Законодательство Персональные данные: штрафы до 500 млн рублей — что делать малому бизнесу
Актуально на 6 мин

Персональные данные: штрафы до 500 млн рублей — что делать малому бизнесу

Новые штрафы за утечку персональных данных до 500 млн рублей с 2025 года. Что обязан сделать малый бизнес как оператор ПДн, чтобы избежать ответственности.

Содержание

С 30 мая 2025 года в России введена уголовная ответственность за незаконный оборот персональных данных, а административные штрафы за утечки существенно выросли. Штраф для юридического лица за повторную утечку крупного объёма данных теперь может достигать 500 млн рублей. Это уже не угроза только для корпораций — любой предприниматель, хранящий базу клиентов, является оператором персональных данных и несёт соответствующую ответственность.

Правовая основа: что изменилось

Поправки в Кодекс об административных правонарушениях вступили в силу 30 мая 2025 года (Федеральный закон от 30.11.2024 № 420-ФЗ). Параллельно Федеральным законом от 30.11.2024 № 421-ФЗ введена уголовная ответственность за незаконный оборот персональных данных (ст. 272.1 УК РФ). Базовый закон — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Изменения в КоАП РФ (ст. 13.11):

  • За утечку от 1 000 до 10 000 записей о физлицах: штраф для юрлиц — от 3 до 5 млн рублей.
  • За утечку от 10 000 до 100 000 записей: штраф от 5 до 10 млн рублей.
  • За утечку свыше 100 000 записей: штраф от 10 до 15 млн рублей.
  • При повторном нарушении в течение года: оборотный штраф от 0,1% до 3% годовой выручки, но не менее 15 млн рублей и не более 500 млн рублей.

Уголовная ответственность введена новой ст. 272.1 УК РФ: незаконный сбор, хранение, распространение специальных категорий ПДн (биометрия, здоровье, религиозные убеждения и др.) при наступлении тяжких последствий — лишение свободы до 10 лет.

Кто является оператором персональных данных

Оператор ПДн — любое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных (ст. 3 Закона № 152-ФЗ). Под это определение попадают:

  • интернет-магазины с формой регистрации или оформления заказа (о технической стороне приёма оплат и чеков — в материале касса для интернет-магазина);
  • кафе и рестораны с картами лояльности или бронированием столиков;
  • работодатели (хранят данные сотрудников);
  • арендодатели (хранят паспортные данные арендаторов);
  • салоны красоты, стоматологии, фитнес-клубы с базой клиентов;
  • любой бизнес, ведущий рассылки по e-mail или телефону.

Если ваша CRM или таблица Excel содержит ФИО, телефоны, адреса, дату рождения — вы оператор ПДн.

Минимальный набор мер для малого бизнеса

Роскомнадзор как регулятор в сфере ПДн опубликовал методические рекомендации по соблюдению требований для малого бизнеса. Минимальный набор мер:

1. Уведомить Роскомнадзор о начале обработки ПДн

Большинство операторов обязаны подать уведомление через официальный портал pd.rkn.gov.ru до начала обработки данных. Исключения — операторы, обрабатывающие только данные сотрудников для целей выполнения трудового договора (ст. 22 Закона № 152-ФЗ).

Уведомление подаётся однократно; при изменении деятельности — обновляется. Штраф за отсутствие уведомления — от 100 000 до 300 000 рублей (ч. 1 ст. 13.11 КоАП).

2. Разработать политику обработки персональных данных

Политика — публичный документ, размещаемый на сайте (для интернет-компаний — обязателен). Содержит: цели обработки, состав данных, основания, сроки хранения, порядок уничтожения.

Готовый шаблон — на сайте Роскомнадзора. Для большинства МСБ достаточно 2–3 страниц.

3. Получить согласие на обработку данных

Для обработки ПДн по общему правилу нужно согласие субъекта (ст. 9 Закона № 152-ФЗ). Исключения — обработка в рамках договора (покупка, трудовой договор), требования закона (налоговый учёт).

Согласие должно быть: конкретным, информированным, сознательным, однозначным. Галочка «Согласен с политикой конфиденциальности» при регистрации — минимально допустимый вариант.

4. Обеспечить техническую защиту данных

Требования к техническим мерам установлены Постановлением Правительства РФ № 1119 от 01.11.2012 и Приказом ФСТЭК России № 21 от 18.02.2013. Для МСБ критично:

  • Ограниченный доступ к базам данных (не все сотрудники).
  • Регулярное резервное копирование.
  • Антивирусная защита.
  • Сложные пароли и двухфакторная аутентификация для систем с ПДн.

5. Локализовать данные российских граждан

С 2015 года первичная запись и хранение ПДн российских граждан должна осуществляться на серверах, расположенных в России (ст. 18.1 Закона № 152-ФЗ). Использование зарубежных CRM (Salesforce, HubSpot) без первичного хранения в РФ — нарушение, за которое Роскомнадзор ранее уже блокировал сервисы.

Особые риски для отдельных видов бизнеса

Интернет-торговля. При передаче данных покупателей в службы доставки оформляется договор поручения обработки ПДн (ст. 6 Закона № 152-ФЗ). Без него вы несёте ответственность за действия курьерской службы с данными клиентов.

Медицина и стоматология. Данные о состоянии здоровья — специальная категория ПДн. Требуется письменное согласие пациента. Обработка только в информационных системах, прошедших аттестацию.

HR и кадровая документация. Данные сотрудников обрабатываются на основании трудового договора — отдельное согласие не нужно, но обязателен локальный акт (положение об обработке ПДн сотрудников). Какой пакет документов оформляется при найме и где впервые появляются персональные данные работника, разобрано в материале первый сотрудник: полный пакет документов.

О проверках бизнеса и рисках привлечения к ответственности в 2026 году читайте в материале «Проверки бизнеса в 2026».

Что делать при утечке данных

С 30 мая 2025 года при обнаружении утечки оператор обязан:

  1. В течение 24 часов уведомить Роскомнадзор о факте инцидента через портал pd.rkn.gov.ru.
  2. В течение 72 часов направить уточнённое уведомление с результатами внутреннего расследования.

Уведомление не освобождает от штрафа, но смягчает ответственность: ст. 4.2 КоАП предусматривает уведомление как обстоятельство, учитываемое судом при назначении наказания.

Скрытие утечки отягчает ответственность.

FAQ

Мне нужно согласие на обработку ПДн для ведения книги жалоб и предложений? Нет. Если посетитель сам вписывает свои данные в книгу — это его волеизъявление. Систематизация этих данных в электронной базе потребует согласия.

Есть ли упрощённый порядок для ИП? Нет. Требования 152-ФЗ распространяются на ИП и юрлиц одинаково. Различаются только суммы штрафов (для должностных лиц ниже, чем для организаций).

Нужно ли согласие клиента на передачу его данных в налоговую? Нет. Обработка в целях исполнения требований законодательства осуществляется без согласия субъекта.

Зарубежный сервис хранит данные на серверах в ЕС — это нарушение? Нарушение требования о локализации. Допускается последующее хранение в зарубежных системах, но первичная запись должна быть в России.

Может ли Роскомнадзор прийти с проверкой к малому бизнесу? Да. Проверки проводятся как плановые (план публикуется на сайте РКН), так и внеплановые — по жалобам субъектов ПДн.

Заключение

Штрафы за нарушение законодательства о персональных данных стали реальной угрозой для МСБ после реформы 2025 года. Минимальный пакет мер — уведомление РКН, политика конфиденциальности, согласия и техническая защита — занимает не более 2–3 рабочих дней при наличии шаблонов от регулятора. Не откладывайте: проверки Роскомнадзора участились, а санкции за повторные нарушения исчисляются сотнями миллионов рублей.

КШ
Законодательство
Рассчитайте штраф за нарушение на вашем калькуляторе

Введите сумму расчёта и тип нарушения — получите диапазон штрафа по актуальной редакции КоАП РФ.

Не уверены, какой сервис нужен под вашу задачу? Подобрать за 2 вопроса →