Договоримся о терминах
С появлением новых норм начать пришлось с главного: а что вообще такое эти ваши персональные данные? Относится ли к ним, например, адрес регистрации или номер телефона человека? Спойлер: да. Но есть другие нюансы. Подробнее можно почитать в нашем словарике:
Работает с персональными данными по факту каждый бизнес, а значит, каждый бизнес — оператор персональных данных. Что это за статус и как его получить, разобрали тут:
Свой статус оператора можно проверить в реестре Роскомнадзора прямо сейчас:
После отправки уведомления в РКН последний вносит бизнес в этот список и дальше работать с персональными данными можно уже не нарушая закон.
Все операторы персональных данных в России подчиняются специальному федеральному закону №152-фз “О персональных данных”. Там прописано, например, кто, когда и как может данные собирать, обрабатывать, использовать и удалять. А еще права субъектов обработки данных — то есть физлиц — на то, чтобы предоставлять или не предоставлять свои данные и требовать от операторов соблюдения закона.
Уведомляем РКН
Законодательство о персональных данных сильно поменяли с 30 мая 2025 года:
Суть правил осталась та же, но добавились новые штрафы и даже статьи нарушений в КоАП, по которым выросли суммы наказаний.
Например, “больным местом” для бизнеса стало уведомление Роскомнадзора о начале обработки данных. Раньше штрафовали за неподачу такого уведомления, как за любые неподачи уведомлений в госорганы — на 10-15 тысяч рублей организации. Теперь же в КоАП появилась новая статья и наказания по ней в десятки раз больше: от 100 до 300 тысяч рублей.
Исправлять ситуацию и подавать уведомления бросились очень многие. Но оказалось, что сделать это не так просто. Какие поля заполнить? В какой форме вообще можно подать?
Забирайте большую инструкцию от нашей редакции, в каком порядке заполнять, куда отправлять и какие нюансы учесть:
Защищаемся от утечек
Кроме уведомлений, штрафы конечно выросли и за другие нарушения: например, за утечки данных и за неподачу сообщений о таких утечках. Бизнес должен обеспечивать защиту обрабатываемых данных, поэтому законодательство в этой сфере ужесточают.
Защита данных — довольно сложная тема, чтобы изложить ее в одной статье, но есть общие правила, которые можно принять за основу:
И конечно, бизнесу, у которого сбор данных идет в больших объемах (например, есть сайт с большой посещаемостью и регистрацией пользователей) лучше проконсультироваться о нюансах не только с техническими специалистами, но и с юристами.
“РКН проверяет соблюдение законодательства на сайтах в автоматическом режиме, поэтому поставьте в план привести сайт в порядок. Если используете метрические системы, то нужно повесить всплывающее уведомление о сборе cookies. В каждой форме обратной связи должен быть чек-бокс с активным согласием на обработку персональных данных и ознакомлением с политикой обработки. Политика обработки данных (политика конфиденциальности, так популярнее) должна быть размещена на видном месте, например, в подвале и соответствовать определенным требованиям”.
О том, что делать, если утечка уже произошла
Несколько фактов о масштабах утечек персональных данных за последнее время.
- В январе 2025 года стало известно об утечке персональных данных из корпоративной системы Ростелеком. Хакерам удалось похитить 101 тысячу номеров телефонов и 154 тысячи электронных адресов. Причиной стало использование в работе инфраструктуры подрядчика.
- В ноябре 2024 года в интернете опубликовали базу данных с клиентами онлайн-казино «1Win». Сведения включали имена, номера телефонов, электронные почты, даты рождения, пароли и IP-адреса.
- В 2024 году попала в сеть часть базы данных с персональными сведениями клиентов сети магазинов «ВинЛаб» — более 408 тысяч записей. В результате инцидента опубликовали ФИО пользователей, номера карт лояльности и информацию о накопленных бонусах, номера телефонов, электронные почты, истории заказов и обращений в службу поддержки.
И далеко не в каждой из таких историй есть вина бизнеса или его руководства: бывает, что это нерадивые сотрудники или даже бывшие сотрудники, попросту укравшие данные и продавшие их на черном рынке. Вот тут расписали, как быть, если это произошло именно с вашим бизнесом:
О новых штрафах
И наконец, поподробней о том, какие штрафы и за что могут приключиться с компанией при утечках данных:
Нарушение
Для физлиц
Для должностных лиц
Для ИП и организаций
Не уведомили Роскомнадзор об утечке персональных данных
50-100 тыс. ₽
400-800 тыс. ₽
1-3 млн ₽
Допустили утечку информации, в составе которой есть перс. данные от 1 до 10 тысяч человек
100-200 тыс. ₽
200-400 тыс. ₽
3-5 млн ₽
Допустили утечку информации, в составе которой есть перс. данные от 10 до 100 тысяч человек
200-300 тыс. ₽
300-500 тыс. ₽
5-10 млн ₽
Допустили утечку информации, в составе которой есть перс. данные от 100 тысяч человек или более 1 млн идентификаторов
300-400 тыс. ₽
400-600 тыс. ₽
10-15 млн ₽
Повторное нарушение по ч. 10-14 (ч. 15 ст. 13.11 КоАП РФ)
400-600 тыс. ₽
800-1200 тыс. ₽
1-3% совокупной выручки за календарный год, предшествующий году нарушения, не менее 20 млн и не более 500 млн ₽
Допустили утечку информации, в составе которой есть перс. данные специальной категории (ч. 16 ст. 13.11 КоАП РФ)
300-400 тыс. ₽
1-1,3 млн ₽
10-15 млн ₽
Действия (бездействие) оператора, повлекшие утечку биометрических данных (ч. 17 ст. 13.11 КоАП РФ)
400-500 тыс. ₽
1,3-1,5 млн ₽
15-20 млн ₽
Повторное нарушение по ч. 16-17 (ч. 18 ст. 13.11 КоАП РФ)
500-800 тыс. ₽
1,5-2 млн ₽
1-3% совокупной выручки за календарный год, предшествующий году нарушения, не менее 25 млн и не более 500 млн ₽
Что еще важно знать про персональные данные
Важно отслеживать последние новости по теме, и вот что вы могли пропустить:
- Компании стали тратить на 40% больше на защиту персональных данных
- Из-за оборотных штрафов бизнес изменит принципы работы с персональными данными
- Штрафы за нарушения по персональным данным для бизнеса вырастут в десятки раз с 30 мая
- Согласия на обработку персональных данных нужно оформлять по-новому с 1 сентября