ГрамотаИБ ГрамотаИБ

Штрафы за персональные данные в 2025 году: новые суммы и за что

22.06.2026

Что изменилось в ответственности за персональные данные с 30 мая 2025 года (Федеральный закон №420-ФЗ): новые размеры штрафов по статье 13.11 КоАП, отдельная ответственность за утечки по числу субъектов, оборотные штрафы за повтор, штраф за неуведомление Роскомнадзора, уголовная ответственность за незаконный оборот ПДн и что снижает риск.

С 30 мая 2025 года вступил в силу Федеральный закон №420-ФЗ, резко ужесточивший ответственность за нарушения с персональными данными. Появились отдельные составы за утечки, оборотные штрафы за повторные нарушения и уголовная ответственность. Ниже — актуальные размеры и что реально снижает риск.

Неуведомление Роскомнадзора об обработке

За неисполнение обязанности подать уведомление об обработке ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). для юридических лиц предусмотрен штраф до 300 000 рублей. Само уведомление при этом бесплатно — экономически нарушать бессмысленно.

Утечка персональных данных

Введена отдельная ответственность за неправомерную передачу (распространение, доступ) ПДн, повлёкшую утечку. Размер зависит от числа затронутых субъектов (для юридических лиц):

  • от 1 000 до 10 000 субъектов — 3–5 млн рублей;
  • от 10 000 до 100 000 субъектов — 5–10 млн рублей;
  • более 100 000 субъектов — 10–15 млн рублей;
  • утечка специальных категорий или биометрических ПДн — до 15–20 млн рублей.

Оборотные штрафы за повтор

За повторную утечку штраф становится оборотным — от 1 до 3 процентов годовой выручки, с нижней границей около 20–25 млн и верхней до 500 млн рублей. Для среднего и крупного бизнеса это уже экзистенциальные суммы.

Неуведомление об инциденте

Об утечке нужно уведомить Роскомнадзор в сжатые сроки (предварительно в течение 24 часов, о результатах расследования — 72 часов, статья 21 152-ФЗ). За несвоевременное или непереданное уведомление об инциденте для юридических лиц штраф 1–3 млн рублей — то есть молчание про утечку наказывается отдельно. Пошаговый порядок — в статье «Утечка ПДн: алгоритм действий».

Скидку 50% отменили

Для нарушений по статье 13.11 КоАП больше не действует скидка 50% за быструю оплату штрафа. Платить придётся полную сумму.

Уголовная ответственность

Тем же пакетом введена уголовная статья (272.1 УК РФ) за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученные неправомерным путём, — вплоть до лишения свободы. Это удар прежде всего по рынку торговли «сливами» баз.

Что снижает риск

  • подать уведомление в Роскомнадзор и поддерживать сведения актуальными;
  • иметь законные основания и согласия на обработку, политику и локальные акты;
  • принять реальные меры защиты (разграничение доступа, шифрование, журналирование) — а не «бумажные»;
  • оформить поручения со всеми обработчиками (подрядчиками);
  • заранее отработать реагирование на инцидент (сроки 24/72 часа), чтобы не получить отдельный штраф за молчание.

Главное

Стоимость соответствия теперь несопоставимо ниже стоимости нарушения: один штраф за утечку перекрывает годы расходов на защиту. ГрамотаИБ помогает закрыть требования под профиль оператора и проверить готовность к проверке — попробовать можно в сервисе. Конкретные суммы и редакции уточняйте по действующей статье 13.11 КоАП.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.

Персональные данные в стоматологии: пошаговый алгоритм для частной клиники

Полный алгоритм действий частной стоматологической клиники по защите персональных данных пациентов: от признания себя оператором (152-ФЗ) и определения уровня защищённости по ПП-1119 (спецкатегория «здоровье» даёт УЗ-3) до уведомления Роскомнадзора, комплекта документов, мер по приказу ФСТЭК №21, поручений обработчикам и врачебной тайны. Характерный пример для малого бизнеса в медицине.