05 янв. в 12:12 Защита персональных данных

Обработка персональных данных в 2025 году: новые штрафы

Президент утвердил ряд законов, ужесточающих требования к работе с персональными данными. Изменения касаются компаний, индивидуальных предпринимателей и должностных лиц. Разбираемся, какие последствия теперь грозят за нарушение законодательства в области хранения и использования персональных данных.

Сейчас с персональными данными в России работают более 5 млн юридических лиц, включая индивидуальных предпринимателей. Роскомнадзор предложил ограничить сбор данных, то есть предприятия и ИП смогут собирать и обрабатывать только те данные, которые им нужны для выполнения конкретных задач.

Сбор данных будет проходить не только по согласованию с владельцем персональных данных, но и в соответствии с новыми законодательными требованиями. В следующем году начнут действовать новые штрафы за утечку данных и неуведомление Роскомнадзора. В некоторых случаях возможна и уголовная ответственность.

Штрафы в зависимости от выручки за утечку данных

С 30 мая 2025 года вступает в силу закон №420-ФЗ, который вводит так называемые «оборотные» штрафы за утечку персональных данных. Эти штрафы зависят от дохода компании за определенный период, а сама утечка подразумевает передачу, предоставление, распространение или открытие доступа к персональной информации третьим лицам.

Ранее подобных штрафов законодательство не предусматривало, а нарушения квалифицировались как обработка данных без согласия граждан (ч. 2 ст. 13.11 КоАП). Максимальные санкции составляли 700 000 рублей для компаний и 15 000 рублей для физических лиц.

Теперь в статью 13.11 КоАП добавлены части 12–18, определяющие новые составы правонарушений и повышенные штрафы. Если неправомерная передача данных затронула от 1 до 10 тысяч граждан (ч. 12 ст. 13.11 КоАП), размер штрафа составит:

от 100 000 до 200 000 рублей — для физлиц;
от 200 000 до 400 000 рублей — для должностных лиц;
от 3 млн до 5 млн рублей — для организаций и ИП.

Если утечка информации затронула от 10 до 100 тысяч граждан (ч. 13 ст. 13.11 КоАП), размер штрафа составит:

от 200 000 до 300 000 рублей — для физлиц;
от 300 000 до 500 000 рублей — для должностных лиц;
от 5 млн до 10 млн рублей — для организаций и ИП.

Нарушение, затрагивающее данные более 100 тысяч граждан (ч. 14 ст. 13.11 КоАП):

от 300 000 до 400 000 рублей — для физлиц;
от 400 000 до 600 000 рублей — для должностных лиц;
от 10 млн до 15 млн рублей — для организаций и ИП.

Повторные нарушения влекут за собой оборотные штрафы, зависящие от годовой выручки компании (ч. 15 ст. 13.11 КоАП). Их размер достигает 3% от дохода, но не менее 20 млн рублей. Максимальный размер штрафа за повторную утечку данных составляет 500 млн рублей.

Штрафы за утечку биометрических данных

Особое внимание уделено утечке биометрической информации (например, отпечатков пальцев, снимков лица, записей голоса). Новые штрафы за такие нарушения установлены в пределах:

от 400 000 до 500 000 рублей — для физлиц;
от 1,3 до 1,5 млн рублей — для должностных лиц;
от 15 млн до 20 млн рублей — для организаций и ИП (ч. 17 ст. 13.11 КоАП).

Повторные нарушения будут караться более строго: минимальный штраф составит 25 млн рублей, максимальный — 500 млн рублей (ч. 18 ст. 13.11 КоАП).

Новые требования по уведомлениям в Роскомнадзор

С 30 мая 2025 года увеличатся штрафы за несвоевременное представление уведомлений в Роскомнадзор. Все компании, ИП и даже самозанятые обязаны уведомлять ведомство о начале обработки персональных данных. За нарушение этих требований штрафы вырастут до:

от 5000 до 10 000 рублей — для физлиц;
от 30 000 до 50 000 рублей — для должностных лиц;
от 100 000 до 300 000 рублей — для организаций и ИП.

Кроме того, компании обязаны уведомлять Роскомнадзор о фактах утечки данных в течение 24 часов. За несвоевременное представление таких уведомлений теперь предусмотрены штрафы в размере:

от 50 000 до 100 000 рублей — для физлиц;
от 400 000 до 800 000 рублей — для должностных лиц;
от 1 млн до 3 млн рублей — для организаций и ИП.

Уголовная ответственность за утечку данных

С 11 декабря 2024 года вступил в силу закон №421-ФЗ и новая статья 272.1 в УК. Эта статья устанавливает уголовную ответственность за сбор, передачу и хранение данных, полученных незаконным путем, включая создание ресурсов для их распространения. Виды наказаний:

штраф до 300 000 рублей;
принудительные работы до 4 лет;
лишение свободы до 4 лет.

Если информация касается несовершеннолетних или содержит биометрические данные, санкции увеличиваются до 700 000 рублей штрафа или лишения свободы на срок до 5 лет. Максимальное наказание (до 8 лет лишения свободы и штраф до 2 млн рублей) грозит за передачу данных за рубеж.

Эти меры направлены на усиление защиты персональных данных граждан и снижение рисков их неправомерного использования.

Обработка персональных данных в 1С

В решениях 1С, например, в программе «1С:Зарплата и управление персоналом» пользователи могут создать согласие на обработку персональных данных, а также оформить отзыв согласия.

Для этого в разделе «Кадры» выберите пункт «Согласия на обработку ПДн».

С помощью команды «Создать» создайте новое согласие на обработку персональных данных.

Укажите дату документа, организацию (если в базе их несколько), ответственного за обработку персональных данных в вашей организации. Выберите субъекта персональных данных. Информация по сотруднику или физическому лицу подтянется из его карточки.

Укажите дату получения согласия и срок действия. Сохраните и проведите документ. Появится сообщение, что необходимо подать уведомление в Роскомнадзор.

По кнопке «Печать» сформируйте печатную форму документа. В этом же документе по одноименной кнопке вы можете создать «Отзыв согласия на обработку ПДн». В нем необходимо указать физическое лицо, ответственного за обработку данных и дату отзыва согласия. Затем сохранить и провести документ.