Новые поправки 2024–2025 гг.: как бизнесу избежать миллионных штрафов и уголовных дел за утечки данных

С конца 2024 года в России произошли масштабные изменения в законодательстве о защите персональных данных. Федеральные законы № 420-ФЗ и № 421-ФЗ от 30.11.2024 ужесточают ответственность за нарушения конфиденциальности. Цель — стимулировать бизнес инвестировать в кибербезопасность и сократить число инцидентов. Разбираемся, какие санкции грозят компаниям, кто в зоне риска и как выполнить новые требования.

  

Что изменилось? Основные нововведения

Ключевой посыл законодателей – неотвратимость наказания. Если раньше бизнес мог отделаться символическими штрафами, теперь суммы исчисляются миллионами, а в отдельных случаях грозит тюремный срок.

Поправки затрагивают два направления:

1. Административная ответственность (№ 420-ФЗ):

Штрафы для юридических лиц:

• Первичное нарушение (например, утечка данных из-за отсутствия защиты): до 10 млн рублей (ранее — до 6 млн).
• Повторное нарушение: 1–3% от годового оборота компании, но не менее 20 млн и не более 500 млн рублей. Пример: Для компании с оборотом 1 млрд рублей штраф составит 10–30 млн рублей.
• Утечка биометрических данных: штраф до 20 млн рублей (максимальная планка для отдельных категорий нарушений).

Ответственность должностных лиц:

Руководители, IT-специалисты и ответственные за данные сотрудники рискуют:

• Первичное нарушение: штраф 500 тыс. – 1 млн рублей.
• Рецидив: до 2 млн рублей.
• Примечание: штрафуют даже за бездействие — например, если не проведён обязательный аудит безопасности.

Новые критерии для штрафов:

• Теперь штрафуют не только за сам инцидент, но и за отсутствие превентивных мер:
  — Отсутствие обучения сотрудников,
  — Непроведение аудита защиты данных,
  — Использование незащищённых каналов передачи информации.
• Смягчающие обстоятельства:
  — Регулярные инвестиции в кибербезопасность,
  — Наличие сертифицированных средств защиты (например, межсетевых экранов),
  — Документальное подтверждение выполнения требований 152-ФЗ (политики, отчёты, акты внедрения).

Важно: штрафы по 420-ФЗ могут быть кратно увеличены, если нарушение привело к массовым утечкам или использованию данных в мошеннических схемах.

2. Уголовная ответственность (№ 421-ФЗ, ст. 272.1 УК РФ):

Основные категории нарушений и меры наказания:

• Умышленная утечка данных (например, продажа баз данных): лишение свободы от 4 до 10 лет.
• Разглашение данных несовершеннолетних: штраф до 700 тыс. рублей или лишение свободы до 5 лет.
• Передача данных за рубеж без соблюдения требований закона: до 8 лет тюрьмы + штраф до 2 млн рублей.
• Тяжкие последствия (смерть пострадавшего, массовое мошенничество): максимальный срок — 10 лет лишения свободы.

Особенности применения статьи

• Ответственность за халатность:
  Даже если утечка произошла из-за ошибки сотрудника (например, отправка данных не тому адресату), компания и руководство могут быть привлечены к уголовной ответственности. Закон считает отсутствие защиты систем автоматическим нарушением.
• Круг лиц, подпадающих под статью:
  — Руководители (CEO, CIO, DPO),
  — IT-специалисты, ответственные за безопасность,
  — Рядовые сотрудники, нарушившие внутренние регламенты.
• Нет «амнистии» для малого бизнеса:
  Даже компании, которые обрабатывают минимальный объём данных (например, сбор email или телефонов), обязаны соблюдать требования 152-ФЗ.

 

Последствия игнорирования закона

• Репутационные риски: Уголовные дела против руководства подрывают доверие клиентов и партнёров.
• Финансовые потери: Штрафы, судебные издержки, компенсации пострадавшим.
• Приостановка деятельности: Суд может временно закрыть компанию до устранения нарушений.

 

Кому грозят санкции? Группы риска

1. Крупные корпорации: банки, телеком-операторы, маркетплейсы, соцсети — обрабатывают данные миллионов клиентов. Риск: многомиллионные штрафы и репутационные потери.
2. Госорганизации и медучреждения: хранят паспортные данные, медицинские записи, что попадает под категорию «чувствительной информации». Утечки могут привести к уголовному преследованию ответственных лиц.
3. Малый и средний бизнес: интернет-магазины, образовательные платформы, стартапы — те, кто ранее экономил на защите. Даже сбор email или телефонов клиентов требует соответствия 152-ФЗ.
4. Образовательные учреждения: данные студентов, включая несовершеннолетних, — зона повышенного внимания регуляторов.

 

На что обратить внимание

Даже если у вас небольшая компания, которая собирает лишь номера телефонов или адреса электронной почты клиентов, вы в зоне риска. Закон классифицирует как персональные данные «любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу». То есть к вашему клиенту.

Если вы взяли телефон клиента, чтобы отправить СМС об отправке заказа, или отправили на электронную почту запрошенную клиентом информацию, вы выполнили обработку персональных данных. С точки зрения закона ваша компания – оператор персональных данных.

О том, что вы производите обработку персональных данных, необходимо уведомить Роскомнадзор. Причём сделать это необходимо ДО начала обработки данных.

Порядок направления уведомления и сведения, которые требуется в нём указать, содержатся в статье 22 152-ФЗ. Среди этих сведений есть важный пункт, который придётся не просто включить в уведомление, а выполнить: «сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных». То есть вы должны до отправки уведомления в Роскомнадзор принять все необходимые меры, чтобы обработка данных проводилась безопасно и в соответствии с установленными законом требованиями.

Двигаемся дальше. Применение мер защиты — не просто пункт в уведомлении, а обязанность оператора, установленная статьёй 18.1 152-ФЗ. Сами меры защиты перечислены в статье 19 Закона. Они могут быть правовыми, организационными и техническими и в совокупности должны обеспечивать полную защиту персональных данных от несанкционированного доступа, в результате которого может произойти их разглашение, искажение, удаление, копирование, распространение и другие неправомерные действия.

 

Технические меры защиты: что требует закон?

К техническим мерам защиты относятся различные средства защиты информации:

• Системы шифрования данных.
• Межсетевые экраны следующего поколения (NGFW).
• Средства обнаружения и предотвращения вторжений (IDS/IPS).
• Регулярное тестирование на уязвимости.

Пример решения: Межсетевой экран следующего поколения Traffic Inspector Next Generation — сертифицированный ФСТЭК продукт, включённый в реестр российского ПО. 

Его ключевые функции:

• Защита локальной сети от киберугроз (межсетевой экран, система обнаружения и предотвращения вторжений, контроль приложений).
• Организация и контроль доступа пользователей в интернет (прокси-сервер, различные методы аутентификации, контентная фильтрация, Layer 7 фильтрация, декодирование HTTPS-трафика, Captive Portal, шейпирование трафика, балансировка канала, Connection Failover, кластер высокой доступности, VPN).
• Мониторинг сетевой активности и отчеты (статистика NetFlow, системный журнал, журнал сетевого экрана, отчеты по веб-прокси).

Важно: Использование сертифицированных решений — обязательное условие для смягчения ответственности. «Самодельные» системы или дешёвые аналоги «для галочки» не пройдут проверку Роскомнадзора.

 

6 шагов для выполнения требований закона

1. Аудит инфраструктуры — выявите слабые места в хранении и передаче данных.
2. Внедрение сертифицированных решений — например, Traffic Inspector Next Generation для защиты периметра.
3. Назначение ответственных — введите роль Data Protection Officer (DPO), если её ещё нет.
4. Обучение сотрудников — регулярные тренинги по кибергигиене и работе с данными.
5. Документирование процессов — обновите политики конфиденциальности и регламенты.
6. Уведомление Роскомнадзора — подайте его только после внедрения всех мер защиты.

Памятка по изменениям в регулировании защиты персональных данных

  

Заключение

Новые законы — не просто формальность, а требование к немедленным действиям. Штрафы до 500 млн рублей и уголовные дела могут разрушить бизнес. Ключ к защите — сочетание организационных мер и технологий, таких как Traffic Inspector Next Generation, которые обеспечивают соответствие 152-ФЗ и снижают риски. Не ждите проверок — начните аудит уже сегодня.

P.S. Уголовная ответственность по ст. 272.1 УК РФ действует с 11 декабря 2024 года. Поправки в КоАП (№ 420-ФЗ) вступят в силу 30 мая 2025 года — у компаний осталось менее года на превентивные меры. Успейте обезопасить бизнес до первых проверок.