Правдоруб ОнлайнПроверить договор
Назад к статьям
Персональные данные16 января 20265 мин

Штрафы за утечку персональных данных: что изменилось

Защита персональных данных в России вышла на принципиально новый уровень. Вступившие в силу поправки к КоАП и Уголовному кодексу кардинально ужесточают ответственность за утечки и незаконный оборот персональных данных. Если раньше компании отделывались символическими штрафами в 60-100 тысяч рублей, то теперь речь идёт о сотнях миллионов.

Новые размеры штрафов

Система штрафов стала дифференцированной и зависит от объёма утечки и повторности нарушений. Чем больше записей скомпрометировано, тем выше санкция.

  • Утечка от 1 000 до 10 000 записей — штраф до 5 млн рублей для юрлиц
  • Утечка от 10 000 до 100 000 записей — штраф до 10 млн рублей
  • Утечка свыше 100 000 записей — оборотный штраф от 1% до 3% годовой выручки (но не более 500 млн ₽)
  • Повторная утечка любого масштаба — оборотный штраф от 3% до 5% выручки
  • Для должностных лиц — штрафы до 2 млн рублей и дисквалификация

Оборотные штрафы рассчитываются от выручки за календарный год, предшествующий году нарушения. Для компании с выручкой 1 млрд рублей штраф за крупную утечку может составить 30 млн рублей — это уже ощутимо для бизнеса.

Уголовная ответственность

Впервые в российском законодательстве введена уголовная ответственность за незаконное использование персональных данных. Статья 272.1 УК РФ предусматривает наказание за незаконный сбор, хранение, распространение и торговлю персональными данными.

  • Незаконный сбор и хранение — до 4 лет лишения свободы
  • Распространение и продажа баз данных — до 6 лет
  • Те же деяния в составе организованной группы — до 10 лет
  • Использование служебного положения — отягчающее обстоятельство

Что считается утечкой

Утечкой признаётся любой случай, когда персональные данные стали доступны неуполномоченным лицам: взлом базы данных, потеря носителя, ошибочная отправка по email, публикация в открытом доступе. Компания обязана уведомить Роскомнадзор об утечке в течение 24 часов и уведомить пострадавших субъектов данных в течение 72 часов.

Как подготовиться

  • Проведите аудит всех хранилищ персональных данных в компании
  • Внедрите шифрование данных при хранении и передаче
  • Ограничьте доступ к персональным данным — принцип минимальных привилегий
  • Назначьте ответственного за обработку персональных данных (DPO)
  • Разработайте план реагирования на инциденты утечки
  • Проводите регулярное обучение сотрудников правилам обращения с данными
  • Заключите с подрядчиками договоры поручения обработки ПД с условиями об ответственности

Смягчающие обстоятельства

Закон предусматривает возможность снижения штрафа, если компания заблаговременно инвестировала в защиту данных. Смягчающими факторами являются: наличие сертифицированных средств защиты, проведение регулярных аудитов, оперативное уведомление регулятора, компенсация ущерба пострадавшим.

Не ждите утечки — начните аудит сейчас. Составьте реестр всех баз с персональными данными, проверьте уровень защиты каждой из них и устраните уязвимости. Расходы на безопасность несопоставимы с потенциальными штрафами.

Хотите проверить свой договор?

Загрузите документ и получите детальный AI-анализ рисков за 2 минуты — бесплатно

Проверить договор