Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
В мае 2025 года в несколько раз увеличатся действующие штрафы за нарушение правил работы с персональными данными граждан. Также будут введены в действие высокие административные штрафы за утечку персональных данных. Рассказываем, какие штрафы назначат за непредставление уведомлений в Роскомнадзор и на сколько оштрафуют за утечку в интернет биометрических данных.

Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных

Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):

  • сотрудников и кандидатов на работу;
  • контрагентов;
  • членов общественных объединений и религиозных организаций;
  • посетителей для однократного пропуска на территорию компании;
  • ФИО любого лица, полученное организацией.

Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.

С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):

  • от 5 000 до 10 000 рублей – для физлиц
  • от 30 000 до 50 000 рублей – для должностных лиц организаций
  • от 100 000 до 300 000 рублей – для ИП
  • от 100 000 до 300 000 рублей – для организаций

Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Штрафы за неуведомление Роскомнадзора об утечке персональных данных

С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных. Сейчас компании за неподачу таких уведомлений штрафуют по ст.19.7 КоАП РФ, а штраф назначают в пределах от 3 000 до 5 000 рублей.

С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):

  • от 50 000 до 100 000 рублей – для физлиц
  • от 400 000 до 800 000 рублей – для должностных лиц организаций
  • от 1 до 3 млн рублей – для ИП
  • от 1 до 3 млн рублей – для организаций

Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).

Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.

Штрафы за утечку персональных данных

Одновременно для компаний будут значительно повышены и штрафы за саму утечку персональных данных – их неправомерную передачу третьим лицам. Сейчас операторы персональных данных несут ответственность за утечку личных сведений граждан по ч.2 ст.13.11 КоАП РФ, а максимальный размер штрафов за указанное нарушение достигает 700 000 рублей.

С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек повлечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):

  • от 100 000 до 200 000 рублей – для физлиц
  • от 200 000 до 400 000 рублей - для должностных лиц организаций
  • от 3 до 5 млн рублей – для ИП
  • от 3 до 5 млн рублей – для организаций

Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):

  • от 200 000 до 300 000 рублей – для физлиц
  • от 300 000 до 500 000 рублей – для должностных лиц организаций
  • от 5 до 10 млн рублей – для ИП
  • от 5 до 10 млн рублей - для организаций

За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):

  • от 300 000 до 400 000 рублей – для физлиц
  • от 400 000 до 600 000 рублей – для должностных лиц организаций
  • от 10 до 15 млн рублей – для ИП
  • от 10 до 15 млн рублей – для организаций

Повторная передача третьим лицам персональных данных без законных оснований станет грозить следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):

  • от 400 000 до 600 000 рублей – для физлиц
  • от 800 000 до 1,2 млн рублей – для должностных лиц организаций
  • от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.

Штрафы за утечку биометрических персональных данных

Отдельные штрафы будут введены за незаконную передачу третьим лицам биометрических персональных данных, под которыми понимаются в том числе изображения лиц, записи голосов, и отпечатки пальцев.

С 30 мая 2025 года незаконная передача биометрических сведений повлечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):

  • от 400 000 до 500 000 рублей – для физлиц
  • от 1,3 до 1,5 млн рублей – для должностных лиц организаций
  • от 15 до 20 млн рублей – для ИП
  • от 15 до 20 млн рублей – для организаций

Повторная передача биометрических данных без законных оснований станет наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):

  • от 500 000 до 800 000 рублей – для физлиц
  • от 1,5 до 2 млн рублей – для должностных лиц организаций
  • от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций

Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, будет равен 25 млн рублей, а максимальный – 500 млн рублей.

Уголовная ответственность за нарушения в работе с персональными данными

Кроме штрафов, с 11 декабря 2024 года действует статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан. Данные действия сейчас могут грозить:

  • штрафом в размере до 300 000 рублей
  • принудительными работами на срок до 4 лет
  • лишением свободы на срок до 4 лет

Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, грозят:

  • штрафом в размере до 700 000 рублей
  • принудительными работами на срок до 5 лет
  • лишением свободы на срок до 5 лет

Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору наказываются:

  • штрафом в размере до 1 млн рублей
  • принудительными работами на срок до 5 лет со штрафом в размере до 1 млн рублей
  • лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей
Обратите внимание! Уголовная ответственность не распространяться на случаи обработки персональных данных физическими лицами исключительно для личных или семейных нужд.

В материале использованы фото: ImageFlow / Shutterstock / Fotodom.

Комментарии
  1. Главбух-душнила

    А тем, чьи персональные данные утекли, от штрафов, полученных государством, какая польза? Государство поделится с нами?

    • Счетовод-любитель

      Главбух-душнила, На полученные средства государство должно бороться с нарушителями, а не раздавать их.

    • chitatel

      Главбух-душнила, Разумеется, поделится. За счет административных штрафов, собираемых с нарушителей, в том числе из числа организаций и ИП, государство решает свои задачи и реализует многие социальные проекты. В частности, за счет поступлений в виде штрафов строятся школьные и дошкольные образовательные объекты, ремонтируются дороги, возводится новая инфраструктура, выплачиваются зарплаты и пенсии бюджетникам.

      На что именно идут штрафы в законе не конкретизируются. Но совершенно точно, что они поступают в бюджеты, а не в карманы чиновников.

    • Налоговое бремя

      Главбух-душнила, Штрафы - это доход государственного бюджета. Лица, чьи данные были переданы третьим лицам без их разрешения, не вправе претендовать на данные штрафы. Но они вправе защищать свои права самостоятельно в рамках отдельных судебных разбирательств. Это можно делать как лично, так и при помощи Роспотребнадзора.

      В этом случае компанию оштрафуют еще и за нарушение прав потребителя, а самому гражданину может быть присуждена компенсация морального вреда. Сумма такой компенсации - на усмотрение самого лица, чьи данные распространены.

      • Минибух

        Налоговое бремя, Справедливости ради: лицо, конечно, может и 5 млн потребовать компенсации. Только присудят ему тысяч 10. Не помню прецедентов, чтоб были присуждены высокие компенсации за моральный ущерб.

  2. Надменный главбух

    Наивные "главбухи" (((

  3. Рыжая из бухгалтерии

    Добрый день у нас компания по продаже мебели в розницу. Персональных данных до 1000 есть ли смысл ремонтировать в РКН

    • Добродушный кассир

      Рыжая из бухгалтерии, Смысл подачи уведомлений в Роскомнадзор есть всегда. Если раньше компания не подавала таких уведомлений и ее не штрафовали, то это не значит, что и в будущем к ней со стороны РКН не возникнет никаких претензий. Поэтому уведомление все же лучше подать, пусть и с пропуском законного срока.

      Тем более, что сейчас штрафы за непредставление таких уведомлений незначительные. Компания вполне может отделаться штрафом в размере 3000 рублей. А вот с 30 мая штрафы за неподачу уведомлений вырастут многократно. И придется платить уже не 3000 рублей, 300 000 рублей. Санкции вырастут в 100 раз.

  4. Бухгалтер на пенсии

    Будет ИП штраф если не подавали уведомление но при этом нет работников и заключаем только контракты с покупателями?

    • Постоянное обновление

      Бухгалтер на пенсии, Штраф возможен, но не обязателен. Вполне вероятно, что штраф заменят просто предупреждением и в адрес ИП поступит уведомление о необходимости подачи уведомления. То есть, уведомление о начале обработки персональных данных предпринимателю в Роскомнадзор все равно придется предоставить.

      Такое уведомление необходимо не только в случаях, когда ИП планирует трудоустроить к себе наемного работника. Уведомление нужно во всех случаях, когда ИП собирает, обрабатывает и хранит у себя персональные данные третьих лиц. Заключая договоры, персональные данные ИП все равно поступают.