С 30 мая 2025 года в России вступают в силу поправки в КоАП, которые кардинально ужесточают ответственность за нарушения при обработке персональных данных. Бизнес столкнется с «оборотными» штрафами, многомиллионными санкциями и тотальными проверками Роскомнадзора. Если вы работаете с данными клиентов, сотрудников или партнеров — эта информация критически важна для выживания вашего дела.
Почему это касается почти всех? По сути, любой, кто собирает хотя бы имя и телефон на сайте или в договоре, является оператором ПДн. Раньше штрафы были скорее «слабым испугом», но теперь они бьют по карману.
Личный опыт: Почему мы забили тревогу
Наша команда помогала небольшому интернет-магазину, который получил первый и последний штраф в 50 000 руб. за отсутствие политики конфиденциальности. С 30 мая 2025 за аналогичное нарушение тому же магазину грозит уже до 500 000 рублей. Мы осознали, что старые подходы к консультациям больше не работают. Теперь нужен комплексный аудит и точечная настройка процессов под новые риски.
Что изменилось в штрафах? Краткая выжимка
-
Появление «оборотных» штрафов. За утечку персональных данных штраф может составить до 5% от общей выручки компании, но не менее 500 000 руб. Это делает утечку финансово катастрофической для среднего и крупного бизнеса.
-
Рост базовых штрафов в 5-10 раз. Практически по всем составам нарушений суммы штрафов для юридических лиц увеличены.
-
Расширение перечня нарушений. Теперь отдельно накажут за отсутствие договора с IT-подрядчиком, ошибки в Уведомлении в Роскомнадзор и многое другое.
-
Ответственность для физлиц и ИП. Штрафы для граждан и индивидуальных предпринимателей также серьезно выросли.
Таблица новых штрафов для бизнеса (с 30.05.2025)
В таблице ниже — самые частые нарушения, с которыми сталкивается бизнес.
| Нарушение (статья КоАП) | Для юридических лиц (было → стало) | Для ИП (было → стало) | Для должностных лиц (директор) |
|---|---|---|---|
| Обработка ПДн без согласия (ч. 2 ст. 13.11) | 30-50 тыс. → 100-500 тыс. руб. | 10-20 тыс. → 30-100 тыс. руб. | 10-20 тыс. → 30-100 тыс. руб. |
| Невыполнение обязанностей оператора (ч. 3 ст. 13.11) Пример: нет Политики, нет Реестра субъектов ПДн |
15-75 тыс. → 500 тыс. – 1 млн. руб. | 10-20 тыс. → 30-100 тыс. руб. | 5-10 тыс. → 20-50 тыс. руб. |
| Незаконная или несоответствующая целям обработка (ч. 6 ст. 13.11) | 30-50 тыс. → 500 тыс. – 1 млн. руб. | 10-20 тыс. → 50-150 тыс. руб. | 5-10 тыс. → 30-50 тыс. руб. |
| Невыполнение требований по локализации (ч. 8 ст. 13.11) Пример: база клиентов хранится на зарубежном сервере |
1-6 млн. → 2-10 млн. руб. | 100-200 тыс. → 500 тыс. – 1 млн. руб. | 50-100 тыс. → 200-400 тыс. руб. |
| Утечка персональных данных (ч. 9 ст. 13.11) | 30-50 тыс. → 500 тыс. – 1 млн. руб. ИЛИ до 5% от годовой выручки | 10-20 тыс. → 50-150 тыс. руб. | 5-10 тыс. → 30-50 тыс. руб. |
| Неуведомление Роскомнадзора об обработке ПДн (ч. 1 ст. 13.11) | 15-75 тыс. → 100-300 тыс. руб. | 5-10 тыс. → 20-50 тыс. руб. | 3-6 тыс. → 10-30 тыс. руб. |
Важный комментарий: «Оборотный» штраф за утечку (до 5% от выручки) применяется, если утечка привела к существенным последствиям, например, к мошенническим операциям с картами клиентов. Однако доказывать «несущественность» последствий придется вам.
Кейс: Как новый штраф может убить бизнес
Рассмотрим компанию «Альфа» с выручкой 50 млн рублей в год.
-
Ситуация: Хакеры взломали сайт и похитили базу данных 10 000 клиентов (ФИО, телефоны, email). У компании не было Регламента по реагированию на утечки и ненадлежащая защита сайта.
-
Старый штраф: Максимум 50 000 рублей. Неприятно, но не смертельно.
-
Новый штраф: По ч. 9 ст. 13.11 КоАП — 5% от выручки = 2,5 млн рублей. Дополнительно, по ч. 3 ст. 13.11 (отсутствие мер защиты) — еще до 1 млн рублей. Итого: до 3,5 млн рублей. Это уже удар по финансовой стабильности.
FAQ: Частые вопросы о новых штрафах
Вопрос: Наш ИП обрабатывает данные менее 100 тыс. человек. Нас штрафуют по-другому?
Ответ: Нет. Закон не делает скидку на масштаб. Штрафы для ИП также вырастут, как показано в таблице. Для малого бизнеса даже штраф в 100 000 руб. может быть критичным.
Вопрос: Мы используем облачную CRM (например, amoCRM). Это риск?
Ответ: Да, двойной риск.
-
Если серверы CRM находятся за пределами РФ, вы нарушаете требование о локализации (ч. 8 ст. 13.11) — штраф до 10 млн для юрлица.
-
С вашим CRM-провайдером должен быть заключен договор поручения обработки ПДн. Без него — отдельный штраф (ч. 5 ст. 13.11).
Вопрос: Что делать прямо сейчас, чтобы избежать штрафов?
Ответ: Наш чек-лист первоочередных действий:
-
Проверить наличие в реестре Роскомнадзора. Если вы оператор, но не внесены в реестр — срочно подавайте уведомление.
-
Провести внутренний аудит документов. Есть ли Политика конфиденциальности на сайте? Все ли согласия на обработку ПДн оформлены корректно?
-
Проверить договоры с IT-подрядчиками. Включен ли в них пункт о поручении обработки ПДн?
-
Назначить ответственного за обработку ПДн. Это может быть сотрудник или внешний консультант.
-
Разработать регламент на случай утечки. Это покажет Роскомнадзору, что вы относитесь к защите данных серьезно.
Вывод: Что делать бизнесу в 2025 году?
Эпоха формального подхода к персональным данным закончилась. Штрафы из «административных издержек» превратились в реальную угрозу бизнесу. Не ждите первой проверки или утечки.
Наша услуга «Аудит ПДн под ключ» включает в себя проверку всех процессов, приведение документов в соответствие с новыми требованиями и регистрацию в реестре Роскомнадзора. Мы не просто даем советы, а берем на себя ответственность за вашу юридическую чистоту.
Не рискуйте своими деньгами и репутацией. Действуйте проактивно.