С 30 мая 2025 года — новые штрафы за нарушения при работе с персональными данными

С 30 мая 2025 года вступают в силу изменения в законодательстве, ужесточающие ответственность за нарушения в сфере обработки персональных данных. Повышены штрафы за:

• отсутствие уведомлений в Роскомнадзор о начале обработки персональных данных;
• утечку персональных и биометрических данных;
• несоблюдение требований по защите данных.

В некоторых случаях теперь предусмотрена уголовная ответственность.

Что относится к персональным данным?

Персональные данные — это любая информация, прямо или косвенно относящаяся к конкретному физическому лицу (субъекту данных), по которой можно его идентифицировать (ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»)

К персональным данным физического лица относятся, например:

 ФИО
Дата и место рождения
Паспортные данные
Адрес проживания или регистрации
Номера телефонов, email
СНИЛС, ИНН
Данные водительского удостоверения
Банковские реквизиты и номер карты, данные о доходах
Данные геолокации


Биометрические персональные данные — информация, которая характеризует физиологические и биологические особенности человека и используется для его идентификации (ст.11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»), например:

изображения лица
отпечатки пальцев
сканы радужной оболочки глаза
голосовые данные

Уведомлять РКН о начале обработки персональных данных нужно обязательно: штрафы стали строже

Все организации, ИП и самозанятые, которые работают с персональными данными, обязаны до начала их обработки уведомлять об этом Роскомнадзор (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Это касается сбора и обработки персональных данных от:

  сотрудников при приеме на работу
  клиентов и контрагентов
  кандидатов на работу
  участников объединений
  разовых посетителей и гостей

Новые административные штрафы за неуведомление Роскомнадзора об обработке персональных данных с 30 мая 2025 года (ФЗ №420 от 30.11.2024):

Уведомление об обработке персональных данных можно подать:

 через сайт Роскомнадзора
через портал Госуслуг
на бумаге по почте


После его получения Роскомнадзор вносит организацию в реестр операторов персональных данных (в течение 30 дней). что официально разрешит ей собирать и обрабатывать личные сведения (ч. 4 ст. 22 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»).

Об утечке персональных данных нужно сообщать в Роскомнадзор в течение суток

В случае утечки персональных данных организация обязана:

  Сообщить о произошедшем в Роскомнадзор в течение 24 часов.
  Провести внутреннее расследование и направить уведомление с результатами в Роскомнадзор в течение 72 часов (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).

Уведомление можно направить:

 через сайт Роскомнадзора
 на бумаге по почте

 Штрафы за несвоевременное уведомление:

Новые размеры штрафов за сам факт утечки персональных данных

Если данные были переданы третьим лицам незаконно, размер штрафа будет зависеть от числа пострадавших. С 30 мая введены следующие градации:

  1 000 – 10 000 человек 
  10 000 – 100 000 человек 
  Более 100 000 человек 

Таким образом сумма штрафов будет варьироваться в зависимости от количества неправомерно переданных персональных данных:



В случае повторного нарушения накажут штрафами в размере:

Биометрические данные — под особым контролем

Незаконная передача биометрических данных (изображения лица, голос, отпечатки пальцев и др.) повлечёт серьёзные штрафы:



В случае повторного нарушения накажут штрафами в размере:

Уголовная ответственность за несоблюдение правил работы с персональными данными

С 11 декабря 2024 года за неправомерный сбор, хранение или использование компьютерных данных с личной информацией граждан отвечает УК РФ (ст. 272.1):


  Общие нарушения (персональные данные взрослых):



  Особо чувствительные сведения (данные несовершеннолетних или биометрия):



  Преступления с отягчающими обстоятельствами (корысть, крупный ущерб, сговор группы лиц):

Правильная организация работы с персональными данными — залог безопасности и уверенности

Эти изменения в законодательстве направлены на повышение уровня безопасности персональных и биометрических данных, а также на формирование более ответственного подхода со стороны физических и должностных лиц, а также ИП и организаций к их сбору, хранению и обработке. Несоблюдение новых требований теперь грозит не только серьёзными штрафами, но и уголовной ответственностью — поэтому игнорировать их стало особенно рискованно.

  Чтобы избежать нарушений, минимизировать риски и организовать обработку данных в соответствии с законом, важно правильно выстроить все процессы работы с ними

Если вам нужна консультация или остались вопросы по организации работы с персональными данными — обращайтесь в «Софт-Юнити». Наши эксперты помогут разобраться в требованиях законодательства и выстроить процессы безопасно и без рисков.