На этом сайте используется Яндекс Метрика для анализа данных, связанных с использованием сайта.
Подробнее смотрите в Политике конфиденциальности.
Новое в регулировании
Ужесточение законодательства о персональных данных
В 2025 году вступили в силу существенные изменения в законодательство о персональных данных, ужесточающие административную ответственность, а также расширившее обязанности операторов. Коротко расскажем о ключевых нововведениях.
I. Ужесточение административной ответственности[1]
1.1. Увеличены штрафы за нарушения в сфере обработке персональных данных
В части 1 и 2 ст. 13.11 Кодекса об административных правонарушениях РФ (далее – КоАП РФ) внесены изменения, устанавливающие новые размеры административных штрафов:
| Субъект | Размер штрафа до 30.05.2025, руб. | Размер штрафа после 30.05.2025, руб. |
| граждане | 2 000 – 6 000 | 10 000 – 15 000 |
| должностные лица | 10 000 – 20 000 | 50 000 – 100 000 |
| юридические лица | 60 000 – 100 000 | 150 000 – 300 000 |
| За повторное нарушение | ||
| граждане | 4 000 – 12 000 | 15 000 – 30 000 |
| должностные лица | 20 000 – 50 000 | 100 000 – 200 000 |
| ИП | 50 000 – 100 000 | 300 000 – 500 000 |
| юридические лица | 100 000 – 300 000 | |
1.2. Введены новые составы правонарушений
1.2.1. Ст. 13.11 КоАП РФ дополнена частями 10-18, которые предусматривают наступление административной ответственности в следующих случаях:
| Нарушение | Санкция – штраф, руб. | ||
| Ф. л. | Д. л. | ИП / юр. л. | |
| Нет уведомления Роскомнадзора о начале обработки (ч. 10) | 5 – 10 тыс. | 30 – 50 тыс. | 100 – 300 тыс. |
| Нет уведомления об утечке с ущербом субъектам (ч. 11) | 50 – 100 тыс. | 400 – 800 тыс. | 1 – 3 млн. |
| Утечка данных 1 000 – 10 000 субъектов (ч. 12) | 100 – 200 тыс. | 200 – 400 тыс. | 3 – 5 млн. |
| Утечка данных 10 000 – 100 000 субъектов (ч. 13) | 200 – 300 тыс. | 300 – 500 тыс. | 5 – 10 млн. |
| Утечка данных >100 000 субъектов (ч. 14) | 300 – 400 тыс. | 400 – 600 тыс. | 10 – 15 млн. |
| Повторная утечка ПД или идентификаторов (ч. 15) | 400 – 600 тыс. | 800 тыс. – 1,2 млн. | Оборотный штраф 1 – 3 %, но не менее 20 млн. и не более 500 млн. |
| Утечка спец. категории ПД (ч. 16) | 300 – 400 тыс. | 1 – 1,3 млн. | 10 – 15 млн. |
| Утечка биометрических данных (ч. 17) | 400 – 500 тыс. | 1,3 – 1,5 млн. | 15 – 20 млн. |
| Повторное нарушение (ч. 16, 17, 18) | 500 – 800 тыс. | 1,5 – 2 млн. | Оборотный штраф 1 – 3 %, но не менее 25 млн. и не более 500 млн. |
1.2.2. Обновлены санкции за нарушения порядка работы с биометрией
| Статья | Название статьи | Описание | Нарушения | Санкция – штраф, руб. |
| 13.11.3 КоАП РФ | Нарушение требований в области размещения и обработки биометрических персональный данных в ЕБС и иных информационных системах | Размещение и обновление биометрических ПД субъекта в ГИС ЕБС с нарушением требований | Нарушение требований к размещению БПД
(ч. 1) |
Д. л. 100 000 – 300 000
Юр. л. 500 000 – 1 000 000 |
| Нарушение порядка обработки БПД (ч. 2) | Д. л. 100 000 – 300 000
Юр. л. 500 000 – 1 000 000 |
|||
| Отсутствие мер безопасности (ч. 3) | Д. л. 300 000 – 500 000
Юр. л. 500 000 – 1 000 000 |
|||
| Работа без аккредитации (ч. 4) | Д. л. 500 000 – 1 000 000
Юр. л. 1 000 000 – 2 000 000 |
1.2.3. Нельзя отказать в обслуживании из-за непредоставления биометрии
Согласно дополнениям в ст. 14.8 КоАП РФ, отказ потребителю в заключении, исполнении, изменении или расторжении с ним договора исключительно по причине отказа потребителя предоставить биометрию влечет наложение административного штрафа:
- для должностных лиц: от 50 000 до 100 000 руб.;
- для юридических лиц: от 200 000 до 500 000 руб.
1.3. Изменен субъектный состав правонарушений
В рамках новых специальных составов, предусмотренных частями 10-18 ст. 13.11 КоАП РФ, установлены следующие особенности привлечения к ответственности:
- ответственность ИП несут наравне с юридическими лицами;
- для операторов установлена дифференциация: если оператор не является государственным или муниципальным органом либо некоммерческой организацией, то его оштрафуют как юридическое лицо. А если является, то – как должностное.
1.4. Установлена возможность снижения штрафа за повторную утечку персональных данных
Согласно новой ч. 3.4-2 ст. 4.1 КоАП РФ размер штрафа за повторную утечку персональных данных может быть снижен при одновременном соблюдении следующих условий:
- оператор в течение 3 лет ежегодно направлял на мероприятия по обеспечению информационной безопасности не менее 0,1% от годовой выручки;
- оператор может документально подтвердить обеспечение организационных и технических мер защиты в течение 1 года до выявления нарушения;
- отсутствуют отягчающие обстоятельства.
1.5. Отменена скидка в размере 50 % при быстрой оплате штрафов
Согласно ч. 1.3-3 ст. 32.2 КоАП РФ в новой редакции, скидка не применяется к штрафам по всем составам, предусмотренным ст. 13.11 КоАП РФ.
II. Уточнены правила обработки персональных данных и обязанности операторов
2.1. Введен запрет на сбор персональных данных за рубежом
С 01.07.2025 вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[2] (далее – Закон о персональных данных), устанавливающие прямой запрет на использование иностранных баз данных при сборе персональных данных. Законом также определен перечень исключений, например, когда обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ.
2.2. Новые правила оформления согласия на обработку персональных данных[3]
В соответствии с ч. 1 ст. 9 Закона о персональных данных в новой редакции с 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельно от иных документов и (или) информации, которые подписывает субъект персональных данных.
2.3. Установлены правила предоставления обезличенных персональных данных[4]
Закон о персональных данных дополнен ст. 13.1, устанавливающей обязанность операторов с 01.09.2025 передавать по требованию Минцифры России обезличенные персональные в установленную государственную информационную систему (ГИС). Обезличивание персональных данных должно проводиться в соответствии с требованиями, устанавливаемыми Правительством РФ.
4) Утверждены требования и методы обезличивания персональных данных
В соответствии с новой ч. 12 Закона о персональных данных[5] Роскомнадзор утверждает требования и методы обезличивания персональных данных. Исключение составляют случаи, когда обработка персональных данных осуществляется в статистических и исследовательских целях.
С 01.09.2025 новые требования и методы к обезличиванию являются обязательными для применения всеми операторами, осуществляющими обработку персональных данных[6].
III. Рекомендации
В связи с указанными изменениями рекомендуем компаниям, осуществляющим обработку персональных данных:
- До начала обработки персональных данных уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных:
- форма уведомления утверждена Роскомнадзором[7];
- необходимо отдельно направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.
- Соблюдать порядок сбора и обработки персональных данных.
- Назначить ответственного за организацию обработки персональных данных, а также организовать обучение сотрудников, осуществляющих обработку персональных данных.
- Обеспечить за свой счет меры по защите персональных данных от неправомерного доступа и утечки, а по достижении цели обработки – обеспечить уничтожение соответствующих персональных данных.
- Ознакомить работников под роспись с локальными нормативными актами, регламентирующими обработку персональных данных в организации.
- Получать отдельные от иных документов согласия на обработку персональных данных.
[1] Федеральный закон от 30.11.2024 № 420-ФЗ (ред. от 23.05.2025) «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
[2] ФЗ от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации».
[3] ФЗ от 24.06.2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации».
[4] ФЗ от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».
[5] Там же.
[6] Ч. 12 ст. 23 ФЗ «О персональных данных», ФЗ от 24.06.2025 № 156-ФЗ, приказ Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
[7] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
Ольга Дученко
Адвокат
Руководитель практик:
• Трудовое право
• Разрешение споров в сфере закупок по 44-ФЗ и 223-ФЗ
Ольга Дученко
Адвокат
Руководитель практик:
• Трудовое право
• Разрешение споров в сфере закупок по 44-ФЗ и 223-ФЗ