Новый закон ужесточает ответственность за нарушения в работе с персональными данными. Основное изменение — рост штрафов:
| Нарушение | До 30.05.2025 | После 30.05.2025 |
| Обработка данных без уведомления Роскомнадзора | 3 000–5 000 ₽ (для юрлиц) | 100 000–300 000 ₽ |
| Сокрытие утечки данных (сообщить об этом нужно в течение 24 часов) | 5 000–10 000 ₽ | 1–3 млн ₽ |
| Массовая утечка (от 1 000 физлиц) | — | 3–5 млн ₽ |
| Утечка биометрических данных | — | 15–20 млн ₽ |
Штрафы за повторные правонарушения могут достигать 3% от суммарной величины годовой выручки.
Кто и как должен уведомлять Роскомнадзор
Речь идет о документе, который подтверждает, что бизнес начал обработку персональных данных (например, собирает телефоны клиентов, хранит данные сотрудников). Подавать его нужно через сайт Роскомнадзора до начала работы с данными.
Уведомление подают все ИП и компании, если:
- Собирают заявки через сайт/соцсети;
- Хранят контакты клиентов (email, телефоны);
- Обрабатывают данные сотрудников (даже если в штате 1 человек).
С 2022 года отменены все исключения, поэтому уведомлять придется, даже если:
- Данные используются только для оформления договоров;
- Собираются только ФИО;
- Данные нужны для оформления разового пропуска (например, на территорию предприятия);
- Обрабатываются данные сотрудников.
Пример: Интернет-магазин, собирающий номера телефонов для доставки, обязан подать уведомление. Иначе штраф — от 100 000 ₽.
Новые правила для случаев утечки данных
Что считается утечкой:
- Несанкционированный доступ к данным (взлом базы, ошибка сотрудника);
- Потеря носителей с информацией;
- Неправомерное распространение данных.
По новым требованиям предприниматель должен сообщить о случившемся в Роскомнадзор в течение 24 часов с момента обнаружения утечки, а также правильно классифицировать утечку по масштабу:
- Малые (до 1 000 человек) — штраф 1–3 млн ₽;
- Крупные (свыше 100 000 человек) — штраф 10–15 млн ₽;
При утечке биометрических данных (отпечатки, сканы лиц) — штраф до 20 млн ₽.