Содержание
С 30 мая 2025 года в России введена уголовная ответственность за незаконный оборот персональных данных, а административные штрафы за утечки существенно выросли. Штраф для юридического лица за повторную утечку крупного объёма данных теперь может достигать 500 млн рублей. Это уже не угроза только для корпораций — любой предприниматель, хранящий базу клиентов, является оператором персональных данных и несёт соответствующую ответственность.
Правовая основа: что изменилось
Поправки в Кодекс об административных правонарушениях вступили в силу 30 мая 2025 года (Федеральный закон от 30.11.2024 № 420-ФЗ). Параллельно Федеральным законом от 30.11.2024 № 421-ФЗ введена уголовная ответственность за незаконный оборот персональных данных (ст. 272.1 УК РФ). Базовый закон — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Изменения в КоАП РФ (ст. 13.11):
- За утечку от 1 000 до 10 000 записей о физлицах: штраф для юрлиц — от 3 до 5 млн рублей.
- За утечку от 10 000 до 100 000 записей: штраф от 5 до 10 млн рублей.
- За утечку свыше 100 000 записей: штраф от 10 до 15 млн рублей.
- При повторном нарушении в течение года: оборотный штраф от 0,1% до 3% годовой выручки, но не менее 15 млн рублей и не более 500 млн рублей.
Уголовная ответственность введена новой ст. 272.1 УК РФ: незаконный сбор, хранение, распространение специальных категорий ПДн (биометрия, здоровье, религиозные убеждения и др.) при наступлении тяжких последствий — лишение свободы до 10 лет.
Кто является оператором персональных данных
Оператор ПДн — любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных (ст. 3 Закона № 152-ФЗ). Под это определение попадают:
- интернет-магазины с формой регистрации или оформления заказа (о технической стороне приёма оплат и чеков — в материале касса для интернет-магазина);
- кафе и рестораны с картами лояльности или бронированием столиков;
- работодатели (хранят данные сотрудников);
- арендодатели (хранят паспортные данные арендаторов);
- салоны красоты, стоматологии, фитнес-клубы с базой клиентов;
- любой бизнес, ведущий рассылки по e-mail или телефону.
Если ваша CRM или таблица Excel содержит ФИО, телефоны, адреса, дату рождения — вы оператор ПДн.
Минимальный набор мер для малого бизнеса
Роскомнадзор как регулятор в сфере ПДн опубликовал методические рекомендации по соблюдению требований для малого бизнеса. Минимальный набор мер:
1. Уведомить Роскомнадзор о начале обработки ПДн
Большинство операторов обязаны подать уведомление через официальный портал pd.rkn.gov.ru до начала обработки данных. Исключения — операторы, обрабатывающие только данные сотрудников для целей выполнения трудового договора (ст. 22 Закона № 152-ФЗ).
Уведомление подаётся однократно; при изменении деятельности — обновляется. Штраф за отсутствие уведомления — от 100 000 до 300 000 рублей (ч. 1 ст. 13.11 КоАП).
2. Разработать политику обработки персональных данных
Политика — публичный документ, размещаемый на сайте (для интернет-компаний — обязателен). Содержит: цели обработки, состав данных, основания, сроки хранения, порядок уничтожения.
Готовый шаблон — на сайте Роскомнадзора. Для большинства МСБ достаточно 2–3 страниц.
3. Получить согласие на обработку данных
Для обработки ПДн по общему правилу нужно согласие субъекта (ст. 9 Закона № 152-ФЗ). Исключения — обработка в рамках договора (покупка, трудовой договор), требования закона (налоговый учёт).
Согласие должно быть: конкретным, информированным, сознательным, однозначным. Галочка «Согласен с политикой конфиденциальности» при регистрации — минимально допустимый вариант.
4. Обеспечить техническую защиту данных
Требования к техническим мерам установлены Постановлением Правительства РФ № 1119 от 01.11.2012 и Приказом ФСТЭК России № 21 от 18.02.2013. Для МСБ критично:
- Ограниченный доступ к базам данных (не все сотрудники).
- Регулярное резервное копирование.
- Антивирусная защита.
- Сложные пароли и двухфакторная аутентификация для систем с ПДн.
5. Локализовать данные российских граждан
С 2015 года первичная запись и хранение ПДн российских граждан должна осуществляться на серверах, расположенных в России (ст. 18.1 Закона № 152-ФЗ). Использование зарубежных CRM (Salesforce, HubSpot) без первичного хранения в РФ — нарушение, за которое Роскомнадзор ранее уже блокировал сервисы.
Особые риски для отдельных видов бизнеса
Интернет-торговля. При передаче данных покупателей в службы доставки оформляется договор поручения обработки ПДн (ст. 6 Закона № 152-ФЗ). Без него вы несёте ответственность за действия курьерской службы с данными клиентов.
Медицина и стоматология. Данные о состоянии здоровья — специальная категория ПДн. Требуется письменное согласие пациента. Обработка только в информационных системах, прошедших аттестацию.
HR и кадровая документация. Данные сотрудников обрабатываются на основании трудового договора — отдельное согласие не нужно, но обязателен локальный акт (положение об обработке ПДн сотрудников). Какой пакет документов оформляется при найме и где впервые появляются персональные данные работника, разобрано в материале первый сотрудник: полный пакет документов.
О проверках бизнеса и рисках привлечения к ответственности в 2026 году читайте в материале «Проверки бизнеса в 2026».
Что делать при утечке данных
С 30 мая 2025 года при обнаружении утечки оператор обязан:
- В течение 24 часов уведомить Роскомнадзор о факте инцидента через портал pd.rkn.gov.ru.
- В течение 72 часов направить уточнённое уведомление с результатами внутреннего расследования.
Уведомление не освобождает от штрафа, но смягчает ответственность: ст. 4.2 КоАП предусматривает уведомление как обстоятельство, учитываемое судом при назначении наказания.
Скрытие утечки отягчает ответственность.
FAQ
Мне нужно согласие на обработку ПДн для ведения книги жалоб и предложений? Нет. Если посетитель сам вписывает свои данные в книгу — это его волеизъявление. Систематизация этих данных в электронной базе потребует согласия.
Есть ли упрощённый порядок для ИП? Нет. Требования 152-ФЗ распространяются на ИП и юрлиц одинаково. Различаются только суммы штрафов (для должностных лиц ниже, чем для организаций).
Нужно ли согласие клиента на передачу его данных в налоговую? Нет. Обработка в целях исполнения требований законодательства осуществляется без согласия субъекта.
Зарубежный сервис хранит данные на серверах в ЕС — это нарушение? Нарушение требования о локализации. Допускается последующее хранение в зарубежных системах, но первичная запись должна быть в России.
Может ли Роскомнадзор прийти с проверкой к малому бизнесу? Да. Проверки проводятся как плановые (план публикуется на сайте РКН), так и внеплановые — по жалобам субъектов ПДн.
Заключение
Штрафы за нарушение законодательства о персональных данных стали реальной угрозой для МСБ после реформы 2025 года. Минимальный пакет мер — уведомление РКН, политика конфиденциальности, согласия и техническая защита — занимает не более 2–3 рабочих дней при наличии шаблонов от регулятора. Не откладывайте: проверки Роскомнадзора участились, а санкции за повторные нарушения исчисляются сотнями миллионов рублей.
Введите сумму расчёта и тип нарушения — получите диапазон штрафа по актуальной редакции КоАП РФ.
