-ФЗ заранее.
Ниже приведены основные составы нарушений закона о персональных данных и максимальные штрафы для юридических лиц по состоянию на 2025 год (с учётом изменений КоАП РФ, вступивших в силу 30.05.2025). Для удобства мы указываем санкции именно для бизнеса (юрлиц), опуская подробные суммы для должностных и физических лиц. В скобках приводится ссылка на статью КоАП РФ или закона, откуда взяты санкции. Все суммы – действующие, достоверные по нормативным актам по состоянию на июнь 2025 года.
Примечание: Помимо штрафов, к нарушителям могут применяться предписания об устранении нарушений, а в тяжёлых случаях – передача материалов в правоохранительные органы (в случае крупных утечек с отягчающими обстоятельствами может наступить уголовная ответственность по ст. 272.1 УК РФ). Однако для малого и среднего бизнеса ключевые риски всё же связаны с административными штрафами, перечисленными в таблице выше.
Примечание: Помимо штрафов, к нарушителям могут применяться предписания об устранении нарушений, а в тяжёлых случаях – передача материалов в правоохранительные органы (в случае крупных утечек с отягчающими обстоятельствами может наступить уголовная ответственность по ст. 272.1 УК РФ). Однако для малого и среднего бизнеса ключевые риски всё же связаны с административными штрафами, перечисленными в таблице выше.
Рассмотрим несколько показательных случаев из недавней практики, которые иллюстрируют, как новые требования отражаются на реальных компаниях – и чем подобные ситуации чреваты для любого бизнеса.
“Яндекс.Еда” – утечка и символический штраф. В феврале 2022 года у сервиса доставки еды «Яндекс.Еда» произошла утечка данных ~58 тыс. клиентов (имена, телефоны, адреса, суммы заказов и даже коды домофонов) – информация оказалась в открытом доступе. По тогдашним законам максимальный штраф составлял всего 100 тыс. руб., и суд в итоге оштрафовал компанию на 60 тыс. руб. Эта ситуация вызвала широкий резонанс: фактически за утечку десятков тысяч частных данных компания заплатила чуть больше 800 долларов, что никак не соотносится с вредом. В 2025 году за аналогичную утечку штраф был бы до 10 млн руб. (поскольку затронуто от 10 до 100 тыс. субъектов) – разница ощутима.
Эпоха “символических” штрафов прошла. Даже для сравнительно небольшой базы данных утечка теперь грозит многомиллионными санкциями, поэтому небрежность в вопросах безопасности больше недопустима.
Google – штрафы за хранение данных за рубежом. Закон 152-ФЗ требует хранить персональные данные россиян в РФ, и Роскомнадзор активно применяет это требование. Ещё в 2021 году мировое судье в Москве впервые оштрафовал корпорацию Google на 3 млн руб. за отказ локализовать данные российских пользователей в России. Нарушение не было устранено, и в 2022 году последовал повторный штраф – уже 15 млн руб.. Google эти штрафы оплатил и впоследствии закрыл своё представительство в РФ. Урок для бизнеса: требования Роскомнадзора распространяются на всех, даже на мировых ИТ-гигантов, и сумма штрафов быстро растёт при повторном невыполнении предписаний. Для среднего бизнеса штраф в несколько миллионов может стать критичным – не рискуйте, лучше сразу выполнить требования (например, разместить серверы в РФ, если вы работаете с данными россиян).
Статистика по утечкам – все под ударом. По данным Роскомнадзора, только за 2023 год зарегистрировано 168 утечек персональных данных, в результате которых в сети оказалось свыше 300 млн записей о гражданах. Были крупные инциденты у банков, сотовых операторов, интернет-компаний. Однако под удары попадают и менее известные фирмы: суды в 2023-м рассмотрели 87 дел об утечках (штрафов вынесено на 4,6 млн руб). Для сравнения, в 2021 году было лишь 4 дела (200 тыс. руб штрафов). Рост колоссальный, и он затрагивает организации всех размеров. В 2024 году тенденция продолжилась (по состоянию на начало года суммарно штрафов уже около 2 млн руб за новые утечки). Государство также начало отменять моратории на проверки в отраслях с частыми утечками – например, для телеком-компаний предложено разрешить внеплановые проверки при утечке, несмотря на общий запрет проверок IT-бизнеса.
Малый бизнес не может надеяться «остаться незамеченным». Если случится инцидент или клиенты пожалуются – проверка и наказание практически неизбежны. Лучше предотвратить проблему, чем потом разгребать последствия.
“Яндекс.Еда” – утечка и символический штраф. В феврале 2022 года у сервиса доставки еды «Яндекс.Еда» произошла утечка данных ~58 тыс. клиентов (имена, телефоны, адреса, суммы заказов и даже коды домофонов) – информация оказалась в открытом доступе. По тогдашним законам максимальный штраф составлял всего 100 тыс. руб., и суд в итоге оштрафовал компанию на 60 тыс. руб. Эта ситуация вызвала широкий резонанс: фактически за утечку десятков тысяч частных данных компания заплатила чуть больше 800 долларов, что никак не соотносится с вредом. В 2025 году за аналогичную утечку штраф был бы до 10 млн руб. (поскольку затронуто от 10 до 100 тыс. субъектов) – разница ощутима.
Эпоха “символических” штрафов прошла. Даже для сравнительно небольшой базы данных утечка теперь грозит многомиллионными санкциями, поэтому небрежность в вопросах безопасности больше недопустима.
Google – штрафы за хранение данных за рубежом. Закон 152-ФЗ требует хранить персональные данные россиян в РФ, и Роскомнадзор активно применяет это требование. Ещё в 2021 году мировое судье в Москве впервые оштрафовал корпорацию Google на 3 млн руб. за отказ локализовать данные российских пользователей в России. Нарушение не было устранено, и в 2022 году последовал повторный штраф – уже 15 млн руб.. Google эти штрафы оплатил и впоследствии закрыл своё представительство в РФ. Урок для бизнеса: требования Роскомнадзора распространяются на всех, даже на мировых ИТ-гигантов, и сумма штрафов быстро растёт при повторном невыполнении предписаний. Для среднего бизнеса штраф в несколько миллионов может стать критичным – не рискуйте, лучше сразу выполнить требования (например, разместить серверы в РФ, если вы работаете с данными россиян).
Статистика по утечкам – все под ударом. По данным Роскомнадзора, только за 2023 год зарегистрировано 168 утечек персональных данных, в результате которых в сети оказалось свыше 300 млн записей о гражданах. Были крупные инциденты у банков, сотовых операторов, интернет-компаний. Однако под удары попадают и менее известные фирмы: суды в 2023-м рассмотрели 87 дел об утечках (штрафов вынесено на 4,6 млн руб). Для сравнения, в 2021 году было лишь 4 дела (200 тыс. руб штрафов). Рост колоссальный, и он затрагивает организации всех размеров. В 2024 году тенденция продолжилась (по состоянию на начало года суммарно штрафов уже около 2 млн руб за новые утечки). Государство также начало отменять моратории на проверки в отраслях с частыми утечками – например, для телеком-компаний предложено разрешить внеплановые проверки при утечке, несмотря на общий запрет проверок IT-бизнеса.
Малый бизнес не может надеяться «остаться незамеченным». Если случится инцидент или клиенты пожалуются – проверка и наказание практически неизбежны. Лучше предотвратить проблему, чем потом разгребать последствия.
Многие компании задаются вопросом: «Как Роскомнадзор узнает о моих нарушениях? Почему именно ко мне придут с проверкой?». Существует несколько основных сценариев, ведущих к проверкам – плановым или внезапным.
Плановые проверки (риск-ориентированный подход). С 2021 года внедрён риск-ориентированный подход к контролю. Это значит, что частота плановых проверок зависит от категории риска, к которой отнесён оператор персональных данных. Сейчас (в соответствии с Постановлением Правительства РФ №336 от 10.03.2022) до 2030 года плановые проверки проводятся только в отношении операторов высокого риска. К категории высокого риска, как правило, относят организации, обрабатывающие очень большие объёмы чувствительных данных (банки, связь, госструктуры и т.д. – критерии утверждены отдельным приложением к Постановлению №1046). Малый или средний бизнес обычно попадает в более низкие категории риска (умеренный, низкий), а потому вне особых случаев планово проверяться не должен. Это хорошая новость: если вы не крупный оператор и не храните, скажем, биометрию миллионов граждан, то инспекторы по плану к вам, скорее всего, не придут.
Внеплановые (оперативные) проверки. Гораздо более актуальны для среднего и малого бизнеса внеплановые проверки, которые проводятся по сигналу о нарушении. Оснований несколько: во-первых, жалобы граждан. Любой субъект данных по закону (ст. 17 152-ФЗ) вправе обратиться в Роскомнадзор, если считает, что вы нарушаете его права. Например, клиент увидел, что без его согласия вы передали его телефон рекламной рассылке – он пишет жалобу, и Роскомнадзор обязан отреагировать. Накопление жалоб – очень частый триггер. Если за год набирается, например, 10 и более обоснованных жалоб на оператора, это уже индикатор риска и повод инициировать проверку. Во-вторых, утечки данных. Роскомнадзор мониторит интернет, телеграм-каналы и т.п. на предмет появления слитых баз. Если находят в открытом доступе базу данных, похожую на вашу (по набору полей, именам и т.д.), то это также повод для внеплановой проверки. Причём даже если точно не установлено, ваша ли это база, но есть признаки – проверку могут провести, чтобы это выяснить. В-третьих, расхождения в документах. Как упоминалось выше, Роскомнадзор сравнивает сведения из вашего уведомления (если вы его подавали) и из политики на сайте. Выявил 3+ несоответствия – это новый индикатор риска с ноября 2023, дающий право прийти с внеплановой проверкой. Например, в уведомлении вы заявили одну цель и состав данных, а в публичной политике – совсем другое, или вообще политики нет. Это сигнал для регулятора, что оператор не контролирует процесс, и можно ожидать нарушения. Кроме того, Роскомнадзор проводит и контрольные мероприятия без взаимодействия – проще говоря, сам просматривает ваш сайт, форму сбора согласий, запрашивает через интернет сервисы и т.п., не уведомляя вас. На практике нередки ситуации, когда компанию проверяют дистанционно, а уже потом, если выявлены явные несоответствия, вызывают "на ковёр" с официальной проверкой.
Итог – сочетание факторов. Малый бизнес реже попадает под плановый надзор, но жалобы клиентов или утечка могут случиться с любым. Нередко бывает так: сначала произошла небольшая утечка или кто-то недоволен рассылкой – пошла жалоба, регулятор начал разбираться и в процессе выявил кучу других нарушений (нет документов, не уведомлены люди и т.д.). Тогда компания получает сразу букет штрафов. С 2023 года, кстати, даже действовал мораторий на многие проверки малого бизнеса, но для персональных данных сделаны исключения. Например, несмотря на общий запрет проверок IT-компаний, при утечках у телеком-операторов теперь разрешено внепланово их проверять (по согласованию с прокуратурой). Тренд очевиден: защита данных – приоритет, и никого “по мелкости” нарушений прощать не будут. Лучше изначально привести все дела в порядок, чем ждать визита инспектора.
Плановые проверки (риск-ориентированный подход). С 2021 года внедрён риск-ориентированный подход к контролю. Это значит, что частота плановых проверок зависит от категории риска, к которой отнесён оператор персональных данных. Сейчас (в соответствии с Постановлением Правительства РФ №336 от 10.03.2022) до 2030 года плановые проверки проводятся только в отношении операторов высокого риска. К категории высокого риска, как правило, относят организации, обрабатывающие очень большие объёмы чувствительных данных (банки, связь, госструктуры и т.д. – критерии утверждены отдельным приложением к Постановлению №1046). Малый или средний бизнес обычно попадает в более низкие категории риска (умеренный, низкий), а потому вне особых случаев планово проверяться не должен. Это хорошая новость: если вы не крупный оператор и не храните, скажем, биометрию миллионов граждан, то инспекторы по плану к вам, скорее всего, не придут.
Внеплановые (оперативные) проверки. Гораздо более актуальны для среднего и малого бизнеса внеплановые проверки, которые проводятся по сигналу о нарушении. Оснований несколько: во-первых, жалобы граждан. Любой субъект данных по закону (ст. 17 152-ФЗ) вправе обратиться в Роскомнадзор, если считает, что вы нарушаете его права. Например, клиент увидел, что без его согласия вы передали его телефон рекламной рассылке – он пишет жалобу, и Роскомнадзор обязан отреагировать. Накопление жалоб – очень частый триггер. Если за год набирается, например, 10 и более обоснованных жалоб на оператора, это уже индикатор риска и повод инициировать проверку. Во-вторых, утечки данных. Роскомнадзор мониторит интернет, телеграм-каналы и т.п. на предмет появления слитых баз. Если находят в открытом доступе базу данных, похожую на вашу (по набору полей, именам и т.д.), то это также повод для внеплановой проверки. Причём даже если точно не установлено, ваша ли это база, но есть признаки – проверку могут провести, чтобы это выяснить. В-третьих, расхождения в документах. Как упоминалось выше, Роскомнадзор сравнивает сведения из вашего уведомления (если вы его подавали) и из политики на сайте. Выявил 3+ несоответствия – это новый индикатор риска с ноября 2023, дающий право прийти с внеплановой проверкой. Например, в уведомлении вы заявили одну цель и состав данных, а в публичной политике – совсем другое, или вообще политики нет. Это сигнал для регулятора, что оператор не контролирует процесс, и можно ожидать нарушения. Кроме того, Роскомнадзор проводит и контрольные мероприятия без взаимодействия – проще говоря, сам просматривает ваш сайт, форму сбора согласий, запрашивает через интернет сервисы и т.п., не уведомляя вас. На практике нередки ситуации, когда компанию проверяют дистанционно, а уже потом, если выявлены явные несоответствия, вызывают "на ковёр" с официальной проверкой.
Итог – сочетание факторов. Малый бизнес реже попадает под плановый надзор, но жалобы клиентов или утечка могут случиться с любым. Нередко бывает так: сначала произошла небольшая утечка или кто-то недоволен рассылкой – пошла жалоба, регулятор начал разбираться и в процессе выявил кучу других нарушений (нет документов, не уведомлены люди и т.д.). Тогда компания получает сразу букет штрафов. С 2023 года, кстати, даже действовал мораторий на многие проверки малого бизнеса, но для персональных данных сделаны исключения. Например, несмотря на общий запрет проверок IT-компаний, при утечках у телеком-операторов теперь разрешено внепланово их проверять (по согласованию с прокуратурой). Тренд очевиден: защита данных – приоритет, и никого “по мелкости” нарушений прощать не будут. Лучше изначально привести все дела в порядок, чем ждать визита инспектора.
Перейдём к практической части. Ниже – чек-лист шагов, которые малый и средний бизнес может предпринять, чтобы минимизировать риски проверок и санкций по 152-ФЗ. Если все пункты соблюдены, вам почти ничего не грозит: даже если будет жалоба или утечка, вы сможете подтвердить свою добросовестность и отделаться минимумом. И наоборот, игнорирование этих мер почти гарантированно ведёт к проблемам.
- Проведите аудит персональных данных в компании. Вы должны чётко знать, какие данные и с какой целью вы собираете, где и как они хранятся, кому передаются. Нередко проблемы вскрываются, когда у фирмы нет полного понимания своих же процессов: например, маркетинг собрал базу e-mail без согласия, IT не защитил должным образом базу данных, а директор вообще не в курсе. Проведите инвентаризацию: составьте перечень всех видов ПДн, субъектов, систем, процессов обработки. Такой аудит – основа для последующих шагов.
- Подайте уведомление в Роскомнадзор (если обязаны). По закону оператор персональных данных в большинстве случаев должен уведомить Роскомнадзор о начале обработки (ст. 22 152-ФЗ). Исключения есть , но их надо правильно оценить. Если хотя бы одно условие для обязательного уведомления выполняется – подготовьте и отправьте уведомление в электронном виде через сайт Роскомнадзора. Не тяните: штраф за неуведомление теперь до 300 тыс. руб, и главное – отсутствие уведомления сразу делает вас “нелегитимным” оператором в глазах регулятора. Даже вне штрафа, Роскомнадзор может отказать в рассмотрении ваших доводов, если вы не стоите у них на учёте как положено.
- Назначьте ответственное лицо за работу с ПДн. Закон требует, чтобы в организации был назначен ответственный за организацию обработки персональных данных и за соблюдение мер безопасности (обычно это оформляется внутренним приказом директора). Для малого бизнеса это может быть сам руководитель или, например, ИТ-специалист, юрист – главное, чтобы было конкретное лицо, которое курирует все вопросы защиты данных. При проверке Роскомнадзор почти наверняка спросит приказ о назначении ответственного. Отсутствие такового – нарушение организационных требований. Помимо формальности, наличие ответственного помогает: кто-то же должен отслеживать обновления закона, обучать персонал, контролировать новые проекты на соответствие 152-ФЗ.
- Разработайте и опубликуйте Политику в отношении обработки ПДн. Это обязательный документ для всех операторов (ст. 18.1 152-ФЗ) – публичная политика конфиденциальности, где вы описываете, какие данные собираете, для каких целей, какие меры защиты принимаете и т.д.. Политику нужно не только написать для “галочки”, но и разместить на сайте или иным образом сделать доступной неограниченному кругу лиц (обычно на сайте в разделе “Политика обработки персональных данных”). Штраф за отсутствие политики хоть и небольшой (до 60 тыс. руб), но помните, что отсутствие опубликованной политики – это индикатор риска. Регулятор может без предупреждения зайти на ваш сайт, не найти там политики – и уже иметь формальный повод для реагирования. Современная практика такова, что политика нужна всем, даже если по закону вы вроде бы освобождены от уведомления. В политике важно указать актуальные сведения: цели, категории данных, меры защиты, адрес для запросов и т.д. Поддерживайте её в актуальном состоянии, особенно если меняете процессы.
- Получайте необходимые согласия и закрепите правовые основания. Перед любой обработкой персональных данных подумайте: на каком основании мы это делаем? Закон предусматривает ряд оснований (согласие субъекта, исполнение договора, требование закона, и др. – ст. 6 152-ФЗ). Если вы опираетесь на согласие – оно должно быть оформлено правильно. Для большинства маркетинговых и иных сверхнужд нужно явное информированное согласие. А для специальных категорий данных (например, здоровье) или биометрии согласие обязано быть письменным и отдельным. Проверьте, что у вас есть формы согласий для всех случаев: например, отдельные чекбоксы на сайте для рассылки, отдельная форма согласия для публикации фото сотрудников и т.д. Если вы обрабатываете данные на основе договора или закона – убедитесь, что цель строго соответствует этому основанию. Передача данных третьим лицам (например, партнёрам, курьерским службам) тоже должна быть либо оговорена в согласии, либо предусмотрена законом/договором. Нарушение правовых оснований карается штрафами: отсутствие нужного согласия – до 700 тыс. руб, незаконная передача данных – вплоть до оборотного штрафа, если расценят как утечку. Поэтому документы и процессы должны быть в порядке: шаблоны согласий, положения в договорах о работе с данными, соглашения о конфиденциальности с партнёрами.
- Ограничьте и защитите доступ к данным, внедрите меры безопасности. Техническая и организационная защита – ключевой элемент. Закон требует предпринимать “необходимые и достаточные меры” для обеспечения безопасности ПДн (ст. 19 152-ФЗ). Для малого бизнеса это может включать: использование лицензионного софта, антивирусов, защита паролями, шифрование важных файлов, резервное копирование, ограничение доступа к базам только для ответственных сотрудников и пр. Обязательно утвердите внутри компании перечень мер защиты (можно в виде приказа или политики информационной безопасности). Назначьте ответственных за ИБ, проведите минимальное обучение персонала (инструктаж о том, что нельзя передавать клиентские данные налево, как отвечать на подозрительные письма и т.д.). Удалённый доступ к рабочим системам – по VPN, с двухфакторной аутентификацией. Физические носители (документы, USB) – хранить в запертых шкафах. Все эти меры не только снизят вероятность утечки, но и послужат смягчающим фактором, если вдруг инцидент произойдёт. Помните, что теперь наличие подтверждённых мер защиты и проведённых аудитов может в 10 раз снизить штраф при утечке. То есть вложения в безопасность буквально “окупаются” снижением рисков. Расходы на информационную безопасность рекомендуют планировать не менее 0,1% годовой выручки – эту цифру назвали законодатели как ориентир (компаниям, тратящим >=0,1% на ИБ, будет поблажка при штрафах).
- Установите порядок реагирования на инциденты. Ваша команда должна знать, что делать, если случилась утечка данных или другая нештатная ситуация. Назначьте ответственных, пропишите план: например, не позднее 24 часов уведомить Роскомнадзор (через личный кабинет, по форме), в тот же срок проинформировать пострадавших пользователей (это не прямая обязанность по закону, но лучшая практика – люди ценят прозрачность), провести внутреннее расследование причин, закрыть уязвимость. Теперь неподача уведомления об утечке сама по себе грозит 3 млн руб штрафа, поэтому нельзя замалчивать инциденты. Лучше показать, что вы сразу приняли меры и сообщили регулятору – тогда, возможно, отделаетесь предписанием и минимальным штрафом. Внутренние процедуры реагирования – часть мер защиты. Проведите тренинг: кто и как должен действовать при утечке (например, ИТ-специалист обнаружил нелегкий доступ – уведомляет руководство, руководство связывается с юристом, готовят письмо в Роскомнадзор и т.д.). Быстрая реакция может спасти вашу репутацию и снизить штрафы.
- Следите за обновлениями законодательства и рекомендациями Роскомнадзора. Закон о персональных данных – “живой” нормативный акт, изменения в него вносятся регулярно (как мы видели на примере 2022–2025). Роскомнадзор периодически публикует методические рекомендации, разъяснения. Например, существуют Методические рекомендации Роскомнадзора по содержанию политики обработки ПД, по выполнению обязанности уведомлять, по классификации информационных систем по уровню защищённости и т.д. Эти документы не обязательны, но их соблюдение покажет вашу добросовестность. Будьте в курсе: подписывайтесь на новости Роскомнадзора, консультируйтесь с юристами. Если в вашей отрасли появились особые правила (например, для биометрии с 2025 года ввели требование аккредитации оператора и отдельные штрафы до 2 млн руб) – убедитесь, что вы им соответствуете, либо скорректируйте бизнес-процессы.
На сегодняшний день защита персональных данных – не формальность и не «для галочки», а такая же часть ответственности бизнеса, как уплата налогов или техника безопасности. 2025 год это ярко продемонстрировал, введя миллионные штрафы и оборотные санкции за те нарушения, которые раньше считались мелкими. Откладывать приведение бизнеса в соответствие больше нельзя: проверка может настигнуть внезапно, а санкции теперь способны подкосить финансовое положение фирмы. Особенно опасно надеяться на авось малым предприятиям – у крупного банка оборот в миллиард и штраф в 20 млн руб может быть терпим, а для компании с выручкой 50 млн такой штраф фактически гибелен.
Помните, что зачастую проверки проходят без предварительного уведомления – особенно если есть жалоба или утечка. У вас не будет времени «срочно написать политику» или «доподписать у всех согласия» – инспекторы запросят документы и данные ретроспективно. Например, если произошла утечка год назад, проверять будут, были ли у вас на тот момент все бумаги и меры. Спешная “ликвидация последствий” не поможет, если до этого вы месяцами игнорировали закон. Кроме финансовых рисков, есть и репутационные: публичные скандалы вокруг утечек подрывают доверие клиентов, уходят контракты. Ну и не забываем про уголовные перспективы в экстраординарных случаях – руководство компаний теперь тоже под прицелом (штрафы до 300 тыс. или реальный тюремный срок при доказанных злонамеренных действиях).
Таким образом, инвестиции времени и денег в комплаенс по 152-ФЗ – это не излишняя нагрузка, а страховка вашего бизнеса. Выполнив требования, вы не только избежите штрафов, но и выстроите более прозрачные отношения с клиентами (они ценят бережное отношение к их данным), повысите киберграмотность сотрудников, предотвратите инциденты. А если вдруг проверка придёт – вам нечего будет бояться, вы уверенно предоставите все необходимые доказательства своей правоты. В условиях, когда регулятор получил права выписывать многомиллионные штрафы и проводить внезапные инспекции, гораздо спокойнее работать, зная, что к вам не подкопаться.
Помните, что зачастую проверки проходят без предварительного уведомления – особенно если есть жалоба или утечка. У вас не будет времени «срочно написать политику» или «доподписать у всех согласия» – инспекторы запросят документы и данные ретроспективно. Например, если произошла утечка год назад, проверять будут, были ли у вас на тот момент все бумаги и меры. Спешная “ликвидация последствий” не поможет, если до этого вы месяцами игнорировали закон. Кроме финансовых рисков, есть и репутационные: публичные скандалы вокруг утечек подрывают доверие клиентов, уходят контракты. Ну и не забываем про уголовные перспективы в экстраординарных случаях – руководство компаний теперь тоже под прицелом (штрафы до 300 тыс. или реальный тюремный срок при доказанных злонамеренных действиях).
Таким образом, инвестиции времени и денег в комплаенс по 152-ФЗ – это не излишняя нагрузка, а страховка вашего бизнеса. Выполнив требования, вы не только избежите штрафов, но и выстроите более прозрачные отношения с клиентами (они ценят бережное отношение к их данным), повысите киберграмотность сотрудников, предотвратите инциденты. А если вдруг проверка придёт – вам нечего будет бояться, вы уверенно предоставите все необходимые доказательства своей правоты. В условиях, когда регулятор получил права выписывать многомиллионные штрафы и проводить внезапные инспекции, гораздо спокойнее работать, зная, что к вам не подкопаться.
Специалисты компании «Киберпериметр» готовы помочь вашему бизнесу пройти все описанные выше шаги с минимальными затратами времени и ресурсов с вашей стороны. Наш подход – сделать сложные требования понятными и выполнимыми для каждой конкретной организации. В рамках услуг по защите персональных данных мы осуществляем:
Внедряя решения “под ключ”, «Киберпериметр» экономит ваше время и гарантирует результат. В итоге у вас будут закрыты все обязательные пункты (уведомления, политики, согласия и проч.), налажена реальная защита данных, и вы сможете сосредоточиться на развитии бизнеса вместо изучения нюансов законодательства. В условиях, когда штрафы до 3% от оборота могут поставить под удар само существование компании, наши услуги – это инвестиция в устойчивость и спокойствие вашего дела.
Вывод: 2025 год принёс серьёзные перемены в сфере персональных данных. Но, вооружившись знаниями (как в этой статье) и заручившись поддержкой профессионалов, любой бизнес может превратить соблюдение закона из “головной боли” в конкурентное преимущество. Бережно относясь к данным клиентов и сотрудников, вы не только избежите штрафов, но и повысите свою деловую репутацию. Компания «Киберпериметр» готова стать вашим проводником и щитом на этом пути – чтобы никакие Роскомнадзоры вам были не страшны! Пожалуйста, не откладывайте вопросы защиты персональных данных на потом – займитесь ими сегодня, и спите спокойно завтра.
- Аудит и консультации. Эксперты «Киберпериметр» проведут полный аудит ваших процессов обработки ПДн: выявят, какие данные вы собираете, какие “белые пятна” или риски есть. По итогам вы получите понятный план действий, что нужно исправить. Также мы консультируем по всем вопросам комплаенса: от необходимости уведомления Роскомнадзора до правил трансграничной передачи данных.
- Разработка документов и политики. Мы подготовим весь комплект необходимых документов под ваш бизнес: Политику в отношении обработки ПДн, тексты согласий для разных случаев, договорные положения о конфиденциальности, приказы о назначении ответственного и т.д. Все документы будут соответствовать требованиям закона и рекомендациям Роскомнадзора, а главное – работать на вашу защиту. Например, правильно составленная политика не только формально закроет пункт закона, но и снизит вероятность внеплановой проверки (вспомним индикаторы риска несоответствия данных).
- Внедрение технических мер. Наши ИБ-специалисты помогут настроить защиту ваших информационных систем: резервное копирование, шифрование критичных данных, систем разграничения доступа, безопасное хранение паролей. Мы подскажем, какой софт лучше использовать для антивирусной защиты, как настроить журналирование действий (чтобы в случае инцидента быстро всё выяснить) и т.д. При необходимости порекомендуем лицензированного подрядчика для специальных мер (например, аттестации ФСТЭК, если это вам требуется по масштабу).
- Обучение и поддержка. Мы проводим для ваших сотрудников тренинги по работе с персональными данными: как правильно брать согласия, как отвечать клиентам на запросы о данных, чего нельзя делать (например, фотографировать паспорт клиента на личный телефон – такое тоже бывает!). Обученный персонал – лучшая профилактика утечек по вине человеческого фактора. Также мы берем на себя сопровождение при взаимодействии с Роскомнадзором: если к вам пришёл запрос или началась проверка, мы поможем правильно подготовить ответы, представить документы, устранить нарушения в кратчайший срок.
Внедряя решения “под ключ”, «Киберпериметр» экономит ваше время и гарантирует результат. В итоге у вас будут закрыты все обязательные пункты (уведомления, политики, согласия и проч.), налажена реальная защита данных, и вы сможете сосредоточиться на развитии бизнеса вместо изучения нюансов законодательства. В условиях, когда штрафы до 3% от оборота могут поставить под удар само существование компании, наши услуги – это инвестиция в устойчивость и спокойствие вашего дела.
Вывод: 2025 год принёс серьёзные перемены в сфере персональных данных. Но, вооружившись знаниями (как в этой статье) и заручившись поддержкой профессионалов, любой бизнес может превратить соблюдение закона из “головной боли” в конкурентное преимущество. Бережно относясь к данным клиентов и сотрудников, вы не только избежите штрафов, но и повысите свою деловую репутацию. Компания «Киберпериметр» готова стать вашим проводником и щитом на этом пути – чтобы никакие Роскомнадзоры вам были не страшны! Пожалуйста, не откладывайте вопросы защиты персональных данных на потом – займитесь ими сегодня, и спите спокойно завтра.