29 мая 2025 12:10, Татьяна Кондакова, Главные новости, 👁 1410
С 30 мая 2025 года в России вступают в силу беспрецедентные требования к операторам персональных данных. Любая организация — от крупной компании до самозанятого мастера — должна зарегистрироваться в реестре Роскомнадзора, уведомлять о начале и изменениях обработки данных, а также о любых инцидентах в течение суток. Несвоевременная подача сведений увеличивает максимальный штраф с прежних 5 000 ₽ до 300 000 ₽, а при повторных нарушениях — до 500 000 ₽. Для должностных лиц штрафы достигают 100 000 ₽, а для физических лиц-самозанятых — до 15 000 ₽. За утечку придётся заплатить от 1 000 000 до 20 000 000 ₽ или лишиться до 3 % годового оборота.
Кто подпадает под новые правила
По ФЗ-152 оператором персональных данных считается:
- Юридические лица и ИП любого масштаба.
- Самозанятые и фрилансеры, хранящие контакты клиентов в смартфонах, Excel или облаках.
- Владельцы веб-сайтов и мобильных приложений, собирающие cookie или аналитические метки.
Персональные данные включают ФИО, дату рождения, паспортные сведения, номера телефонов, адреса и иные признаки, позволяющие идентифицировать человека (ст. 3 ФЗ-152).
Размеры штрафов и оборотные санкции
| Нарушение | Санкции для компаний | Для должностных лиц | Для самозанятых |
|---|---|---|---|
| Несвоевременная или искажённая декларация | 100 000–300 000 ₽ | 30 000–100 000 ₽ | 1 000–15 000 ₽ |
| Повторное нарушение | до 500 000 ₽ | до 100 000 ₽ | до 15 000 ₽ |
| Непредставление уведомления об утечке | 1 000 000–20 000 000 ₽ или 3 % оборота | — | — |
Источник: Роскомнадзор (https://rkn.gov.ru/).
Как подготовиться к высоким требованиям
- Проверьте наличие записи в реестре операторов на сайте Роскомнадзора и внесите актуальные сведения.
- Обновите или подайте первичное уведомление об обработке персональных данных.
- Разместите на сайте политику конфиденциальности с чётким описанием целей и способов обработки.
- Перенесите хранение данных на отечественные сервера и откажитесь от иностранных хостингов.
- Настройте внутренний регламент: уведомление об утечках — за 24 часа, расследование — в течение трёх суток.
- Ограничьте доступ сотрудников к информации по принципу «минимально необходимого объёма».
- Внедрите двухфакторную аутентификацию, шифрование и антивирусные решения.
- Обучите персонал правилам цифровой гигиены и антифишинга.
- Ведите журналы регистрации инцидентов и локальные инструкции по обработке.
Что делать после внедрения нововведений
- Регулярно проверять реестр на сайте Роскомнадзора.
- Проводить внутренние аудиты и тестировать сценарии утечек.
- Актуализировать политику конфиденциальности при изменении процессов.
- Отчитываться о любых изменениях и инцидентах в установленные сроки.
Правильно выстроенный процесс обработки персональных данных поможет избежать рекордных штрафов, сохранить доверие клиентов и не допустить риски блокировки бизнес-активности.
Вам так же будет интересно узнать: Новый закон о ТСЖ: обязательный аттестат изменит всё
