С 30 мая штрафы за нарушения с персональными данными вырастут до 500 млн рублей

Начиная с 30 мая 2025 года, Роскомнадзор получит право выписывать бизнесу штрафы за ошибки в работе с персональными данными на суммы до 500 миллионов рублей. Это — новая реальность для всех компаний, в том числе и малого бизнеса. В статье рассказываем, какие ошибки обойдутся особенно дорого, и что должен сделать бухгалтер уже сейчас, чтобы избежать наказания.

Почему штрафы стали такими большими

Новые правила введены Федеральными законами № 420-ФЗ и № 421-ФЗ. Поводом стали массовые утечки данных — по оценке законодателей, более 20 000 баз персональных данных слились в Сеть. В них — информация о 80% населения России.

Жесткие штрафы призваны заставить бизнес серьёзнее относиться к защите данных. Однако сами предприниматели опасаются, что санкции непомерны — особенно для МСП. В результате законодатели предусмотрели «скидку» — если компания докажет, что соблюдала требования и вкладывалась в информационную безопасность, штраф могут уменьшить.

Что грозит за ошибки: 5 типичных нарушений

1. Не подали уведомление в Роскомнадзор
   Любая организация, работающая с персональными данными, обязана заранее уведомить об этом Роскомнадзор, даже если обрабатывает только данные сотрудников.
   Штраф с 30 мая: до 300 000 ₽ для компании и до 50 000 ₽ для должностного лица.
2. Хранили «лишние» документы
   Собирать и хранить данные «на всякий случай» запрещено. Например, если скан паспорта сотрудника больше не нужен — его нужно уничтожить.
   Штраф: до 500 000 ₽ для компании, до 200 000 ₽ — для бухгалтера.
3. Утечка данных
   Если данные утекли — особенно биометрические или сведения о здоровье — штраф может исчисляться миллионами.
   Максимум: 20 млн ₽ при первой утечке биометрии, до 500 млн ₽ — если нарушения повторяются или касаются большого количества субъектов.
4. Нет согласия на обработку данных
   Персональные данные можно использовать только на основании письменного согласия. Исключение — случаи, когда это прямо предусмотрено законом (например, передача данных в налоговую).
   Штраф: до 700 000 ₽
5. Использование данных в личных целях
   Продажа баз клиентов или их передача третьим лицам может повлечь уголовную ответственность — вплоть до 10 лет лишения свободы, если нарушение повлекло тяжкие последствия.

Что сделать до конца мая, чтобы избежать проблем

• Проверьте, подано ли уведомление в Роскомнадзор. Если нет — подайте сейчас. Уведомление можно отправить на сайте pd.rkn.gov.ru.
• Пересмотрите согласия сотрудников и клиентов. Они должны быть отдельными документами, оформленными корректно.
• Удалите ненужные персональные данные. Уничтожение фиксируйте актом, который хранится 3 года.
• Проверьте положение о персональных данных. Убедитесь, что в нем отражены цели, способы и сроки обработки, и что сотрудники не собирают данные «втихую».
• Готовьтесь к утечке. Если она произойдет, уведомить Роскомнадзор нужно в течение 24 часов, а еще через 72 часа — предоставить результаты внутреннего расследования.

Вывод

Роскомнадзор усиливает контроль, и с 30 мая 2025 года даже небольшие ошибки в работе с персональными данными могут стоить сотен тысяч рублей. А крупные нарушения — десятков миллионов и даже уголовного преследования. Лучше перестраховаться сейчас, чем потом пытаться оспаривать штраф в суде.