Как говорил Николай Сербский «Истина — это не мысль, не слово, не отношения вещей, не закон. Истина — это Личность».
Фото: Виталий Гариев / unsplash.com - Источник
Читайте также
Персональные данные — это самая деликатная категория информации. Несанкционированный доступ к ней представляет угрозу каждому из нас. Ежедневно тысячи злоумышленников стараются получить эти данные, чтобы использовать их против нас. Только за 2024 год телефонные мошенники совершили 20 миллионов звонков и украли не менее 295 миллиардов рублей у граждан. Надлежащая защита персональных данных значительно уменьшила бы эти показатели.
В связи с этим в последнее время государство вводит ряд мер, направленных на формирование ответственного отношения к этой информации: в конце прошлого года уголовный кодекс Российской Федерации был дополнен статьей 272.1, устанавливающей ответственность за получение неправомерного доступа к персональным данным, а с 30 мая вступили в силу кардинальные изменения в кодекс об административной ответственности (Федеральный закон от 30.11.2024 № 420-ФЗ).
За последний месяц о предстоящих нововведениях доносилось из каждого «утюга», предприниматели и организации массово начали подавать уведомления об обработке персональных данных в Роскомнадзор, только за 30 мая в уполномоченный орган поступило 390 000 уведомлений.
С чем же связана такая активность? На самом деле, базовые требования к обработке персональных данных не изменились. Однако с 30 мая 2025 года государство кардинально ужесточило финансовую ответственность за их нарушение.
Вместо привычных максимальных 20 000 рублей для предпринимателей штрафы выросли до 100 000 рублей, а для компаний предельный размер теперь составляет 300 000 рублей. Для физических лиц максимальный штраф увеличился с 3 000 до 15 000 рублей, для должностных лиц — с 20 000 до 100 000 рублей.
Но это только начало. За повторные нарушения штрафы становятся еще более болезненными: физические лица могут заплатить до 30 000 рублей, должностные лица — до 200 000, а организации и индивидуальные предприниматели — до полумиллиона рублей.
Законодатель не ограничился простым увеличением существующих штрафов. Введены совершенно новые составы правонарушений, деяния по которым ранее либо не наказывались вовсе, либо наказывались по общим статьям:
Нарушение обязанности уведомить о намерении обрабатывать персональные данные. Стоит отметить, что любой субъект — а это почти каждый предприниматель и компания — должен был уведомлять Роскомнадзор о том, что он является оператором персональных данных. Это требование остается неизменным с 2022 года, но теперь за его несоблюдение грозит штраф от 100 до 300 тысяч рублей для коммерческих организаций и ИП.
Нарушение обязанности уведомить об утечке персональных данных. Если раньше многие операторы предпочитали «не замечать» инциденты с безопасностью, то теперь сокрытие утечки обойдется в 1-3 миллиона рублей.
Штрафы за утечки персональных данных. За это правонарушения введена градация штрафов в зависимости от масштаба:
Самым болезненным нововведением стали оборотные штрафы за повторные утечки персональных данных любой категории. Теперь рецидивисты будут платить от 1 до 3% годовой выручки, причем минимальный размер такого штрафа не может быть меньше 20-25 миллионов рублей, а максимальный — не должен превышать 500 миллионов рублей.
Отдельное внимание законодатель уделил биометрическим персональным данным. Введены новые составы нарушений:
Более того, в Кодекс об административных правонарушениях добавлен состав об отказе в обслуживании потребителя, который не захотел подтверждать свою личность с помощью биометрии.
Однако это не все изменения 2025 года в сфере персональных данных. С 1 июля 2025 года вступают в силу поправки к Федеральному закону «О персональных данных», которые изменят подходы к сбору информации (Федеральный закон от 28.02.2025 № 23-ФЗ). Главная новелла касается части 5 статьи 18, которая установит прямой запрет на сбор персональных данных с использованием зарубежных баз данных.
Это означает, что первичный сбор данных с использованием сервисов и программных решений, размещенных на зарубежных серверах (например, через Google-таблицы), равно как и первичный сбор данных в иностранной базе с последующим формальным «дублированием» данных в российские базы данных (включая так называемую «локализацию по API») будет прямо противоречить закону.
С 1 сентября 2025 года начнет действовать механизм формирования обезличенных составов персональных данных (дата-сетов) в рамках государственной информационной системы Минцифры России.
Операторы персональных данных будут обязаны по требованию Минцифры предоставлять обезличенные персональные данные в госинформсистему министерства. В соответствующем требовании будет указываться перечень данных, которые необходимо передать, а также сроки их предоставления. Правила обезличивания установит Правительство РФ по согласованию с ФСБ России.
Чтобы избежать больших потерь, необходимо ответственно относиться не только к технической стороне вопроса обработки персональных данных, но и к формальной стороне. В первую очередь следует:
Изменения 2025 года знаменуют начало новой эпохи в сфере защиты персональных данных в России. Государство демонстрирует серьезность намерений не только повышением ответственности, но и созданием комплексной системы контроля за оборотом персональных данных.
Будет ли данная система более строго толковаться на практике судами и со стороны регулятора — покажет время. Однако уже сейчас ясно: эпоха легкомысленного отношения к персональным данным окончательно завершилась. Тем, кто не успеет адаптироваться к новым реалиям, грозят не просто административные штрафы, а реальная угроза финансовой устойчивости бизнеса.
Чтобы успешно работать в новых условиях и соблюсти все юридические требования, предъявляемые к действиям с персональными данными, следите за обновлениями законодательства и регулярно проводите аудит своих процессов обработки данных.
В связи с этим в последнее время государство вводит ряд мер, направленных на формирование ответственного отношения к этой информации: в конце прошлого года уголовный кодекс Российской Федерации был дополнен статьей 272.1, устанавливающей ответственность за получение неправомерного доступа к персональным данным, а с 30 мая вступили в силу кардинальные изменения в кодекс об административной ответственности (Федеральный закон от 30.11.2024 № 420-ФЗ).
За последний месяц о предстоящих нововведениях доносилось из каждого «утюга», предприниматели и организации массово начали подавать уведомления об обработке персональных данных в Роскомнадзор, только за 30 мая в уполномоченный орган поступило 390 000 уведомлений.
С чем же связана такая активность? На самом деле, базовые требования к обработке персональных данных не изменились. Однако с 30 мая 2025 года государство кардинально ужесточило финансовую ответственность за их нарушение.
Вместо привычных максимальных 20 000 рублей для предпринимателей штрафы выросли до 100 000 рублей, а для компаний предельный размер теперь составляет 300 000 рублей. Для физических лиц максимальный штраф увеличился с 3 000 до 15 000 рублей, для должностных лиц — с 20 000 до 100 000 рублей.
Но это только начало. За повторные нарушения штрафы становятся еще более болезненными: физические лица могут заплатить до 30 000 рублей, должностные лица — до 200 000, а организации и индивидуальные предприниматели — до полумиллиона рублей.
Законодатель не ограничился простым увеличением существующих штрафов. Введены совершенно новые составы правонарушений, деяния по которым ранее либо не наказывались вовсе, либо наказывались по общим статьям:
Нарушение обязанности уведомить о намерении обрабатывать персональные данные. Стоит отметить, что любой субъект — а это почти каждый предприниматель и компания — должен был уведомлять Роскомнадзор о том, что он является оператором персональных данных. Это требование остается неизменным с 2022 года, но теперь за его несоблюдение грозит штраф от 100 до 300 тысяч рублей для коммерческих организаций и ИП.
Нарушение обязанности уведомить об утечке персональных данных. Если раньше многие операторы предпочитали «не замечать» инциденты с безопасностью, то теперь сокрытие утечки обойдется в 1-3 миллиона рублей.
Штрафы за утечки персональных данных. За это правонарушения введена градация штрафов в зависимости от масштаба:
- Утечка данных от 1000 физических лиц — 3-5 миллионов рублей;
- От 10 000 физических лиц — 5-10 миллионов рублей;
- Свыше 100 000 человек — 10-15 миллионов рублей;
- Утечка данных специальных категорий — 10-15 миллионов рублей;
- Утечка биометрических данных — 15-20 миллионов рублей.
Самым болезненным нововведением стали оборотные штрафы за повторные утечки персональных данных любой категории. Теперь рецидивисты будут платить от 1 до 3% годовой выручки, причем минимальный размер такого штрафа не может быть меньше 20-25 миллионов рублей, а максимальный — не должен превышать 500 миллионов рублей.
Отдельное внимание законодатель уделил биометрическим персональным данным. Введены новые составы нарушений:
- Нарушение порядка обработки биометрических данных;
- Непринятие мер по обеспечению их безопасности;
- Обработка данных без аккредитации.
Более того, в Кодекс об административных правонарушениях добавлен состав об отказе в обслуживании потребителя, который не захотел подтверждать свою личность с помощью биометрии.
Однако это не все изменения 2025 года в сфере персональных данных. С 1 июля 2025 года вступают в силу поправки к Федеральному закону «О персональных данных», которые изменят подходы к сбору информации (Федеральный закон от 28.02.2025 № 23-ФЗ). Главная новелла касается части 5 статьи 18, которая установит прямой запрет на сбор персональных данных с использованием зарубежных баз данных.
Это означает, что первичный сбор данных с использованием сервисов и программных решений, размещенных на зарубежных серверах (например, через Google-таблицы), равно как и первичный сбор данных в иностранной базе с последующим формальным «дублированием» данных в российские базы данных (включая так называемую «локализацию по API») будет прямо противоречить закону.
С 1 сентября 2025 года начнет действовать механизм формирования обезличенных составов персональных данных (дата-сетов) в рамках государственной информационной системы Минцифры России.
Операторы персональных данных будут обязаны по требованию Минцифры предоставлять обезличенные персональные данные в госинформсистему министерства. В соответствующем требовании будет указываться перечень данных, которые необходимо передать, а также сроки их предоставления. Правила обезличивания установит Правительство РФ по согласованию с ФСБ России.
Законодатель предусмотрел серьезные ограничения для защиты граждан:
- Формирование дата-сетов из специальных категорий и биометрических персональных данных не допускается (есть отдельные исключения);
- Доступ к дата-сетам будет происходить исключительно в рамках закрытого контура государственной информационной системы;
- «Вынести» данные из системы будет технически невозможно;
- По общему правилу запрещается предоставление результатов обработки составов данных иностранным юридическим лицам, иностранным организациям, иностранным гражданам и лицам без гражданства.
Практические рекомендации: как защитить свой бизнес
Чтобы избежать больших потерь, необходимо ответственно относиться не только к технической стороне вопроса обработки персональных данных, но и к формальной стороне. В первую очередь следует:
- Проверить актуальность уведомления в Роскомнадзоре. Если вы не подавали уведомление о том, что являетесь оператором персональных данных, сделайте это незамедлительно.
- Разработать процедуры реагирования на инциденты. Учитывая новые штрафы за сокрытие утечек, критически важно иметь отлаженный механизм выявления сбоев и уведомления о нарушениях безопасности.
- Провести аудит используемых сервисов. До 1 июля 2025 годанеобходимо выявить все случаи первичного сбора данных через зарубежные системы и разработать план миграции на российские решения.
Изменения 2025 года знаменуют начало новой эпохи в сфере защиты персональных данных в России. Государство демонстрирует серьезность намерений не только повышением ответственности, но и созданием комплексной системы контроля за оборотом персональных данных.
Будет ли данная система более строго толковаться на практике судами и со стороны регулятора — покажет время. Однако уже сейчас ясно: эпоха легкомысленного отношения к персональным данным окончательно завершилась. Тем, кто не успеет адаптироваться к новым реалиям, грозят не просто административные штрафы, а реальная угроза финансовой устойчивости бизнеса.
Чтобы успешно работать в новых условиях и соблюсти все юридические требования, предъявляемые к действиям с персональными данными, следите за обновлениями законодательства и регулярно проводите аудит своих процессов обработки данных.
Автор: Business FM Санкт-Петербург
Генеральный директор ГК «КЕЛЕАНЗ Медикал» 
Директор юридической компании «ЛексКледере консалтинг» 
Руководитель ФНС 
Председатель комиссии по транспорту Законодательного собрания Петербурга