Новые штрафы и усиленная ответственность за нарушения законодательства в области персональных данных

С 30 мая 2025 года вступают в силу ключевые изменения в области обработки и защиты персональных данных, введенные Федеральным законом № 420-ФЗ[1]. Закон усиливает контроль за обработкой персональных данных и вводит новые виды правонарушений и рекордные штрафы — до 500 миллионов рублей или 3% от выручки компании. Напомним, что с 11 декабря 2024 года была введена уголовная ответственность[2] (статья 272.1 УК РФ). Меры уголовной ответственности касаются несанкционированного доступа, уничтожения, блокирования или модификации данных как компьютерной информации. Такими примерами могут служить: взлом базы данных, удаление файлов с персональными данными, блокировка доступа к ним.

Основные же изменения в административной ответственности (статья 13.11 КоАП РФ) касаются соблюдения требований к обработке персональных данных:

• Увеличение штрафов для юридических лиц — до 3% от годовой выручки (или до 500 млн руб.) за повторные и грубые нарушения в области обработки персональных данных. Сейчас статья предусматривает максимальный штраф в размере 18 млн рублей.
• Введение трёхуровневой шкалы ответственности в зависимости от объема неправомерно переданных данных.
• Устанавливается отдельная ответственность за утечку биометрических и специальных категорий персональных данных (штраф – до 20 млн рублей).
• Вводится специальная ответственность за неуведомление Роскомнадзора (о намерении обрабатывать персональные данные и об утечке). Сейчас подобные нарушения относят к общей статье 19.7 КоАП РФ (непредставление сведений по запросу госоргана), где размер штрафа минимальный — до 5 000 рублей для должностных лиц.

Также дела о привлечении к ответственности по статье 13.11 КоАП РФ в отношении компаний, их должностных лиц и индивидуальных предпринимателей будут рассматриваться арбитражными судами (сейчас административные правонарушения в области персональных данных рассматриваются мировыми судьями).

Новые штрафы теперь однозначно можно сопоставить с европейскими санкциями в области персональных данных (GDPR). Представляется, что введение новых штрафов   ̶ это не слепое ужесточение, а продуманная система, чтобы заставить операторов персональных данных больше уделять внимание вопросам защиты персональных данных.

Под ударом — ИТ-операторы, банки, телеком, маркетплейсы и любые компании, работающие с персональными данным.

Мы рекомендуем до вступления в силу изменений провести внутренний аудит обработки персональных данных (включая биометрию), подготовить уведомления Роскомнадзору, обеспечить техническую и организационную защиту.

Команда Forte Tax & Law будет рада помочь оценить риски, провести аудит и подготовить компанию к новым требованиям. У вас возникли вопросы или хотите что-либо обсудить? Обязательно напишите Юлии Талагаевой или Екатерине Беляевой.

 

[1] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

[2] Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации».