Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

За последние несколько лет законодательство в сфере порядка обработки персональных данных менялось очень часто.

  • В 2021 году были увеличены штрафы за незаконную обработку ПДн.
  • В конце 2023 года были увеличены штрафы за обработку ПДн без письменного согласия.
  • Появление 572 ФЗ усилило ответственность в области обработки биометрических ПДн. Но этого оказалось недостаточно, учитывая действующую геополитическую обстановку и последние актуальные утечки, так что 4 декабря 2023 года в ГД РФ были предложены два законопроекта: №502104-8 «О внесении изменений в КОАП РФ» и № 502113-8 «О внесении изменений в УК РФ».
  • Спустя год, после трех чтений законопроектов, Президентом РФ были подписаны два федеральных закона: ФЗ от 30.11.2024 г. № 420-ФЗ «О внесении изменений в КОАП РФ» и ФЗ от 30.11.2024 г. №421-ФЗ «О внесении изменений в УК РФ».

ВНИМАНИЕ!

Вступление в действие административной ответственности наступает по истечении 180 дней со дня официальной публикации закона, то есть, 30 мая 2025 года. Уголовная ответственность действует с 11 декабря 2025 года.

Изменение административной ответственности за ПДн с 30 мая 2025 года

Штрафы за непредоставление сведений в Роскомнадзор с 30 мая 2025 года

Штрафы за утечку ПДн с 30 мая 2025 года

Смягчающие обстоятельства

Что выгоднее?

Трансформация подхода к управлению безопасностью ПДн

Оценка рисков утечки ПДн

Этапы построения системы защиты ПДн с нуля

Этапы обеспечения соответствия уже внедренной системы защиты ПДн требованиям законодательства

Изменение административной ответственности за ПДн с 30 мая 2025 года

Главные изменения административной ответственности произошли в статье 13.11 КоАП РФ, которая значительно расширилась. Вместо имевшихся 9 частей стати, их стало 18. Выделено два основных вида нарушений:

  • Непредоставление сведений в Роскомнадзор.
  • Утечка ПДн.

Штрафы за непредоставление сведений в Роскомнадзор с 30 мая 2025 года

Вместо статьи 19.7 КоАП РФ о непредоставлении сведений в Роскомнадзор (РКН) появляются часть 10 и часть 11 в статьи 13.11 КоАП РФ. Увеличение штрафов ожидается в 30 и более раз для бизнеса.


Штрафы за утечку ПДн с 30 мая 2025 года

Основой для штрафов за утечку ПДн является часть 12 статьи 13.11 КоАП РФ.


Пример.

Если ведется обработка 1 000 субъектов с 10 параметрами, то уникальное количество идентификаторов составит 10 000, что попадет под данную часть.


Части 13 и 14 отличаются объемом субъектов персональных данных и количеством уникальных идентификаторов. Штрафы будут начинаться с 300 тыс. и доходить до 15 млн рублей.


В части 15 рассматриваются повторные утечки ПДн в соответствии с частями 12-14. Здесь появляются оборотные штрафы от 1 до 3% от выручки за предшествующий календарный год.

Часть 16 обращает внимание на специальные категории ПДн. К специальной категории относятся сведения о расовой и национальной принадлежности, политических, религиозных или философских взглядах и убеждениях, состоянии здоровья. Утечка подобных сведений способна нанести максимальный ущерб компании в размере до 15 млн рублей.


За утечку биометрических данных максимальный штраф составит 20 млн рублей. К биометрическим ПДн на основании 152-ФЗ относятся сведения, характеризующие физиологические и биологические особенности человека, по которым можно установить его личность, и которые используются оператором для установления личности.

Заключительная часть 18, регламентирующая ответственность за повторную утечку информации, содержащей специальные категории ПДн и/или биометрические данные. В этом случае опять появляются оборотные штрафы от 25 до 500 млн руб.


Смягчающие обстоятельства

В соответствии с поправками к КоАП в случае применения смягчающих обстоятельств штраф назначается в размере 0,1% от размера штрафа, предусмотренного за действие или бездействие компании, повлекшие повторную утечку ПДн.

Чтобы смягчающие обстоятельства были назначены, необходимо выполнить одновременно несколько условий:

  1. Ежегодные расходы за 3 года до выявления утечки, направленные на мероприятия по информационной безопасности, проведенные либо лицензиатами ФСТЭК, либо самостоятельно операторами, если у них есть лицензия на ТЗКИ, должны составлять не менее 0,1% от совокупного размера выручки. Например, если выручка компании за 3 года, предшествующих утечке, составила 7 млрд рублей, то затраты на информационную безопасность должны составлять не менее 7 млн рублей.
  2. Компания должна предоставить документальные подтверждения о соблюдении требований по защите ПДн, оформленные в течение 1 года до выявления правонарушения.
  3. Отсутствие отягчающих административных обстоятельств — отсутствие нарушений в сфере ИБ или ПДн.

Смягчающие обстоятельства действуют на повторные утечки. Но есть основания предполагать, что при назначении штрафов по другим нарушениям, связанным с ПДн, данные смягчающие обстоятельства также будут учитываться.

Что выгоднее?

Утечка ПДн и ответственность за этот инцидент может коснуться любого бизнеса. Перед каждой компанией стоит выбор — либо вкладывать деньги в информационную безопасность и систему защиты данных, либо платить штрафы.

До 30 мая 2025 года предпочтение чаще отдавалось штрафам, но с момента их значительного увеличения чаша весов неизбежно качнется в другом направлении. Бездействовать невыгодно, и операторам персональных данных придется трансформировать подход к управлению безопасностью ПДн.

Трансформация подхода к управлению безопасностью ПДн

Для трансформации подхода к управлению безопасностью ПДн нужно сделать следующие шаги:

  1. Критический взгляд на бизнес-процессы, в которых происходит обработка ПДн и, по возможности, минимизация их количества:
    • Отказ от обработки ПДн, несовместимой с целью получения ПДн.
    • Уменьшение количества собираемых ПДн, которые не соответствуют цели — избыточный сбор.
  2. Повышение культуры ИБ среди работников. Знание и соблюдение правил обработки ПДн должно стать приоритетом для всех специалистов компании. Для этого необходимо проводить регулярное обучение, тестирование и проверку действий сотрудников. Например, как они будут вести себя в случае получения фишинговых писем.
  3. Правильный подход к технической защите данных. Система защиты ПДн с 2025 года должна не только соответствовать минимальным требованиям регуляторов, но и быть способной отразить реальные атаки. Для этого в основе выбора систем защиты должна находиться количественная оценка рисков утечки ПДн.
  4. Тестирование на проникновение. Помогает убедиться в надежности выстроенной системы защиты.
  5. Регулярное выполнение операционных требований по защите ПДн с последующей фиксацией свидетельств позволит повысить защищенность ПДн.
  6. Аудит ИБ. Ежегодное подтверждение выполнения требований законодательства лицензиатом ФСТЭК позволит выявить нарушение требований и усилить систему защиты, а положительные результаты такого аудита будут являться одним из смягчающих обстоятельством при утечке ПДн.

Оценка рисков утечки ПДн

В процессе построения системы защиты информации важно понимать, какие последствия могут настигнуть компанию в случае утечки ПДн, и сколько денег она может потерять. В этом поможет количественная оценка рисков.


В каждом случае последствия могут быть индивидуальными, но для операторов они не ограничиваются только выплатой штрафов. Кроме прямых потерь, компания также несет и косвенные: потеря клиентов, снижение притока клиентов, затраты на расследование инцидентов, выплата компенсаций субъектам ПДн в судебном порядке (материальный и моральный ущерб), маркетинговые затраты на восстановление репутации и т.д.

Чтобы правильно оценить потери, необходимо проанализировать различные бизнес-метрики, описывающие деятельность компании. Такими метриками могут быть: количество клиентов или

сделок, средняя прибыль от сделки, средняя прибыль в сутки, средняя стоимость аренды помещений и др.

Полученные итоговые оценки помогут принять верные и грамотные решения, и обосновать бюджет на систему защиты — руководителю компании важно понимать, сколько средств позволят сэкономить действия по защите ПДн и мероприятия, которые проводятся с этой целью.

Этапы построения системы защиты ПДн с нуля

Комплекс работ по защите ПДн в случае, если система защиты ПДн еще не внедрена, должен состоять из следующих этапов (для обеспечения соответствия требованиям 152-ФЗ):

  1. Обследование процессов обработки ПДн.
  2. Разработка необходимой документации.
  3. Внедрение системы защиты ПДн.
  4. Оценка соответствия.
  5. Регулярное выполнение правил защиты ПДн, поддержание системы защиты данных в актуальном состоянии в соответствии с требованиями законодательства.


Обследование процессов обработки ПДн. Необходимо определить, какие именно ПДн обрабатываются в компании, где они хранятся, и кто к ним имеет доступ.

Разработка необходимой документации. Производится моделирование угроз, чтобы выяснить, от кого и от чего нужно защищать ПДн.

Затем следует разработка технического задания с перечнем необходимых мер и требований.

На основании технического задания проводится проектирование системы защиты, которая учитывает и те необходимые угрозы, от которых необходимо защищаться, и требования законодательства — меры, которые необходимо выполнить при построении системы защиты информации.

После того, как проведено моделирование угроз, определены меры в ТЗ и средства защиты, необходимо отразить весь комплекс действий в организационно-распорядительной документации (ОРД): как должны вести себя пользователи, инструкции для них; положения, политики и регламенты, инструкции, устанавливающие правила и процедуры обработки ПДн.

Внедрение средств защиты ПДн. Закупка, установка и настройка средств защиты и технических решений, прописанных в техническом задании.

Оценка соответствия. Производится после внедрения системы защиты ПДн. На данный момент возможны два варианта подтверждения соответствия:

  • Аттестация.
  • Приемочные испытания.

Что дальше? Для получения смягчающих обстоятельств нужно на планомерной и регулярной основе обеспечивать выполнение требований законодательства. Это можно делать своими силами, беря на себя все связанные риски и содержа в штате компетентных специалистов, а можно обратиться в компанию, специализирующуюся на подобных услугах. Во втором случае аутсорсер гарантирует выполнение всех требований и возьмет на себя ответственность в случае возникновения непредвиденных ситуаций.

Этапы обеспечения соответствия уже внедренной системы защиты ПДн требованиям законодательства

Если компания и раньше выполняла требования по защите ПДн, то с вступлением в силу новых требований рекомендуется актуализировать процессы обработки ПДн, которые есть в организации, пересмотреть документацию, провести оценку рисков и внедрить недостающие средства защиты. Если после проведения этих мероприятий выявлены актуальные угрозы или не хватает каких-то средств защиты (в том числе вследствие изменения законодательства), следует устранить эти недочеты. В конце необходимо получить заключение о принятых мерах и обеспечить дальнейшую поддержку актуальности системы защиты ПДн.


Прослушать и посмотреть вебинар по защите данных: 

Дополнительную информацию по защите персональных данных вы можете получить в статье «Защита персональных данных: требования законодательства и способы защиты от утечек»

Заключение

С 30 мая 2025 года штрафы за нарушения в сфере обработки и хранения персональных данных существенно возрастут. По новым реалиям компаниям стало выгодно делать выбор в пользу инвестиций в современные технологии защиты персональных данных и обучения сотрудников. Это поможет избежать значительных рисков и сохранить доверие клиентов и партнеров.

Теги:

Новости, истории и события
Смотреть все
Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса
Новости

Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса

27.06.2025

 ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс
Новости

ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс

27.06.2025

Российский производитель лазерных решений VPG LaserONE (ГК Softline) принял участие в Центрально-азиатском конгрессе по эндоурологии (CEAC 2025)
Новости

Российский производитель лазерных решений VPG LaserONE (ГК Softline) принял участие в Центрально-азиатском конгрессе по эндоурологии (CEAC 2025)

26.06.2025

Bell Integrator (кластер FabricaONE.AI ГК Softline) принял участие в дискуссии на тему искусственного интеллекта в рамках ПМЭФ-2025
Новости

Bell Integrator (кластер FabricaONE.AI ГК Softline) принял участие в дискуссии на тему искусственного интеллекта в рамках ПМЭФ-2025

26.06.2025

Позиция ГК Softline по приобретению завода по производству электроинструментов в г. Энгельс
Новости

Позиция ГК Softline по приобретению завода по производству электроинструментов в г. Энгельс

25.06.2025

ГК Softline и «Телеком биржа» объявляют о партнерстве в сфере облачных решений
Новости

ГК Softline и «Телеком биржа» объявляют о партнерстве в сфере облачных решений

25.06.2025

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» 9 и справочной правовой системы «КонсультантПлюс»
Новости

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» 9 и справочной правовой системы «КонсультантПлюс»

25.06.2025

Генеральный директор ГК Softline Владимир Лавров выступил на ежегодном ИТ-завтраке РУССОФТ на ПМЭФ-2025
Новости

Генеральный директор ГК Softline Владимир Лавров выступил на ежегодном ИТ-завтраке РУССОФТ на ПМЭФ-2025

24.06.2025

Стационарный комплекс РДИ от «Инферит Техника» (ГК Softline) вошел в реестр Минпромторга
Новости

Стационарный комплекс РДИ от «Инферит Техника» (ГК Softline) вошел в реестр Минпромторга

24.06.2025

Платформа для корпоративного обучения «Стадия» от Академии АйТи (кластер FabricaONE.AI ГК Softline) получила главную награду премии HR Tech Awards 2025
Новости

Платформа для корпоративного обучения «Стадия» от Академии АйТи (кластер FabricaONE.AI ГК Softline) получила главную награду премии HR Tech Awards 2025

24.06.2025

ГК Softline примет участие во встрече HR-клуба РУССОФТ
Новости

ГК Softline примет участие во встрече HR-клуба РУССОФТ

23.06.2025

Сомерс (ГК Softline) внедряет Bluetooth-платежи «Волна» от НСПК
Новости

Сомерс (ГК Softline) внедряет Bluetooth-платежи «Волна» от НСПК

23.06.2025

Группа «Борлас» (ГК Softline) подтверждает лидирующие позиции в консалтинге
Новости

Группа «Борлас» (ГК Softline) подтверждает лидирующие позиции в консалтинге

20.06.2025

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
Новости

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК

20.06.2025

Павел Витков возглавил отдел продаж софтверных продуктов «Инферит» (ГК Softline)
Новости

Павел Витков возглавил отдел продаж софтверных продуктов «Инферит» (ГК Softline)

19.06.2025

ГК Softline стала главным технологическим партнером чемпионата профессионального мастерства Госкорпорации «Росатом» AtomSkills-2025
Новости

ГК Softline стала главным технологическим партнером чемпионата профессионального мастерства Госкорпорации «Росатом» AtomSkills-2025

18.06.2025

Сомерс (ГК Softline) реализует платёжный проект для национального регулятора Армении
Новости

Сомерс (ГК Softline) реализует платёжный проект для национального регулятора Армении

18.06.2025

ПАО «Софтлайн» информирует участников обмена ГДР Noventiq о приближающейся дате фиксации реестра акционеров по третьему этапу обмена 23 июня 2025 года
Новости

ПАО «Софтлайн» информирует участников обмена ГДР Noventiq о приближающейся дате фиксации реестра акционеров по третьему этапу обмена 23 июня 2025 года

18.06.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться