Оборотные штрафы по 152-ФЗ в 2025: что изменилось и как подготовиться
С 30 ноября 2024 года вступил в силу Федеральный закон № 572-ФЗ, который кардинально ужесточил ответственность за нарушения 152-ФЗ. Теперь штрафы за утечку персональных данных привязаны к выручке компании — это меняет подход к защите ПДн для бизнеса любого размера.
Что изменилось в 2024–2025
Главное нововведение — оборотные штрафы. Раньше максимальный штраф для юр.лиц составлял 500 000 ₽, теперь же:
- утечка от 10 000 до 100 000 субъектов ПДн — 5–10 млн ₽
- утечка от 100 000 субъектов — 10–15 млн ₽ (за повторное нарушение — до 18 млн ₽)
- повторная утечка любого объёма — оборотный штраф 0,1–3% годовой выручки (минимум 25 млн ₽, максимум 500 млн ₽)
Дополнительно — обязанность уведомлять Роскомнадзор о любой утечке в течение 24 часов с момента обнаружения, а в течение 72 часов — с подробным описанием и принятыми мерами.
Кому это касается
Любая компания, обрабатывающая ПДн физических лиц на территории РФ, попадает под действие закона. Это значит:
- ваши сотрудники → ПДн (анкета, СНИЛС, паспорт)
- клиенты-физлица → ПДн (имя, телефон, email)
- подписчики рассылки → ПДн (email)
- посетители сайта → ПДн (cookie, IP, ClientID)
Единственное исключение — обработка для личных нужд физлица. Все остальные случаи требуют соответствия 152-ФЗ.
Как считаются оборотные штрафы
В законе есть два типа штрафов:
- Фиксированные — за процедурные нарушения (отсутствие политики, согласия, ответственного, документации). Размер — 50 000 – 700 000 ₽ в зависимости от типа нарушения.
- Оборотные — за утечки и грубые нарушения. Привязаны к объёму утечки и/или выручке компании.
Пример расчёта:
| Объём утечки | Штраф для юр.лица |
|---|---|
| До 1 000 субъектов | 3–5 млн ₽ |
| От 1 000 до 10 000 | 5–10 млн ₽ |
| От 10 000 до 100 000 | 10–15 млн ₽ |
| От 100 000 субъектов | 15 млн ₽ (повторно — до 18 млн ₽) |
| Повторное нарушение любого объёма | 0,1–3% годовой выручки (мин. 25, макс. 500 млн ₽) |
Как минимизировать риски
Ключевая стратегия — превентивная защита. Предотвратить утечку дешевле, чем платить штраф.
1. Документация
Положение о защите ПДн, перечень ИСПДн, регламенты обработки, согласия субъектов. Это базовый пакет, без которого даже без утечек могут быть штрафы 50–700 тыс. ₽.
2. Технические меры
DLP-система для контроля каналов утечки, шифрование, журналирование, контроль доступа. Особенно важно — мониторинг каналов передачи ПДн (email, мессенджеры, USB, облака).
3. Обучение
Минимум 60% утечек случайны — сотрудники не понимают, что их действия нарушают закон. Регулярное обучение и инструктажи кратно снижают вероятность инцидента.
4. Готовность к проверке
Внутренний аудит соответствия 152-ФЗ должен проводиться минимум раз в год. Готовый пакет документов и журналов экономит миллионы при внеплановой проверке.
Что делать, если уже произошла утечка
Алгоритм:
- Зафиксировать факт — время обнаружения, объём, тип данных.
- Уведомить Роскомнадзор в течение 24 часов — через личный кабинет на portal.gosuslugi.ru.
- В течение 72 часов — направить детальное описание: причины, объём, категории субъектов, принятые меры.
- Уведомить субъектов — если затронуты их интересы.
- Расследование — выявить источник, локализовать, минимизировать ущерб.
Своевременное уведомление и принятые меры могут снизить размер штрафа в 2–3 раза. Утаивание утечки или несвоевременное уведомление — отягчающее обстоятельство.
Итоги
Оборотные штрафы по 152-ФЗ переводят защиту персональных данных из категории «формальное соответствие» в категорию «ключевой риск бизнеса». Для большинства компаний инвестиция в DLP-систему и сопровождение по 152-ФЗ окупается уже после первого предотвращённого инцидента.
Если вы ещё не прошли аудит соответствия — самое время. Бесплатный экспресс-аудит за 30 дней покажет реальное состояние вашей системы защиты ПДн и определит приоритеты.