Можно «попасть» на 20 млн руб.: в силу вступили новые штрафы для бизнеса за утечку персональных данных

С 30 мая 2025 года в России начинают действовать ужесточенные правила работы с персональными данными. Изменения в законодательстве вводят значительные штрафы за утечки и другие нарушения, что требует от компаний, особенно малого и среднего бизнеса, пересмотра своих процессов и усиления мер безопасности. Проблема утечек стоит остро: только за первый квартал 2024 года у малого и среднего бизнеса утекло 47 млн записей, что в четыре раза больше, чем годом ранее.

Новый порядок штрафов

Основная суть нововведений – прямая зависимость размера штрафа от масштаба утечки информации. За утечку «обычных» персональных данных, таких как ФИО, телефон или email, если пострадало от 1 тыс. человек или утекли данные от 10 тыс. идентификаторов, штраф составит от 3 до 5 млн руб. Повторная утечка таких данных может привести к оборотному штрафу – от 1% до 3% от годовой выручки компании. В предельных случаях компаниям грозит взыскание до 15 млн руб.

Особое внимание уделено специальным категориям данных, к которым относятся биометрия и сведения о здоровье. Даже минимальная утечка такой информации повлечет за собой штрафы от 10 до 20 млн рублей. Это касается практически любого бизнеса, так как компании обрабатывают данные о здоровье своих сотрудников, например информацию об инвалидности или результатах медосмотров водителей.

Не только за утечки

Помимо утечек серьезные штрафы предусмотрены и за другие нарушения. Неправильно оформленное согласие работника на обработку его данных может стоить компании до 700 тыс. рубл., а повторное нарушение грозит уплатой до 1,5 млн руб. Отсутствие на сайте гиперссылки на политику конфиденциальности обойдется в сумму до 60 тыс. руб. Если на сайте в формах обратной связи нет чек-бокса для согласия на обработку данных, штраф может достигать 300 тыс, руб. за первое нарушение и 500 тыс. руб. — за повторное. Использование иностранных аналитических сервисов, передающих данные в страны, не обеспечивающие должную защиту, грозит штрафом до 700 тыс. руб., а при рецидиве – до 1,5 млн руб.

Владимир Арлазаров,

генеральный директор Smart Engines

Пока все говорят о двух основных причинах утечек — хакерах и недобросовестных сотрудниках, из поля зрения выпадает еще один, не менее серьезный фактор. Сегодня одним из источников рисков для бизнеса стали ИИ-сервисы. Это касается как обычных ИИ-помощников, например ChatGPT, так и облачных сервисов, предоставляющих услуги по распознаванию документов с персональными данными. В этих случаях конфиденциальная информация может легко оказаться в открытом доступе, что неизбежно повлечет за собой финансовые и репутационные потери. Потому бизнесу и предпринимателям стоит пристальнее следить за тем, чтобы персональные данные и другая конфиденциальная информация ни при каких обстоятельствах не покидали контур безопасности компании. Если утечка произойдет на стороне ИИ-сервиса, уйти от ответственности не удастся. Крайне важно проверять, кому вы отдаете на обработку чувствительную информацию о своих клиентах.

Персональными данными считаются любые сведения, прямо или косвенно идентифицирующие человека. Это не только ФИО и паспорт, но и номер телефона, email, история заказов, фотография и даже cookie-файлы. Малый бизнес часто уязвим из-за недостатка ресурсов для полноценной защиты и отсутствия регулярного юридического аудита. Почти 98% всех утечек являются умышленными, и в 76,1% случаев это именно персональные данные.

Как уберечь бизнес

Для минимизации рисков компаниям рекомендуется провести аудит своих процессов. Необходимо разработать или обновить локальные акты, включая положение об обработке данных и формы согласий. Важно, чтобы для каждой цели обработки указывался конкретный перечень сведений, условия и сроки. Сотрудничество с подрядчиками также должно быть под контролем, так как оно может стать каналом утечки.

На сайтах компаний должна быть размещена политика конфиденциальности, а формы сбора данных – оснащены чек-боксами для получения согласия. Следует отказаться от иностранных сервисов аналитики, если они передают данные в страны с недостаточным уровнем защиты. Также все компании и ИП, за исключением работающих исключительно «на бумаге», обязаны подать уведомление в Роскомнадзор и поддерживать его в актуальном состоянии. Невыполнение этого требования может привести к штрафу до 300 тыс. руб.

Эксперты советуют использовать сертифицированные ФСТЭК средства кибербезопасносити — антивирусы и файрволы. Это может быть учтено как смягчающее обстоятельство в случае инцидента. Времени на приведение процессов в соответствие с новыми требованиями было немного, и теперь бизнесу предстоит работать в условиях повышенной ответственности.