Штрафы за утечку персональных данных повышаются с 30 мая, юридические лица будут платить до 5 миллионов рублей за утечку данных от 1 до 10 тысяч человек, рассказала РИА Новости юрист, основатель консалтинговой компании “Деломант Групп” Таисия Вепренцева.
Как отметила юрист, с 30 мая вступают силу нормативные акты в области обработки персональных данных, по которым Роскомнадзор получает право налагать штрафы за непрохождение регистрации в реестре организации.
“Особо жёсткие санкции предусмотрены за сам факт утечки данных. С 30 мая 2025 года вступает в силу закон, устанавливающий повышенные штрафы за действия, повлекшие утечку персональной информации, включая биометрические данные. Так, за неправомерную передачу данных от 1 до 10 тысяч человек предусмотрен штраф до 5 миллионов рублей для юридических лиц. Если затронуто от 10 до 100 тысяч субъектов, размер санкции достигает 10 миллионов рублей. Утечка информации более чем о 100 тысячах граждан влечёт взыскание до 15 миллионов рублей. При повторных нарушениях вводятся оборотные штрафы — от 3% выручки компании, но не менее 20 миллионов рублей”, – рассказала Вепренцева.
Она также рассказала, что за утечку биометрических данных сумма штрафа может достигать 20 миллионов рублей, а при рецидиве — до 500 миллионов рублей. Также с указанной даты вводятся санкции за несвоевременное уведомление Роскомнадзора: для организаций — до 3 миллионов рублей. Индивидуальные предприниматели приравнены к юридическим лицам при расчёте санкций, добавила она.
Кроме того, с 30 мая ужесточается ответственность за несвоевременное извещение Роскомнадзора об утечке персональных данных.
“Штрафы составят: для должностных лиц — от 30 до 50 тысяч рублей, для организаций и ИП — от 100 до 300 тысяч рублей. Наряду с этим, в статью 13.11 КоАП РФ (“Нарушение законодательства РФ в области персональных данных”) включено девять новых составов. В частности, административной ответственностью будет облагаться неуведомление Роскомнадзора об утечке в течение одного рабочего дня. Причём утечкой признаётся даже несанкционированный доступ сотрудников, не имеющих надлежащих полномочий согласно внутренним регламентам компании”, – добавила юрист.
Вепренцева также порекомендовала организациям и предпринимателям не просто отслеживать нововведения в законодательстве о персональных данных, но и адаптировать внутренние процессы во избежание юридических последствий.
