30 мая 2025 года вступил в силу Федеральный закон N 420-ФЗ от 30 ноября 2024 года. Этот закон радикально изменил систему ответственности за нарушения в области персональных данных. Если раньше компании могли позволить себе «штрафной бюджет» в несколько сотен тысяч рублей, то теперь одна утечка способна уничтожить бизнес. Объясним, что именно изменилось и что это означает для вашей компании.
Что такое ФЗ-420 и зачем его приняли
ФЗ-420 — это поправки в Уголовный кодекс РФ, Кодекс об административных правонарушениях и ФЗ-152 «О персональных данных». Закон принят в ответ на участившиеся крупные утечки: только в 2023-2024 годах в сеть утекли данные десятков миллионов россиян из баз СДЭК, «Ашана», «Яндекса», медицинских учреждений и других организаций.
Государство решило: если штрафы не работают, нужно сделать их по-настоящему болезненными. Так появились оборотные штрафы и уголовная ответственность.
Важно понимать: ФЗ-420 не отменяет старые статьи КоАП — он добавляет к ним новые, более суровые санкции. Это означает, что в ряде случаев компании могут получить штраф одновременно по нескольким основаниям.
Три главных изменения ФЗ-420
Изменение 1: оборотные штрафы за утечки
Главное нововведение — штрафы, размер которых зависит от масштаба утечки и может достигать 500 миллионов рублей или 3% годовой выручки. Ранее максимальный штраф для юридического лица составлял 500 000 рублей.
Изменение 2: уголовная ответственность
Введена новая статья 272.1 Уголовного кодекса РФ «Незаконный оборот персональных данных». За незаконный сбор, хранение или распространение персональных данных в коммерческих целях теперь грозит лишение свободы до 4 лет. При отягчающих обстоятельствах — до 10 лет.
Изменение 3: ужесточение требований к уведомлению
Обязанность уведомить Роскомнадзор об утечке теперь жёстче регламентирована: 24 часа на предварительное уведомление, 72 часа на детальный отчёт. Нарушение этих сроков само по себе является отдельным правонарушением.
Новые штрафы по категориям нарушений
| Вид нарушения | Статья | Штраф для физлица | Штраф для юрлица |
|---|---|---|---|
| Утечка ПДн (1 000 — 10 000 субъектов) | 13.11 КоАП | 200 000 — 400 000 руб. | 3 — 5 млн руб. |
| Утечка ПДн (10 000 — 100 000 субъектов) | 13.11 КоАП | 300 000 — 500 000 руб. | 5 — 10 млн руб. |
| Утечка ПДн (свыше 100 000 субъектов) | 13.11 КоАП | 500 000 — 800 000 руб. | 10 — 15 млн руб. |
| Утечка спецкатегорий ПДн | 13.11 КоАП | 700 000 — 1 000 000 руб. | 15 — 20 млн руб. |
| Повторная утечка в течение года | 13.11 КоАП | до 2 000 000 руб. | до 500 млн руб. или 3% выручки |
| Несвоевременное уведомление РКН | 19.7 КоАП | до 5 000 руб. | до 300 000 руб. |
Кто теперь под особым риском
Медицинские организации
Клиники, лаборатории, страховые компании — все, кто хранит данные о состоянии здоровья граждан. Это специальные категории персональных данных, за утечку которых предусмотрен максимальный штраф в диапазоне от 15 до 20 миллионов рублей.
Интернет-компании и маркетплейсы
Базы данных покупателей в сотни тысяч и миллионы записей — это штрафной риск от 10 до 15 миллионов рублей за один инцидент.
Банки и финансовые организации
Финансовые организации обрабатывают данные о финансовом положении граждан. Это также специальные категории. Кроме того, они работают под двойным регуляторным давлением: ФЗ-152 и требования ЦБ РФ.
HR-службы и рекрутинговые агентства
Резюме содержат персональные данные, а нередко — и специальные категории (информация о здоровье, судимостях). Небрежное хранение резюмных баз теперь стоит очень дорого.
Что нужно сделать бизнесу немедленно
- Провести инвентаризацию всех баз данных, содержащих персональные данные
- Проверить наличие уведомления в Роскомнадзоре об операторе персональных данных
- Внедрить технические меры защиты: шифрование, разграничение доступа, логирование
- Создать процедуру реагирования на инциденты с персональными данными
- Назначить ответственного сотрудника или DPO (Data Protection Officer)
- Провести обучение персонала правилам работы с ПДн
Переходный период: чего ждать в 2026 году
В 2025 году Роскомнадзор активно проводил проверки и формировал правоприменительную практику. В 2026 году ожидается увеличение числа дел с оборотными штрафами: регулятор накопил опыт применения новых норм и ужесточает контроль. Особое внимание уделяется компаниям, которые уже получали штрафы по старым нормам и не устранили нарушения.
Вывод: ФЗ-420 превратил защиту персональных данных из «бумажной» обязанности в реальный бизнес-риск. Компании, которые не перестроят свои процессы, рискуют столкнуться со штрафами, способными поставить под угрозу само существование бизнеса.
