Изменения в законе о персональных данных 2025

С 30 мая вступил в силу новый закон о персональных данных в 2025, который усилил требования к хранению, сбору и защите ПД. Важные изменения коснулись порядка уведомления, ответственности за утечку, размеров штрафов и роли Роскомнадзора.

Изменения в законе о персональных данных 2025

По поправке в федеральный закон № 152-ФЗ, вступившей в силу 30 мая, изменилась административная ответственность за нарушения в работе с персональными данными. Штрафы теперь классифицируются по КоАП РФ. В зависимости от характера нарушения, сумма может достигать 1,5 млн рублей. При повторных случаях санкции вырастут.

Штрафы за персональные данные 2025:

• Отсутствие согласия субъекта на обработку персональных данных. Если оператор не получил явного и документально зафиксированного согласия на сбор или использование персональной информации, он может получить штраф на сумму от 60 000 рублей до 300 000 рублей. Формулировка согласия должна быть конкретной, не может быть спрятана в пользовательском соглашении или общих условиях.

• Неправомерную передачу третьим лицам. Передача персональных данных без указания в согласии или без заключённого соглашения с получателем считается нарушением. Штраф для юридических лиц составляет до 1 млн рублей. Особенно строго проверяется пересылка персональных данных за границу и передача подрядчикам без защиты канала.

• Отсутствие уведомления Роскомнадзора о начале деятельности.При запуске сбора персональных данных оператор обязан подать соответствующее уведомление через личный кабинет или почтой. Отсутствие этой процедуры влечёт штраф от 30 000 рублей. При повторном нарушении или игнорировании предписаний сумма штрафа увеличивается от от 150 000 до 500 000 рублей.

• Нарушение сроков хранения ПДн. Если персональные данные хранятся дольше необходимого срока, это квалифицируется как нарушение. Сроки должны быть прописаны в правилах обработки и подтверждаться логикой обработки. За хранение без оснований оператор получает штраф от 50 000 рублей.

• Обработку без опубликованных правил на сайте компании. У каждого оператора должен быть доступен документ, описывающий цели, сроки, основания обработки персональных данных. Его отсутствие на сайте компании - основание для штрафа до 100 000 рублей. Форма подачи должна быть понятной, легко читаемой, без юридических оборотов.

Некоторые операторы уже получили предписания на сумму более 600 000 рублей, включая штраф за несвоевременное уведомление. В одном из случаев сумма взыскания составила 250 000 рублей за передачу данных без шифрования. В другом - 80 000 рублей за отсутствие согласия при рассылке рекламы.

Такие меры направлены на предупреждение массовых утечек, усиление прозрачности процессов, снижение злоупотреблений при сборе и обработке персональных данных. Новые требования важны прежде всего для бизнеса, обрабатывающего персональную информацию через формы, рассылки, CRM. Нарушения в этой сфере обходятся компаниям в сотни тысяч рублей, поэтому соблюдение правил позволяет избежать лишних расходов. Даже формальная неточность может повлечь штраф в несколько десятков тысяч рублей.

 Кого касаются изменения

Обновления распространяются на всех юридических и индивидуальных лиц, которые ведут обработку персональных данных 2025 года в любых цифровых системах. Под действия закона подпадают интернет-магазины, сервисные компании, агентства, школы, клиники. Неважно, сколько сотрудников в организации - даже один оператор с базой клиентов обязан соблюдать законодательство, иначе получение штрафа не избежать.

Даже временное хранение данных на облачных платформах требует письменного согласия субъекта. Рассылки, сбор телефонов для обратной связи, анкеты через мессенджеры - все эти действия подпадают под зону регулирования.

Изменения касаются всех, кто через сайт, форму или заказ собирает ФИО, телефоны, адреса, интересы или данные о покупках. Штраф предусмотрен даже при отсутствии умысла - главное, был ли факт нарушения.

Обязанности в случае утечки персональных данных

Оператор обязан в течение 24 часов проинформировать Роскомнадзор и субъекта, чьи данные оказались в открытом доступе. Молчание при инциденте приравнивается к сокрытию, что усиливает санкции.

Необходимо:

- провести внутреннюю проверку: установить причину инцидента, источник утечки, задействованные каналы;
- остановить несанкционированную обработку персональных данных: ограничить доступ, отключить автоматические процессы, приостановить действия сервисов;
- зафиксировать масштабы утечки: определить объём данных, пострадавшие категории, количество пользователей;
- сформировать отчёт о мерах устранения: описать действия по нейтрализации последствий, приложить скриншоты, хронологию, контакты ответственных;
- обновить правила защиты: внести изменения в локальные акты, назначить новых ответственных, усилить требования по хранению и шифрованию.

Любые отклонения фиксируются в проверках, даже если утечка вызвана сторонним хостингом или подрядчиком. Ответственность не перекладывается. Если уведомление не поступит в срок - накладывается отдельный штраф. Повторное нарушение или сокрытие факта может привести к блокировке ресурсов, отзыву уведомления оператора, ограничению доступа к базам данных через решения Роскомнадзора.

Как не допустить утечек

Предотвратить утечку помогает системная организация внутренних процессов в работе с персональными данными. Механизмы защиты должны быть не формальными, а действующими - с контролем, назначением ответственных, отслеживанием слабых мест. Необходим чёткий алгоритм: кто имеет доступ, как проверяются действия, куда попадают данные при передаче. Оценка уязвимостей проводится не реже одного раза в год.

Меры минимизации рисков, чтобы предотвратить утечку включают:

- чёткую регламентацию доступа к данным;
- контроль за подрядчиками и сотрудниками;
- отдельные условия хранения баз;
- резервные копии с ограниченным доступом;
- шифрование на уровне сервера;
- регулярное обновление антивирусов и CMS;
- удаление неиспользуемых данных по графику.

Эти действия позволяют избежать распространённых рисков. Ответственность за утечку персональных данных остаётся за оператором, даже если технические задачи переданы другой компании. Политика обработки должна пересматриваться не реже раза в год, с обязательным размещением на официальном сайте организации.

Как менялось регулирование персональных данных в России за последние годы

Первые существенные требования к обработке персональных данных появились в России в 2006 году. Тогда был принят базовый закон, но контроль оставался слабым. С 2017 года началось усиление полномочий Роскомнадзора, ввод обязательного уведомления, публикации политики. В 2021-м появился обязательный срок хранения, в 2023 вступили в силу нормы о блокировке по требованию субъекта данных.

Наконец, закон о персональных данных с 30 мая 2025 года усилил ответственность и уточнил формулировки. 

Уголовная ответственность за нарушения в работе с персональными данными

В отдельных случаях нарушитель несёт уголовную ответственность, а не только административную. Это касается серьёзных нарушений, например:

- массовая утечка ПДн;
- хищение данных с целью продажи;
- повторное нарушение в течение года;
- умышленное игнорирование запросов субъекта;
- отсутствие защиты при крупной базе данных.

Эти действия квалифицируются как преступления против информационной безопасности и могут привести к возбуждению дела. Наказание включает штраф до 500 000 рублей, запрет на занятие должностей, исправительные работы или арест. Для юрлиц - блокировка деятельности или лицензий. Отдельно стоит отметить, что в некоторых случаях рассматривается ущерб в миллионах рублей, особенно при массовых утечках.

Новый закон о персональных данных 2025 акцентирует внимание на тяжести последствий. Если обнаружатся нарушения - ответственность наступает независимо от масштаба бизнеса. Размер штрафа может достигать сотен тысяч рублей, а в некоторых случаях - превышать полмиллиона рублей при грубых нарушениях.