Что изменилось в регулировании ПДн с 2025 года: новый взгляд на защиту данных

Изменения в законодательстве: новые требования к защите персональных данных

С 30 мая 2025 года операторы персональных данных (ПДн) будут нести повышенную ответственность за утечки и нарушения в сфере обработки информации. Федеральный закон №420-ФЗ от 30.11.2024 меняет подход к регулированию: теперь государство фокусируется не только на формальном соблюдении норм, но и на реальной защите данных. В противном случае могут наступать как административные, так и уголовные последствия. Подробнее о них поговорили в интервью с Галиной Гульназ Миратовной — техническим директором компании «ИТ Энигма», ведущего системного интегратора в области информационной безопасности на Южном Урале.

Оборотные штрафы

Одним из главных нововведений стали оборотные штрафы, которые рассчитываются как процент от годового дохода компании. Теперь размер наказания достигает 3% от оборота, но не более 500 миллионов рублей. Это делает тему защиты ПДн стратегически важной для любого бизнеса, особенно для тех, кто работает с большими объемами данных.

Ужесточение ответственности за утечку ПДн

Если произойдет неправомерная передача персональных данных, штрафы будут зависеть от масштаба инцидента:

• При утечке информации о людях в количестве от 1 до 10 тысяч данных штраф составит от 3 до 5 млн рублей.

• Если речь идет о специальных категориях данных (например, связанных со здоровьем или расовой принадлежностью), сумма увеличивается до 15 миллионов рублей.

• При утечке идентификаторов физических лиц (например, номеров СНИЛС или ИНН) в объеме от 10 до 100 тыс. записей — от 3 до 5 млн рублей для юрлиц и ИП.

Такие меры направлены на то, чтобы компании более серьезно относились к защите конфиденциальной информации и внедряли эффективные системы контроля.

Новые штрафы за неуведомление Роскомнадзора

Не менее значимое изменение — введение жесткой ответственности за несвоевременное или непредставление уведомлений в Роскомнадзор:

• Если организация не сообщила о намерении начать обработку ПДн, ей грозит штраф от 100 до 300 тыс. руб.

• За несообщение или задержку каждого уведомления об утечке — до 3 миллионов рублей.

Ранее такие ситуации могли повлечь лишь предупреждение или меньшие штрафы. Теперь же отсутствие прозрачности рассматривается как прямое нарушение, которое может стоить бизнесу миллионы.

Ответственность за отказ в использовании биометрии

Еще одно нововведение затрагивает право потребителей на выбор способа идентификации. Если компания откажет клиенту в заключении или исполнении договора только потому, что он не согласился использовать биометрию, ее могут оштрафовать:

• должностные лица и ИП — от 50 до 100 тыс. руб.;

• юридические лица — от 200 до 500 тыс. руб.

Ранее за подобные действия применялись гораздо более мягкие меры. Теперь же государство демонстрирует, что права субъектов ПДн находятся под усиленной защитой.

Введение уголовной ответственности

Еще один шаг — появление уголовной ответственности за незаконное использование персональных данных. Лица, виновные в неправомерном сборе, хранении или распространении ПДн, могут быть лишены свободы на срок до 10 лет. Это актуально для руководителей и сотрудников, принимающих решения в области работы с данными.

Запрет на использование решений из недружественных стран

Для организаций, входящих в число субъектов критической информационной инфраструктуры (КИИ), вводится запрет на использование сервисов кибербезопасности, разработанных в недружественных странах. Это требование усиливает необходимость использования сертифицированных решений, соответствующих стандартам Минцифры и ФСБ РФ.

Изменения в законодательстве показывают: работа с персональными данными больше не воспринимается как второстепенная задача. Государство усиливает контроль, вводя оборотные штрафы, уголовную ответственность и новые административные санкции.

Обязательные для организаций действия

Со вступлением в силу новых норм КоАП РФ компании обязаны до 30 мая 2025 года:

• Разработать и утвердить внутренние документы, регулирующие работу с персональными данными.

• Убедиться, что сбор и обработка личностных сведений ведутся на законных основаниях.

• Подать уведомление о начале обработки ПДн в Роскомнадзор.

• Создать и закрепить локальным актом алгоритм действий при утечке данных.

• Распределить обязанности между сотрудниками и определить порядок внутреннего расследования.

• Составить перечень используемых средств защиты информации и проверить их сертификацию.

• Собрать пакет документов, подтверждающих соответствие требованиям по защите ПДн.

Соблюдение этих мер не только поможет избежать штрафов, но и добиться их снижения в случае инцидента. Это возможно, если компания ежегодно направляла не менее 0,1% годового оборота на закупку сертифицированных решений, использовала лицензированные средства защиты информации и документировала все действия по обеспечению безопасности.

Почему важна система мониторинга

В условиях ужесточения законодательства по защите персональных данных (ПДн) компании вынуждены не просто декларировать заботу о безопасности, но и документировать каждое действие, связанное с обработкой информации. Именно здесь на помощь приходят современные системы онлайн-мониторинга, такие как «ИНСАЙДЕР». Они позволяют не только контролировать действия сотрудников, но и создавать четкую базу для проверок и внутренних расследований.

«ИНСАЙДЕР» — система мониторинга, контроля и комплексной оценки эффективности работы персонала, которая входит в Реестр российского ПО. Программа прошла все необходимые проверки и соответствует требованиям Постановления Правительства РФ от 16.11.2015 №1236 и от 23.03.2017 № 325. Среди них:

1. Отсутствие запрещенных иностранных компонентов. В программе полностью исключены технологии и элементы, запрещенные к использованию в РФ. Это особенно важно в условиях санкционного давления и ужесточения требований к информационной безопасности.

2. Законное использование всех технологий. Все применяемые в системе решения используются на правовых основаниях — через открытые лицензии и прозрачные лицензионные договоры. Это гарантирует юридическую чистоту продукта.

3. Полная локализация разработки, поддержки и обслуживания. Программа создана, развивается и поддерживается на территории России. Исходный код, техническая поддержка и сервисная помощь предоставляются российскими специалистами, что обеспечивает полное соответствие законодательству.

4. Доступность по всей территории РФ. «ИНСАЙДЕР» находится в свободной продаже и может быть использован всеми категориями организаций на территории России без ограничений.

5. Исключительные права принадлежат российским правообладателям. Авторские права на программу зарегистрированы в Роспатенте, где зафиксированы все необходимые данные об интеллектуальной собственности. Это подтверждает ее статус как отечественного продукта.

Благодаря локализации, отсутствию зарубежных зависимостей и регистрации прав на интеллектуальную собственность, «ИНСАЙДЕР» обеспечивает высокий уровень информационной безопасности для компаний, работающих с персональными данными.

Как «ИНСАЙДЕР» помогает соответствовать требованиям закона

С введением новых норм законодательства в сфере персональных данных компании обязаны не просто декларировать защиту информации, но и доказывать ее наличие на деле. Это требует не только технических решений, но и документального подтверждения всех действий сотрудников, связанных с обработкой ПДн.

29 мая | 15:00

ВЕБИНАР ОТ ТОТАЛЬНОГО КОНТРОЛЯ К ЭКОЛОГИЧНОЙ СИСТЕМЕ САМООРГАНИЗАЦИИ КОМАНДЫ

Расскажем о том, как экологично внедрить систему мониторинга и извлечь из этого пользу не только руководителям, но и сотрудникам.

Вас ждут взрывные идеи и ценные подарки, регистрируйтесь!

Зарегистрироваться

Особое значение приобретает возможность фиксировать инциденты, отслеживать действия персонала и предоставлять объективные данные в случае проверок или внутренних расследований. Именно здесь особенно эффективно работает система онлайн-мониторинга «ИНСАЙДЕР», которая помогает организациям соблюдать требования закона и минимизировать риски утечек.

Контроль действий сотрудников и фиксация инцидентов

Одной из главных задач организации стало предотвращение утечек ПДн, особенно тех, что происходят по вине сотрудников. Система «ИНСАЙДЕР» позволяет отслеживать:

• использование программ и сайтов;

• ввод текста через кейлоггер;

• посещение подозрительных ресурсов;

• взаимодействие с конфиденциальной информацией.

Это дает возможность заранее выявлять потенциальные угрозы — будь то передача данных посторонним или использование запрещенных сервисов хранения информации. Более того, любые действия сотрудников фиксируются в системе и могут быть представлены в качестве доказательств в случае проверки или судебного разбирательства.

Автоматические скриншоты и доказательственная база

Еще одна ключевая функция «ИНСАЙДЕР» — автоматическое создание скриншотов. Это позволяет не только понять, чем именно занимался сотрудник в определенный момент времени, но и собрать полную картину произошедшего в случае инцидента. В контексте новых требований законодательства это становится особенно важно: если компания сможет доказать, что осуществляла контроль за обработкой персональных данных и соблюдала меры защиты информации в своей информационной системе, это уже будет считаться мерой профилактики и защиты ПДн.

Кроме того, наличие визуальных доказательств снижает риск ошибочных обвинений и помогает провести объективное внутреннее расследование.

Учет рабочего времени и контроль доступа

Согласно новым нормам, организация обязана не только защитить данные, но и распределить ответственность между сотрудниками, а также документировать все этапы работы с ПДн. «ИНСАЙДЕР» решает эти задачи, фиксируя:

• периоды отсутствия за ПК;

• время начала и окончания работы;

• активность в корпоративных системах;

• факты использования запрещенных программ.

Такая информация позволяет не только повысить дисциплину и эффективность работы, но и точно определить, кто и когда имел доступ к конфиденциальным данным.

Поддержка внутреннего расследования и реагирования на утечки

В случае утечки персональных данных важно не просто сообщить об этом в Роскомнадзор, но и представить доказательства того, что компания приняла возможные меры для ее предотвращения. «ИНСАЙДЕР» помогает:

• оперативно выявить источник утечки;

• восстановить последовательность событий;

• предоставить неопровержимые доказательства инцидента;

• минимизировать юридические и финансовые последствия.

Система собирает данные в режиме реального времени, шифрует их и хранит в защищенной базе, что обеспечивает прозрачность и надежность всех действий сотрудников.

Эти возможности делают «ИНСАЙДЕР» важным элементом системы соответствия новому законодательству. Использование таких решений может стать основанием для снижения штрафов — ведь суд учитывает факт внедрения сертифицированных и лицензированных технологий.

Заключение

Работа с персональными данными в 2025 году становится не просто юридической обязанностью, а стратегическим элементом ведения бизнеса. Ужесточение законодательства, введение оборотных штрафов и уголовной ответственности за утечки ПДн меняют правила игры. Компании больше не могут позволить себе формальный подход к защите информации — теперь от этого зависит не только репутация, но и финансовое состояние, а в некоторых случаях — и свобода руководителей.

Готовиться к изменениям нужно уже сегодня. Инвестиции в защиту персональных данных — это не расходы, а вложение в будущее компании. Те, кто начнет действовать сейчас, избегут миллионных штрафов, смогут сохранить доверие клиентов и выстроить устойчивую систему управления рисками.

Получите демодоступ

Заполните форму и оцените возможности ИНСАЙДЕР

Получить демодоступ

Попробовать бесплатно

Воспользуйтесь 14-дневным триалом системы мониторинга работы персонала ИНСАЙДЕР и узнайте, чем заняты ваши работники на самом деле

Введите ваше имя *

Телефон *

E-mail *

Нажимая кнопку «Подписаться» я даю свое согласие на обработку персональных данных