Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление Роскомнадзора

С 30 мая в несколько раз увеличатся действующие штрафы за нарушение правил работы с персональными данными граждан. Также будут введены в действие высокие административные штрафы за утечку персональных данных. Рассказываем, какие штрафы назначат за непредставление уведомлений в Роскомнадзор и на сколько оштрафуют за утечку в интернет биометрических данных.

Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):

• сотрудников и кандидатов на работу;
• контрагентов;
• членов общественных объединений и религиозных организаций;
• посетителей для однократного пропуска на территорию компании;
• ФИО любого лица, полученное организацией.

Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.

С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):

• от 5 000 до 10 000 рублей – для физлиц
• от 30 000 до 50 000 рублей – для должностных лиц организаций
• от 100 000 до 300 000 рублей – для ИП
• от 100 000 до 300 000 рублей – для организаций

Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Штраф за нарушение обязанности уведомить о намерении обрабатывать персональные данные — 100 000–300 000 руб. (здесь и далее приведены размеры штрафов для коммерческих организаций и ИП).

За нарушение обязанности уведомить об утечке персональных данных — 1–3 млн руб.

За утечку персональных данных о не менее чем 1 000 физлиц или не менее 10 000 идентификаторов — 3–5 млн руб.

За утечку данных о не менее чем 10 000 физлиц или не менее 100 000 идентификаторов — 5–10 млн руб.

За утечку данных о более чем 100 000 физлицах или более 1 млн идентификаторов — 10–15 млн руб.

За утечку данных спецкатегории — 10–15 млн руб.

За утечку биометрических данных — 15–20 млн руб.

За повторную утечку персональных данных любой категории — 1–3% годовой выручки (для банков берется процент от размера собственных средств на дату нарушения). В зависимости от конкретного нарушения (как текущего, так и прошлого) расчетный размер штрафа по общему правилу не может быть меньше 20 млн или 25 млн руб. и не должен превышать 500 млн руб. При наличии ряда условий применяется менее суровая санкция.