Что изменилось в 2025–2026 годах

30 ноября 2024 года президент подписал два федеральных закона, которые радикально изменили ландшафт ответственности за работу с персональными данными. Оба закона вступили в силу 30 мая 2025 года, и с тех пор регуляторы активно применяют новые нормы.

420-ФЗ многократно увеличил административные штрафы по статье 13.11 КоАП РФ. Если раньше утечка данных тысяч клиентов обходилась компании в символические 100 000 рублей, то теперь минимальный порог — 3 миллиона.

421-ФЗ ввёл в Уголовный кодекс новую статью 272.1 — уголовную ответственность за незаконное использование персональных данных. Впервые в российской практике за утечку можно получить реальный срок.

Важно: штрафы применяются не только к компаниям, допустившим утечку по своей вине. Если вы передали обработку ПДн подрядчику (например, облачной бухгалтерии), а тот допустил утечку, — отвечать будете и вы как оператор, и подрядчик как обработчик.

Таблица штрафов по ст. 13.11 КоАП РФ

Ниже — сравнение размеров штрафов для юридических лиц до и после вступления в силу 420-ФЗ:

Нарушение	Было (до 30.05.2025)	Стало (с 30.05.2025)
Утечка от 1 000 до 10 000 субъектов ПДн	до 100 000 ₽	3–5 млн ₽
Утечка от 10 000 до 100 000 субъектов ПДн	до 100 000 ₽	5–10 млн ₽
Утечка более 100 000 субъектов ПДн	до 100 000 ₽	10–15 млн ₽
Повторная утечка	до 300 000 ₽	1–3% выручки (до 500 млн ₽)
Утечка специальных категорий ПДн (медицинские, биометрические данные и др.)	до 100 000 ₽	10–15 млн ₽

Оборотный штраф при повторной утечке — это не фиксированная сумма. Он рассчитывается как процент от совокупной выручки компании за предшествующий календарный год. Для компании с выручкой 200 млн рублей это от 2 до 6 млн рублей. Для крупного бизнеса с выручкой 10 млрд — от 100 до 300 млн рублей.

Уголовная ответственность: статья 272.1 УК РФ

421-ФЗ дополнил Уголовный кодекс статьёй 272.1, которая устанавливает ответственность за незаконные действия с компьютерной информацией, содержащей персональные данные. Это принципиально новый уровень рисков — теперь за утечку грозит не только штраф, но и реальное лишение свободы.

Основные составы преступлений

Незаконное использование, передача, сбор и хранение персональных данных (ч. 1 ст. 272.1 УК РФ) — штраф до 300 000 рублей, либо принудительные работы до 4 лет, либо лишение свободы на срок до 4 лет.
Трансграничная передача ПДн, полученных незаконным путём (ч. 2 ст. 272.1 УК РФ) — лишение свободы на срок до 5 лет. Актуально для компаний, использующих иностранные облачные сервисы без надлежащей локализации данных.
Деяния, повлёкшие тяжкие последствия или совершённые организованной группой (ч. 3 ст. 272.1 УК РФ) — лишение свободы на срок до 10 лет. Под тяжкими последствиями суды понимают массовую утечку медицинских данных, данных несовершеннолетних или финансовых сведений.

Уголовная ответственность распространяется не только на хакеров. Под статью могут попасть сотрудники компании, которые скопировали базу клиентов на личную флешку, продали контакты конкурентам или даже просто хранили данные на незащищённом устройстве, если это привело к утечке.

Кто под ударом

Распространённое заблуждение: ужесточение касается только банков, телеком-операторов и IT-гигантов. В действительности закон не делает различий по размеру бизнеса. Штрафы одинаковы для ИП с одним сотрудником и для корпорации с тысячами работников.

Под усиленный контроль попадают все, кто обрабатывает персональные данные:

Бухгалтеры-аутсорсеры — работают с паспортными данными, СНИЛС, ИНН десятков и сотен клиентов. Одна утечка может затронуть тысячи субъектов ПДн.
Кадровые агентства и HR-отделы — хранят резюме, копии документов, медицинские справки. Спецкатегории ПДн — отдельный состав с повышенными штрафами.
Интернет-магазины — базы клиентов с ФИО, адресами доставки, телефонами, историей покупок. Популярная цель для атак.
Медицинские центры и стоматологии — медицинские данные относятся к специальным категориям ПДн. Штраф — от 10 млн рублей.
Юридические фирмы — адвокатская тайна не отменяет обязанности по защите ПДн клиентов.
Учебные центры, автошколы, ДПО — копии паспортов, данные о здоровье (для водительских справок), сведения о несовершеннолетних.

87% утечек в МСБ происходят из-за отсутствия базовых мер защиты

5 млн ₽ минимальный штраф за утечку от 10 000 записей

Конкретный сценарий: бухгалтер-аутсорсер

Рассмотрим типичную ситуацию, с которой сталкиваются тысячи небольших бухгалтерских компаний по всей России.

Исходные данные

Бухгалтерская фирма обслуживает 50 клиентов. У каждого клиента — от 5 до 500 сотрудников, контрагенты, учредители. На рабочем ноутбуке главного бухгалтера хранятся:

Базы 1С с паспортными данными сотрудников всех клиентов
Сканы паспортов, СНИЛС, ИНН
Зарплатные ведомости
Банковские реквизиты физических лиц

Суммарно — персональные данные минимум 10 000–15 000 человек.

Что происходит

Ноутбук украден из машины (или забыт в кафе, или потерян при переезде — неважно). Жёсткий диск не зашифрован. Все данные доступны любому, кто получил физический доступ к устройству.

Последствия по новому закону: утечка 10 000+ субъектов ПДн — штраф от 5 до 10 млн рублей. При этом штрафуют и бухгалтерскую фирму как обработчика, и каждого клиента как оператора ПДн. Суммарный ущерб может достигать десятков миллионов рублей. А при повторном нарушении — оборотный штраф от 1 до 3% годовой выручки.

Как это решается с VDI

При использовании виртуального рабочего места (VDI) сценарий принципиально другой:

Данные не хранятся на ноутбуке. Все базы, сканы, документы находятся на защищённом сервере в сертифицированном ЦОДе. На локальном устройстве — только тонкий клиент для подключения.
Двухфакторная аутентификация. Даже если злоумышленник узнает пароль, без второго фактора (SMS, приложение-аутентификатор) войти невозможно.
Журналирование каждого действия. Кто, когда и какие файлы открывал — всё фиксируется. Это критически важно для демонстрации регуляторам, что меры защиты были приняты.
Мгновенная блокировка. При утере устройства администратор за секунды отключает сессию. Никакого доступа к данным.

Результат: ноутбук украден, но утечки нет. Данные в безопасности. Штрафов нет. Репутация сохранена.

Как защититься: системный подход

Разовые меры не работают. Нужен комплексный подход, который закроет требования и 152-ФЗ, и подзаконных актов, и рекомендаций ФСТЭК.

1. Сертификация информационной безопасности

Получение сертификата соответствия стандартам ИБ — не просто бумага. Это подтверждение того, что в компании выстроена система защиты данных. При проверке Роскомнадзора наличие сертификата — весомый аргумент в пользу компании. Суд учитывает принятые меры защиты как смягчающее обстоятельство.

2. Изоляция данных на VDI

Виртуальные рабочие места — это физическая изоляция данных от конечных устройств сотрудников. Данные никогда не покидают защищённый периметр. Даже при компрометации ноутбука, планшета или смартфона — утечки не произойдёт.

3. Шифрование данных

Все данные должны быть зашифрованы как при хранении (at rest), так и при передаче (in transit). Используйте сертифицированные СКЗИ для шифрования по ГОСТ. Это требование регулятора и одновременно — надёжная защита от перехвата.

4. Журналирование и контроль доступа

Каждое обращение к персональным данным должно фиксироваться: кто, когда, к каким данным обращался, какие действия выполнял. Без журналов невозможно ни расследовать инцидент, ни доказать регуляторам добросовестность.

5. Тревожная кнопка и план реагирования

По новым правилам компания обязана уведомить Роскомнадзор об инциденте в течение 24 часов и представить результаты расследования в течение 72 часов. Без готового плана реагирования уложиться в эти сроки нереально.

«Безопасный Офис» закрывает все пять пунктов в одном решении: сертификация ИБ, защищённые виртуальные рабочие места с шифрованием и двухфакторной аутентификацией, полное журналирование доступа и мгновенная блокировка при инциденте. Вы получаете не только техническую защиту, но и документальное подтверждение соответствия требованиям закона.

Что делать прямо сейчас

Проведите аудит. Определите, какие персональные данные вы обрабатываете, где они хранятся, кто имеет доступ. Часто компании даже не осознают масштаб обрабатываемых ПДн.
Оцените риски. Посчитайте количество субъектов ПДн и соотнесите с таблицей штрафов. Для большинства компаний потенциальный штраф — от 5 млн рублей.
Изолируйте данные. Переведите работу с ПДн на защищённые виртуальные рабочие места. Это самый быстрый способ радикально снизить риск утечки.
Получите сертификат. Пройдите сертификацию ИБ, чтобы документально подтвердить принятые меры защиты.
Подготовьте план реагирования. Определите ответственных, каналы уведомления, порядок действий при инциденте.

Закон уже действует. Первые оборотные штрафы уже назначены. Вопрос не в том, ужесточит ли регулятор контроль, — а в том, будет ли ваша компания готова к проверке.