Штрафы за утечки данных вырастут с 30 мая

С 30 мая в России начал действовать закон, усиливающий административную ответственность за утечку и ненадлежащую обработку персональных данных.

Об этом сообщил председатель Госдумы Вячеслав Володин. По его словам, новые меры направлены на защиту граждан от кибермошенничества, участившегося на фоне масштабных утечек информации.

Теперь за повторные инциденты компании могут получить штраф до 3% от годовой выручки, но не менее 25 млн рублей и не более 500 млн. Ответственность предусмотрена и для индивидуальных предпринимателей: например, за неуведомление об утечке предусмотрен штраф от 1 до 3 млн рублей.

Штрафы дифференцируются в зависимости от масштаба инцидента:

от 3 до 5 млн рублей — если скомпрометированы данные не менее 1000 человек или 10 000 идентификаторов;
от 5 до 10 млн рублей — за утечку данных 10 000+ человек или 100 000+ идентификаторов;
от 10 до 15 млн рублей — при потере сведений более чем о 100 000 человек или 1 млн идентификаторов.

Закон стал реакцией на серию громких утечек в стране. Только с января по май 2025 года Роскомнадзор зафиксировал 30 крупных случаев потери персональных данных, в результате чего в открытом доступе оказались более 38 миллионов строк с чувствительной информацией. Ведомство подчеркивает, что речь идёт не просто об email-адресах или номерах телефонов, а о полноценной персональной информации, включая паспортные и платёжные данные.

Эксперты считают, что ужесточение наказания может заставить компании пересмотреть подход к защите данных и вложиться в технологии кибербезопасности. Также обсуждаются предложения о введении единых стандартов обработки персональных данных для всех организаций, работающих в РФ.