Штрафы и ответственность за нарушение закона о персональных данных в 2025 году

Работая с персональными данными, надо быть очень аккуратными. За неправильное хранение, сбор или утечку информации есть штрафы. В некоторых случаях даже уголовная ответственность.

В статье рассказываем, какой штраф за утечку персональных данных платят ИП, компании и физлица в 2025 году. Или как накажут тех, кто не зарегистрировался в реестре операторов ПД. Делимся реальными примерами того, как компании наказывают за неправильную работу с персональными данными.

Персональные данные — информация и клиентах или сотрудниках, которую собирают для трудоустройства, продаж, настройки рекламы. Фотографии, ФИО, адрес, контакты, группа крови, СНИЛС — всё это относится к персональным данным.

Если вы выложите на сайт отзывы с фотографией и ником в соцсетях, вы уже работаете с персональными данными. Если собираете email и номера телефонов на сайте, тоже работаете с ПД.

Все, кто работают с персональными данными, автоматически становятся операторами ПД. Для этого необязательно быть предпринимателем, даже физлица могут стать операторами.

У операторов есть ряд обязанностей:

• регистрироваться в реестре Роскомнадзора
• правильно хранить, обрабатывать, защищать, уничтожать ПД
• собирать согласие на обработку ПД
• не передавать ПД третьим лицам, если это не предусмотрено законом или внутренними нормативными актами
• сообщать об утечках ПД в Роскомнадзор

Если эти правила не выполнять, получите штрафы, а в некоторых случаях принудительные работы или срок.

Все компании, ИП, физлица, работающие с персональными данными, обязаны подать уведомление об обработке ПД в Роскомнадзор. Если вы работаете с персданными, на сайте Роскомнадзора или на Госуслугах нужно сформировать уведомление в реестр операторов. По сути это отчёт в РКН о том, что вы обрабатываете персональные данные. Уведомление должен подать любой оператор ПД — человек, юрлицо, индивидуальный предприниматель, работающий с персональными данными.

Есть несколько исключений, когда за отсутствие уведомления об обработке персональных данных штрафа не будет:

• информация нужна для обеспечения госбезопасности и общественного порядка
• информация помогает обеспечить безопасность в сфере транспортного комплекса
• с информацией работают, не используя средства автоматизации

К большинству компаний эти исключения не относятся, так как редко кто-то сейчас ведёт клиентскую базу на бумаге. А таблицы или Excel уже относятся к средствам автоматизации.

Такие размеры штрафов за персональные данные действуют с 30 мая 2025 года.

Как не получить штраф. Подать уведомление на сайте Роскомнадзора или на Госуслугах, ещё можно отправить его почтой в бумажном виде. В уведомлении указать:

• какие данные вы будете обрабатывать
• цели и сроки обработки
• перечень действий с данными
• кто именно в компании работает с ПД
• где находится база данных с собранными сведениями
• кто отвечает за безопасность ПД, какие меры будут приняты

Операторы сами выбирают меры защиты данных, которые зависят от категории данных. Всего их 4: общедоступные, специальные, биометрические и иные. Самые большие штрафы установлены за утечку биометрических и специальных данных.

Штрафы за утечку персональных данных ↓

Штрафы за повторную утечку данных выше ↓

Штраф компании за утечку персональных данных при повторном нарушении в разы больше, чем у должностных лиц или ИП ↓

Штрафы за утечку персональных данных в 2025 году в случае повтора ↓

Это увеличенные размеры штрафов в 2025 году. Ещё пару лет назад они были намного меньше. Увеличение штрафов должно побудить компании тщательнее защищать данные. 

Кроме штрафов за утечку данных можно получить срок (ст. 272.1 УК), если это привело к серьезным последствиям. Например, за незаконную передачу данных можно получить 4 года исправительных работ или лишения свободы. Если незаконно передали биометрические или специальные данные третьим лицам, срок увеличивается — 5 лет.

Сотрудники, которые передали информацию третьим лицам, могут получить выговор (ст. 90, 192 ТК) или их могут уволить (ст. 81 ТК).

Оператор обязан поставить в известность РКН об утечке ПД не позднее 24 часов с момента обнаружения проблемы. Если этого не сделать, штраф Роскомнадзора за персональные данные будет такой:

• 50 000 ₽ — 100 000 ₽ — физическим лицам
• 400 000 ₽ — 800 000 ₽ — должностным лицам
• 1 000 000 ₽ — 3 000 000 ₽ — юридическим лицам и ИП

Как не получить штраф. Есть два вида утечек: внутренние и внешние. Внутренние можно предотвратить, если:

• ограничить доступ к данным, оставить его только к тем сотрудникам, кому он действительно необходим для выполнения служебных обязанностей
• регулярно проводить тренинги для сотрудников по вопросам безопасности данных
• создать инструкции, как действовать в случае подозрений на утечку данных

Как предотвратить внешнюю утечку:

• используйте многофакторную аутентификацию, чтобы для доступа к почте или CRM нужно было не только ввести пароль, но и, например, ввести проверочный код из смс
• используйте защищённые протоколы передачи данных, например, SSL/TLS
• регулярно проводите аудит безопасности, чтобы вовремя находить и устранять угрозы
• используйте средства сетевой защиты, например, системы контроля трафика, WAF, межсетевые экраны, такие инструменты защищают компанию от внешних атак

Не те цели

Во внутренних документах, политике обработки и согласии на обработку ПД указывают цели работы с данными. Если оператор использует данные для других целей, ему выпишут штраф:

• 10 000 ₽ — 15 000 ₽ — физическим лицам
• 50 000 ₽ — 100 000 ₽ — должностным лицам
• 150 000 ₽ — 300 000 ₽ — юридическим лицам

Поймают за такое нарушение ещё раз, сумма штрафа увеличится в несколько раз:

• 30 000 ₽ — физическим лицам
• 200 000 ₽ — должностным лицам
• 500 000 ₽ — юридическим лицам

Как не получить штраф. Прописывайте все цели, в соответствии с которыми будете обрабатывать данные. Например, если собираетесь запускать рассылки или проводить исследования целевой аудитории, обязательно укажите это в документах. Если целей много, их выносят в отдельное приложение к документу, вот так ↓

Отсутствие согласия

Оператор должен брать согласие на работу с данными. Если клиент отзовёт согласие, нужно прекратить работу с ПД и уничтожить их. Суммы штрафов за нарушение в обоих правил такие:

• 10 000 ₽ — 15 000 ₽ — физическим лицам
• 100 000 ₽ — 300 000 ₽ — должностным лицам, ИП
• 300 000 ₽ — 700 000 ₽ — юридическим лицам

При повторном нарушении штраф за использование персональных данных без согласия:

• 15 000 ₽ — 30 000 ₽ — физическим лицам
• 300 000 ₽ — 500 000 ₽ — должностным лицам
• 500 000 ₽ — 1 000 000 ₽ — ИП
• 1 000 000 ₽ — 1 500 000 ₽ — юридическим лицам

Как не получить штраф. Составить документ «Согласие на обработку персональных данных». Добавить его на сайт, прикрепить его к формам сбора контактов, давать подписывать сотрудникам и клиентам. 

Другие случаи

В остальных случаях операторы могут получить такие штрафы за нарушение персональных данных↓

1. Персональные данные — информация и клиентах или сотрудниках, которую собирают для трудоустройства, продаж, настройки рекламы. Фотографии, ФИО, адрес, контакты, группа крови, СНИЛС — всё это относится к персональным данным.
2. Все, кто работают с персональными данными, автоматически становятся операторами ПД. У операторов есть обязанности: защищать ПД, получать согласие на работу с ними и т.д.
3. За нарушение обязанностей есть штрафы. Их собрали в статье. Самые большие штрафы операторам персональных данных назначены за утечку ПД. В некоторых случаях им даже грозит уголовная ответственность — лишение свободы на 4 или 5 лет.