тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Новые штрафы 2025: ключевые ошибки при работе с персональными данными и как их избежать

By 27.05.2025 Информационная безопасность 0 Comments

Новые штрафы 2025: ключевые ошибки при работе с персональными данными и как их избежать

30 мая 2025 года вступают в силу поправки в законодательство, которые существенно увеличивают штрафы за нарушения при обработке персональных данных (ПДн). Теперь цена ошибки – сотни тысяч и даже миллионы рублей. 

Например, за неуведомление Роскомнадзора о начале обработки ПДн, штраф вырастет до 300 000 руб. 

К тому же, есть несколько дополнительных “стимуляторов”:

  1. С 2025 года регулятор Роскомнадзор внедрил автоматизированные системы, которые сканируют сайты компаний и ищут нарушения – проверяют наличие cookie, корректность согласий, обязательные политики, локализацию данных и т.д.
  2. Мораторий на проверки уже не спасает – “письмо счастья” от регулятора может прилететь в любой момент. На практике мы уже видели уведомления от РКН десяткам компаний.

Разберем, какие типичные ошибки в сфере ПДн чаще всего совершают компании – и что сделать прямо сейчас, чтобы не попасть на новые штрафы.

Ключевые ошибки при обработке персональных данных

Вот пять распространенных ошибок, из-за которых организации уже сейчас получают штрафы и предписания. На них смотрят в первую очередь, и это – то, чем следует заняться в ближайшие три дня.

  • Неуведомление РКН о начале обработки ПДн
    Многие про это забывают или откладывают на потом – и напрасно. Сейчас за неподачу уведомления штраф был символическим (до 5 тыс. руб. для юрлиц), но с 30 мая размер штрафа для организаций повысили до 100–300 тыс. руб. За ложные сведения в уведомлении также будут наказывать. Подробно об изменениях к требованиям по уведомлению рассказывали здесь.
  • Отсутствие согласия субъекта
    Другая частая ошибка – сбор и использование данных без должного согласия человека. Например, компания начала рассылку маркетинговых SMS клиентам без отдельного согласия, или собирает на сайте данные, подразумевая согласие «по умолчанию». Если согласие требуется по закону, оно должно быть получено в письменной форме (в том числе электронной) и храниться у оператора. Согласие должно быть добровольным, конкретным, информированным и зафиксированным так, чтобы потом можно было доказать, что человек его дал.
  • Сбор избыточных данных
    Вы заселяетесь в отель, а в анкете спрашивают всё подряд – дату рождения, ИНН, девичью фамилию бабушки – даже если для цели обработки эти сведения не нужны. Закон требует, чтобы состав и объем собираемых персональных данных соответствовал заявленным целям их обработки. Все цели должны быть обоснованы нормативно-правовыми актами.
  • Нет Политики обработки ПДн или она “для галочки”
    Политика по обработке ПДн – это отдельный документ, содержание которого строго регламентировано законом. В ней должны быть прописаны ваши обязательства как оператора: цели и способы обработки, перечни данных и субъектов, меры защиты, порядок уничтожения данных и прочее. Этот документ должен быть опубликован в общедоступном месте. Всё о Политике и обработке ПДн на сайтах рассказывали здесь.
  • Трансграничная передача ПДн
    Tilda, Google-формы, аналитика – всё сюда. Необеспечение локализации баз данных россиян в РФ обойдется компании в штраф до 6 млн руб. На практике, трансграничная передача возможна в исключительных случаях – лучше не рисковать.

Список можно продолжать долго: кто-то вовремя не обновил антивирусные базы, кто-то поручил обработку данных подрядчику без поручения на обработку, кто-то не обучил сотрудников азам ИБ. Это – лишь самые “популярные” промахи.

И, разумеется, если в компании нет элементарных технических мер защиты (антивирус, средства защиты от несанкционированного доступа, контроль администраторов), то вопрос утечки – лишь вопрос времени.

Оборотные штрафы за утечку ПДн

Размер наказания за утечку теперь напрямую привязан к масштабу инцидента. Например, утечка данных 1 000 – 10 000 человек будет стоить компании от 3 до 5 млн руб. штрафа. Если пострадали данные до 100 000 человек – от 5 до 10 млн руб., а свыше 100 000 – уже 10–15 млн руб.

И это лишь за первый случай утечки. Если компания попадется повторно, её ждут оборотные штрафы: от 0,1% до 3% годового оборота, но не менее 15 млн и не более 500 млн руб. для организации. 

Более того, ужесточена персональная ответственность руководителей: если раньше максимумом для должностного лица был выговор или увольнение, то теперь грозят личные штрафы и даже уголовная ответственность вплоть до 10 лет лишения свободы (за кражу или незаконное распространение ПДн).Полный перечень нововведений в КоАП и УК мы разобрали в отдельной статье. Далее – пошаговая инструкция, с чего начать уже сегодня, чтобы спокойно спать.

Пошаговая инструкция: что делать здесь и сейчас

Шаг 1. Аудит
Перечисляем, какие ПДн собираем (на сайте, через анкеты, в отделе кадров и т.д.) и с какой целью. Проверяем: все ли эти данные действительно нужны? Если находим лишнее – прекращаем сбор или обосновываем законную цель. Проверяем уведомление в Роскомнадзор: перечислены ли там все актуальные категории данных и цели? Если что-то забыли указать, лучше подать обновленное уведомление (и вообще подать уведомление 🙂 )

Шаг 2. Наводим порядок в документах
Актуализируем Политику обработки персональных данных. Если её нет – срочно разрабатываем и размещаем на сайте или в ином общедоступном месте. Проверяем формы согласия. Не допускаем размытых формулировок. Согласие должно быть явным и документально подтвержденным. 

Шаг 3. Реализуем меры защиты информации
Требования 152-ФЗ включают технические и организационные меры, и за их отсутствие тоже штрафуют. Поэтому “минимальная техническая защита” – обязательна. Устанавливаем антивирус на все рабочие станции и серверы. Шифруем базы данных и архивные копии, особенно если храним их вне защищенного контура. Настраиваем резервное копирование критичных данных. Отдельно проверяем требование к локализации данных: все базы с персональными данными россиян должны физически храниться на территории РФ.

Шаг 4. Обучаем персонал кибергигиене
80% инцидентов – это результат ошибок людей. На будущее, но начать стоит сейчас. Как ни защищай системы, человеческий фактор всё испортит, если люди не обучены. Проводим для сотрудников хотя бы небольшой ликбез, проводим тренинг или вебинар (у нас, кстати, завтра подходящий — как для новичков, так для опытных профессионалов ИБ 😉). 

Вебинар 28 мая!

Бесплатный вебинар “Ответственность за персданные с 30 мая — что ждёт операторов ПДн?” состоится уже завтра. Вероника Нечаева, наш директор по информационной безопасности, расскажет про все новые требования простым языком, разберёт реальные примеры из практики и разберет ваши вопросы. 

Обсудим и тонкости законов, и животрепещущие темы: от Tilda и согласий до того, как проходит проверка Роскомнадзора и что делать, если утечка всё-таки случилась. Формат – «без галстуков», то есть будет возможность задать вопросы в чате, поспорить и сразу получить ответы от Вероники и коллег.

Регистрация на вебинар ещё открыта – успейте записаться, чтобы подключиться и получить запись. 

До встречи на вебинаре!