Оборотные штрафы в сфере информационной безопасности — Контур.Эгида
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Управление HR‑процессами
Проверка контрагентов
Автоматизация бизнеса
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Главная
  2. Журнал
  3. Обзоры

Оборотные штрафы в сфере информационной безопасности

29 мая 2025

С 30 мая 2025 года вступает в силу Федеральный закон № 420-ФЗ, который усиливает ответственность юридических лиц, индивидуальных предпринимателей и должностных лиц за нарушение порядка обработки персональных данных. Эти изменения призваны предотвратить массовые утечки информации, ставшие серьезной проблемой в последние годы.

Фотография Надежда Запольских Надежда Запольских Менеджер продукта Контур.Безопасность

Почему персональные данные интересуют киберпреступников

Персональные данные представляют большую ценность не только для их владельцев, но и для злоумышленников. Использование утекших данных позволяет совершать мошеннические действия, продавать информацию на черном рынке или подрывать репутацию организаций. Компании, пострадавшие от утечек, могут столкнуться с потерей клиентской базы, ухудшением отношений с партнерами и снижением конкурентоспособности.

Основные способы утечек:

  • Уязвимости в программном обеспечении.
  • Действия инсайдеров — сотрудников, имеющих доступ к данным.
  • Социальная инженерия и манипуляции, направленные на получение конфиденциальной информации.

В 2024 году число атак с применением социальной инженерии значительно возросло. Только за третий квартал Центробанк зафиксировал более 20 тысяч подобных случаев.

Кому грозят оборотные штрафы

Под действие новых санкций подпадают:

Операторы персональных данных. В их число входят компании, обрабатывающие данные клиентов, такие как банки, телекоммуникационные компании, интернет-сервисы и другие организации, работающие с персональными данными.

Государственные учреждения и муниципальные органы. Например, образовательные или медицинские организации, администрации регионов и муниципалитетов.

Организации, работающие с критической информационной инфраструктурой (КИИ). Например, предприятия в сферах энергетики, транспорта, здравоохранения и других отраслях, где нарушение информационной безопасности может привести к серьезным последствиям.

Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.

Оставить заявку

Как изменятся оборотные штрафы с 30 мая 2025 года

В течение 2024 года Госдума рассматривала законопроект № 502104-8, который усиливает ответственность за утечки персональных данных. Итогом стало принятие Федерального закона № 420-ФЗ, вступающего в силу в мае 2025 года. Документ вносит значительные поправки в статью 13.11 КоАП РФ.

Основные нововведения:

  1. Введение штрафов за несообщение о факте утечки в Роскомнадзор.
  2. Усиление ответственности за утечки персональных данных, включая введение оборотных штрафов.
Нарушение До 30 мая 2025 года После 30 мая 2025 года
Несообщение об утечке - Юрлица: 1-3 млн руб.,должностные лица: 400-800 тыс.руб.
Подтвержденный факт утечки Юрлица: 60 — 100 тыс.руб. Юрлица: 3-5 млн.руб.
Повторная утечка Юрлица: 100-300 тыс.руб. От 1 до3% от выручки (не менее 20 млн руб)
Утечка биометрических данных - Юрлица: 15-20 млн руб

Дополнительно закон предусматривает снижение штрафа, если компания активно инвестирует в информационную безопасность и соблюдает требования по защите данных.

Кроме этого Федеральный закон № 421-ФЗ добавляет в УК РФ статью 272.1, усиливающую ответственность за незаконные действия с персональными данными.

Основные санкции:

  • Незаконный сбор и хранение данных — штраф до 300 тыс. руб. или лишение свободы до 4 лет.
  • Использование данных несовершеннолетних или биометрической информации — штраф до 700 тыс. руб. или лишение свободы до 5 лет.
  • Организованная преступная деятельность в этой сфере — штраф до 3 млн руб. или лишение свободы до 10 лет.

Как минимизировать риск получения оборотных штрафов

Основная причина утечек — ошибки сотрудников и инсайдерские угрозы. Каждая пятая утечка связана с действиями персонала, сознательными или неумышленными.

Чтобы минимизировать риск получения штрафов, необходимо внедрить комплексную систему защиты данных, включающую:

— анализ рисков и их ранжирование;

— разработка планов реагирования на инциденты;

— регулярные аудиты безопасности;

— разработку внутренних документов по защите информации;

— обучение сотрудников в области информационной безопасности;

— использование технических средств защиты. Например, использование современных технологий шифрования и контроля доступа данных, мониторинг сетевого трафика, защиту от вредоносного ПО и регулярное обновление программного обеспечения.

С чего можно начать уже сейчас

Подать уведомление в РКН. Если уведомление в Роскомнадзор ранее не направлялось, необходимо его подать. В случае если уведомление уже было подано, следует проверить, соответствует ли оно актуальной форме. Проверить очень легко, в новом уведомлении отражают цели обработки, ранее указывали информационные системы.

Проверить соответствует ли согласие на обработку персональных данных новым требованиям. В соответствии с законодательством, необходимо чётко указывать цель сбора данных в новой форме согласия. Для каждой цели нужно оформлять отдельное согласие. Также следует проверить, не запрашивается ли избыточная информация.

Обеспечить неограниченный доступ к Политике (положению) в отношении обработки персональных данных (один из способов это разместить на сайте)

Разместить уведомление на сайте о сборе файлов – cookie, если производится их сбор.

Фотография Надежда Запольских Надежда Запольских Менеджер продукта Контур.Безопасность

Другие статьи

Все статьи