Штраф за утечку персональных данных — до 500 млн рублей: как не попасть под каток закона

Большинство предпринимателей даже не подозревают, что их сайты, документы и процессы работы с клиентами нарушают закон «О персональных данных». Они думают: «У нас маленькая компания, кому мы нужны?» Но практика показывает: проверки Роскомнадзора могут коснуться любого бизнеса: от небольшого интернет-магазина до крупной корпорации.

В этой статье мы рассказали, какие изменения ждут бизнес в 2025 году, какие типичные ошибки совершают компании при работе с персональными данными и как защитить себя от огромных штрафов и судебных исков.

Новые штрафы с 30 мая 2025 года

С 30 мая 2025 года ужесточается ответственность за ПД в России. Если раньше максимальный штраф за утечку персональных данных составлял 300 000 руб., то теперь он может достигать 500 млн руб.

Штрафы будут рассчитываться в зависимости от масштаба утечки и типа данных — обычные, специальные или биометрические. При повторных нарушениях компаниям грозят оборотные штрафы за утечку данных в 2025 году — от 1% до 3% годовой выручки.

Вводится также новый состав правонарушения — отсутствие уведомления Роскомнадзора об утечке данных. Еще одно важное изменение: размер штрафа устанавливают арбитражные суды, а не мировые.

Кроме штрафов, компании могут получить иски от граждан, чьи данные утекли. Суды часто встают на сторону пострадавших. Так, в 2023 году москвич получил компенсацию морального вреда 5000 руб. от «Яндекс.Еда» после того, как его личные данные попали в Интернет. Суды изначально наложили на компанию штраф за утечку персональных данных, а затем удовлетворили иск гражданина. А теперь представьте, если такая проблема затронет не одного человека, а сотни или тысячи. При массовой утечке бизнес потратит огромные деньги на компенсации всем пострадавшим. Такие выплаты могут превысить суммы штрафов и подорвать репутацию бренда.

Распространенные нарушения: выявляем риски и внедряем решения

Многие компании даже не подозревают, что нарушают закон о ПД, подвергая себя риску огромных штрафов. Рассмотрим наиболее распространенные ошибки, которые могут стоить бизнесу миллионы.

Не уведомлен Роскомнадзор

Компания должна быть зарегистрирована в Роскомнадзоре как оператор персональных данных. Для регистрации нужно направить уведомление. Исключения возможны в случаях, если компания:

• обрабатывает данные только своих сотрудников в рамках трудовых отношений;
• собирает данные клиентов исключительно для исполнения договора без передачи третьим лицам;
• обрабатывает данные на бумажных носителях без использования средств автоматизации.

Будьте осторожны: от лица Роскомнадзора могут действовать мошенники. Они часто используют тему ужесточения законодательства и угрозу крупных штрафов, чтобы вынудить компании совершить необдуманные действия. Злоумышленники направляют письма от лица разных госорганов. О подобных схемах и способах защиты читайте в статье «Письма мошенников от лица межведомственных комиссий: как распознать и что делать».

Не разработана политика конфиденциальности

По закону о персональных данных каждый оператор персональных данных обязан разместить актуальную политику конфиденциальности в подвале сайта. Этот документ должен соответствовать всем требованиям законодательства и содержать информацию о целях, способах, сроках обработки данных и многом другом.

Нет согласия на обработку данных под формами сбора

Без правового основания (чаще всего это согласие) сбор персональных данных через любые формы на сайте незаконен. Ошибкой считается не только полное отсутствие разрешения от пользователя, но и:

• наличие согласия, не соответствующего требованиям закона;
• размещение ссылки на политику конфиденциальности вместо согласия.

Пример из судебной практики: предпринимателя из Оренбургской области оштрафовали на 50 000 руб. за повторное нарушение требований к оформлению согласий на обработку персональных данных. При заключении договоров предприниматель получал от клиентов расписки, однако эти документы не содержали обязательных по закону сведений: ФИО и адрес субъекта, данные его документа, информацию об операторе, перечень обрабатываемых данных и действий с ними, срок действия и способ отзыва. Суд подтвердил, что такие «формальные» согласия, не соответствующие требованиям статьи 9 закона «О персональных данных», являются серьезным нарушением прав граждан.

Стоит отметить, что телефон и email сами по себе не яляются персональными данными. Так, Арбитражный суд Москвы в деле страховой компании «Арсеналъ» постановил, что эти сведения без дополнительных идентификаторов не требуют получения согласия на обработку. Если на вашем сайте есть форма обратной связи только с полями для телефона или email — согласие может не потребоваться. Но как только добавляются поля для ФИО или других идентифицирующих данных, наличие согласия становится обязательным.

Не размещены cookie-баннеры на сайте

Файлы cookie официально признаны персональными данными, поэтому сайты обязаны информировать посетителей об их сборе и получать согласие. Показательный случай произошел с социальной сетью LinkedIn, когда суд признал деятельность ее интернет-ресурсов нарушающей права российских граждан на неприкосновенность частной жизни. В материалах дела отмечалось, что LinkedIn собирает персональные данные, включая файлы cookie, без надлежащего согласия и не обеспечивает их хранение на серверах в России. Российский суд обязал Роскомнадзор внести сайт в реестр нарушителей и ограничить к нему доступ. Штраф за утечку персональных данных составил 4 млн руб.

Отзывы опубликованы без согласия

Размещение отзывов клиентов с указанием их имен, фотографий и других данных без специального согласия на распространение персональных данных также является нарушением. Компании должны получать отдельное согласие по форме, утвержденной Роскомнадзором, а также публиковать в политике конфиденциальности информацию об условиях обработки таких данных.

1C: Управление нашей фирмой

Арендуйте без покупки лицензий

Обновления включены в стоимость

Тестировать бесплатно

Используются запрещенные сервисы аналитики

Базы данных сервисов должны быть расположены на территории России, чтобы не нарушать требование о локализации данных граждан РФ. Например, Twitter, в 2020 году заплатил штраф в размере 4 млн руб. за хранение данных российских пользователей на серверах в США и Европе. Похожий случай произошел с АНО «Еврейское Агентство “Сохнут” Северо-Запад», чей руководитель получил штраф за утечку персональных данных в размере 100 000 руб. за использование американской системы обработки.

Не назначен ответственный за обработку персональных данных

Каждая организация должна назначить специального сотрудника, который будет отвечать за это направление. Такой человек получает указания напрямую от генерального директора и отчитывается только перед ним. Организация должна предоставлять этому специалисту все необходимые сведения о том, как обрабатываются персональные данные в компании.

В обязанности ответственного за персональные данные входит:

1. Проверять, как компания и ее работники соблюдают закон о персональных данных.
2. Информировать всех сотрудников о внутренних документах компании по ПД и требованиях к защите информации.
3. Принимать обращения людей, чьи данные хранятся в организации. Также следить, чтобы такие запросы обрабатывались правильно и вовремя.

Для эффективной организации работы ответственного сотрудника рекомендуем ознакомиться со статьей «Система штрафов для мотивации сотрудников: как использовать».

Нет перечня лиц, которые имеют доступ к персональным данным

Руководитель издает приказ, в котором указано, кто именно имеет право доступа к персональным данным. Каждый работник должен получать только те сведения, которые действительно нужны ему для выполнения своих задач (абз. 6 ст. 88 ТК РФ).

В таком приказе можно:

• указать конкретных сотрудников по фамилии, имени, отчеству и должности;
• перечислить только должности сотрудников и их отделы;
• указать целые подразделения, где сотрудникам нужен такой доступ.

Неправильно хранятся данные на бумаге

Если вы храните персональные данные не в компьютере, а в журналах, ведомостях и т. д., нужно соблюдать несколько важных правил:

1. Для каждого вида сведений определите конкретное место хранения (например, в каком шкафу или сейфе будут храниться документы).
2. Определите, кто именно может работать с этими документами или иметь к ним доступ. Составьте список таких сотрудников.
3. Данные, которые собираются для разных целей, храните отдельно друг от друга.
4. Убедитесь, что информация в безопасности, никто посторонний не может получить к ней доступ.

Важно: компания сама решает, какие именно меры применять, кто будет отвечать за их выполнение и какой порядок работы с документами установить.

Современное решение этих проблем — переход на электронный документооборот. Система «1С:Документооборот» позволяет не только упорядочить хранение документов, но и обеспечить надежную защиту персональных данных благодаря функциям электронной подписи, разграничения доступа и контроля за движением информации. При этом для внедрения не требуется покупка дорогостоящих лицензий — решение можно арендовать.

Работники не ознакомлены с законом о персональных данных

Сотрудники, которые работают с персональными данными, должны знать правила их обработки (п. 6 ч. 1 ст. 18.1 закона о персональных данных). Для этого есть два простых способа:

1. Создайте отдельный документ — лист ознакомления, где работники распишутся в том, что они прочитали и поняли законы о персональных данных и внутренние правила компании по их обработке.
2. Включите все нужные положения прямо в трудовой договор с работником.

Зафиксированы нарушения при передаче данных работников третьим лицам

Работодатели не обеспечивают защиту данных сотрудников при оформлении зарплатных проектов или страховок ДМС. Важно помнить: для каждой цели передачи данных нужно отдельное согласие. Нельзя использовать один документ для разрешения передачи данных в любых целях.

В двух словах: как не попасть на штраф за утечку персональных данных

С 30 мая 2025 года компании, допустившие утечку данных, могут получить штраф 500 млн руб.

Однако соблюдение базовых принципов работы с персональными данными поможет избежать проблем:

1. Обрабатывайте данные только при наличии законного основания.
2. Собирайте только необходимые сведения.
3. Обеспечивайте надлежащую защиту информации.
4. Своевременно реагируйте на запросы субъектов.
5. Обновляйте документацию в соответствии с изменениями законодательства.

Инвестиции в кибербезопасность бизнеса и защиту персональных данных сегодня — это экономия на штрафах и репутационных потерях завтра. Начните подготовку к изменениям в законе о ПД уже сейчас, чтобы не попасть под угрозу многомиллионных штрафов в будущем.