В 2025 году российские законы про персональные данные становятся совсем другими. Уже с 30 мая — новые штрафы, новые статьи. Цифры пугают: 15 миллионов рублей за утечку, оборотные штрафы до 500 миллионов, уголовка. Раньше бизнес мог надеяться на «авось», теперь — уже нет. И если вы, как я, работаете с клиентскими данными ежедневно, лучше быть на шаг впереди. Иначе этот шаг может оказаться последним.
Обзор изменений в законодательстве 2025
30 мая — новая точка отсчёта. В КоАП добавляют статьи, которые не оставляют шансов формальным подходам. Теперь недостаточно повесить уведомление на сайт о согласии с обработкой данных. Нужна система. Сигналы. Протоколы.
Уведомлять Роскомнадзор о старте обработки стало обязанностью. Не сделали — 300 тысяч рублей. Но большие деньги начинаются не здесь. Самые тяжёлые санкции — оборотные штрафы. До 3% от выручки компании, минимум — 25 млн, максимум — 500. И, знаете, что страшней всего? Эти суммы — реальные. Они не «для кого-то», они — для нас с вами.
Подход стал ближе к мировому: в Европе так уже давно. Регуляторы в России видимо решили: всё, хватит недомолвок.
Новые статьи КоАП о штрафах за утечки
Если раньше штрафы за утечки казались хлопком по руке — теперь это ощутимая пощёчина. И не одна.
Вот как это работает:
- Утекли данные тысячи — готовь 3–5 млн рублей.
- Десятки тысяч — 5–10 млн.
- За сотни тысяч и более — 10–15 млн.
- Если вмиксовано ещё и биометрия — 15–20 млн.
А за неподачу уведомления — от 1 до 3 миллионов. Повторили ошибку? Тогда включается то самое — до 3% от вашей выручки, но минимум 25 млн. Это уже официально описано в статье 13.11 КоАП, с разбивкой по масштабам и видам информации.
Государство теперь не просит — оно требует. Для бизнеса это не просто закон, это новая реальность. Хочешь жить — шифруй, уведомляй, будь готов.
Подробный анализ штрафов 2025 — размеры и примеры
Впервые в России штраф стал зависеть от количества. Неважно, попало наружу имя или сканы паспортов — если жертв больше десяти тысяч, вы уже не отделаетесь «извините, не сохранили».
В том же деле с «СберКлиникой» — утечка 3,3 млн записей о пациентах. Сейчас это до 15 миллионов штрафа, а при рецидиве — еще и оборотный. Для медицинского бизнеса такие суммы — не игра.
Один знакомый айтишник недавно рассказал, как им пришлось полностью пересмотреть доступы — ушло месяц. Но это лучше, чем потом искать, где взять 500 миллионов.
Штраф — не только способ наказать. Это способ научить. И бизнес либо учится, либо исчезает.
Уголовная ответственность за утечки 2025
Но и это ещё не всё.
Теперь за утечки — можно сесть. И не образно.
Если сотрудник умышленно передал базы? Или вместе с коллегой решили слить список клиентов? Это уже уголовное дело. Штраф — до миллиона. Или реальные 6–10 лет тюрьмы. За разглашение с корыстной целью, за нарушение по сговору, за использование служебного положения.
Вот примеры из практики. Да, пока звучит как что-то из криминальной хроники. Но не обманывайтесь — любую утечку теперь будут рассматривать под лупой. Кто допустил? Почему? Случайность или умысел?
Не только ИТ-директору теперь нужно объясняться. А и бухгалтеру, и менеджеру. За культуру безопасности отвечает каждый. Иначе — уголовка.
Практические советы для бизнеса 2025
Я уже провела аудит в своей компании. Технический и юридический. Ужаснулись, конечно. Старые политики, политики без подписей, хранения даже на USB. Исправили.
Вот чеклист, который помог мне. Может, пригодится и вам:
- Аудит всех систем, где есть персональные данные. От CRM до формы обратной связи.
- Протокол событий: кто, когда, что делал. Это как чёрный ящик — без него потом ничего не докажете.
- Уведомления: Роскомнадзор должен знать о начале обработки.
- Техническая защита: шифрование, мониторинг (DLP, SIEM), контроль доступа.
- Обучение сотрудников. Регулярное. Даже уборщице — у неё тоже есть доступ.
- Юридическое обновление: уведомления, согласия, внутренние процедуры.
- Решения: у нас внедрена система контроля от Group-IB, в связке с внутренними аудиторами.
Не думайте, что можно сделать один раз и забыть. Это как чистить зубы. Постоянно.
Заключение
С 2025 года утечки стали слишком дорогими, чтобы их игнорировать. Это уже не история про айтишника, забывшего выключить порт. Это — политика, стратегия, выживание.
Я не про страх. Я про осознанность. Либо вы контролируете персональные данные, либо их контролирует кто-то другой.
Так я решила для себя. А вы?
Хотите быть в курсе последних новостей о бизнесе? Подпишитесь на наш Telegram-канал сюда
Календарь мероприятий — здесь
Похожие статьи
- Как подготовить бизнес к новым законам о защите данных: 10 ошибок, которые могут стоить вам всего в 2025 году — Ошибки при подготовке к законам о данных и как их избежать.
- Секреты этичного обращения с клиентскими данными в 2025 году: что нужно знать каждому бизнесу на insight-hub.ru — Советы по этичному и безопасному обращению с данными клиентов.
- Стандарты ИБ Россия: Анализ новых норм защиты данных 2025 — Узнайте о стандартах ИБ в России, включая ГОСТ Р 59407-2021, локализацию и защиту данных.
