ФЗ №420-ФЗ в действии: краткий обзор и последствия для бизнеса

О каком законе идет речь

Мы рассматриваем Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 30.11.2024 № 420-ФЗ. Он существенно повышает штрафы за нарушения при обработке персональных данных (ПДн): в частности, вводит оборотные штрафы за утечку, а также кардинально меняет систему ответственности для компаний и должностных лиц.

Что именно изменил ФЗ №420:

1. Новые составы правонарушений. Операторы обязаны уведомлять регулятора не только о намерении обрабатывать ПДн, но и о фактах утечки или неправомерного доступа. Несоблюдение этих требований — отдельный штрафной состав.
2. Дифференциация штрафов по масштабу утечки. Размер ответственности теперь напрямую зависит от количества затронутых субъектов данных и числа идентификаторов. Чем крупнее утечка — тем выше штраф. В некоторых случаях он может достигать 500 млн рублей. 
3. Отдельные категории данных под особой защитой. Биометрические данные, сведения о здоровье и другие специальные категории требуют отдельного режима обработки. Их утечка влечет максимальные санкции для организаций и должностных лиц.
4. Подтверждение мер защиты как смягчающее обстоятельство. Закон впервые вводит возможность снижения штрафа, если оператор документально подтвердил выполнение мероприятий по ИБ и соблюдение требований к защите ПДн до выявления нарушения.

Почему были внесены изменения

Повод для реформы очевиден. Массовые утечки ПДн стали устойчивым явлением. При этом прежние меры административной ответственности не соответствовали масштабу ущерба — ни для граждан, ни для экономики.

До принятия закона ФЗ №420-ФЗ штрафы за нарушения в сфере персональных данных часто воспринимались как допустимые издержки. Законодатель признал этот подход неэффективным и сделал ставку на превентивную модель: чем выше риск для прав субъектов данных, тем строже ответственность оператора.

Новые размеры штрафов

ФЗ № 420-ФЗ существенно пересмотрел размеры административных штрафов, которые по ряду составов раньше не превышали 5 000 рублей. Например, если за неуведомление о намерении обрабатывать ПДн до 30.05.2025 года штрафовали на сумму до 5 000 рублей, то сейчас оператору грозит штраф уже в 300 000 рублей.

Существенно выросли штрафы и за другие нарушения. 

Невыполнение обязанности по уведомлению Роскомнадзора

Если оператор не сообщил об утечке или пропустил срок уведомления РКН, ему грозит штраф от 1 до 3 млн рублей (ч.11 ст.13.11 КоАП РФ). Напоминаем: уведомить Роскомнадзор об инциденте нужно в течение 24 часов с момента его выявления, а также в течение 72 часов отправить отчет о результатах расследования. 

Неправомерная передача данных в ограниченном объеме

Нарушения, которые стали причиной утечки ПДн от 1 000 до 10 000 субъектов либо от 10 000 до 100 000 идентификаторов, при отсутствии признаков уголовного преступления, влекут штрафы по ч.12.ст.13.11 КоАП РФ:

• для граждан — 100 000–200 000 рублей;
• для должностных лиц — 200 000–400 000 рублей;
• для юридических лиц — 3–5 млн рублей.

Утечка данных среднего масштаба. Если неправомерная передача затронула от 10 000 до 100 000 субъектов ПДн либо от 100 000 до 1 млн идентификаторов, применяется более строгая ответственность по ч.13 ст.13.11 КоАП РФ. Должностным лицам грозит штраф от 300 000 до 500 000 рублей, организациям и ИП — 5-10 млн рублей.

Массовая утечка ПДн

При утечке данных более 100 000 субъектов либо свыше 1 млн идентификаторов штрафы составляют (ч.14 ст.13.11 КоАП РФ):

• для граждан — 300 000–400 000 рублей,
• для должностных лиц — 400 000–600 000 рублей,
• для юрлиц и ИП — 10–15 млн рублей.

Повторные нарушения

Если оператор повторно допускает утечку (части 12–14, 16–18 статьи 13.11 КоАП РФ), санкции кратно возрастают. Для организаций штраф может составлять от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей. Для должностных лиц — до 1.2 млн рублей, для граждан — до 600 000 рублей (ч.15 ст.13.11 КоАП РФ). 

Утечка спецкатегорий данных

Неправомерная передача сведений, относящихся к спецкатегориям ПДн, влечет еще более серьезные штрафы после изменений по ФЗ №420-ФЗ в ст.13.11 КоАП РФ (ч.16):

• для граждан — 300 000–400 000 рублей,
• для должностных лиц — 1–1.3 млн рублей,
• для юрлиц — 10–15 млн рублей.

Утечка биометрии

За незаконную передачу биометрических ПДн предусмотрены максимальные меры административной ответственности (ч.17.ст.13.11 КоАП РФ):

• граждане — 400 000–500 000 рублей,
• должностные лица — 1,3–1,5 млн рублей,
• организации — 15–20 млн рублей.

Повторная утечка специальных или биометрических данных

В этом случае штраф для организаций рассчитывается как 1–3 % выручки, но не менее 25 млн рублей и не более 500 млн рублей. Должностные лица могут быть оштрафованы на сумму до 2 млн рублей, граждане — до 800 000 рублей (ч.18 ст.13.11 КоАП РФ).

Важно! ИП за утечку ПДн несут такую же ответственность, как и юридические лица. 

Последствия для бизнеса

После повышения штрафов по ФЗ № 420-ФЗ бизнес уже столкнулся с весьма болезненными последствиями.

Во-первых, выросли финансовые риски, сопоставимые с годовой прибылью. Для компаний среднего масштаба штраф в 10–15 млн рублей за утечку ПДн — это прямая угроза операционной устойчивости. В повторных случаях оборотные штрафы до 3% выручки фактически приравниваются к экономической катастрофе.

Во-вторых, усилилось внимание регулятора к самим фактам инцидентов, а не только к документам. Роскомнадзор запрашивает:

• логи доступа к системам;
• журналы реагирования на инциденты;
• внутренние расследования утечек;
• доказательства своевременного уведомления регулятора.

Отсутствие этих материалов уже приводит к отдельным составам правонарушений — даже если утечка была небольшой.

В-третьих, бизнес столкнулся с цепной реакцией последствий, где вместе со штрафом компанию ожидает внеплановая проверка Роскомнадзором, на которой могут быть выявлены сопутствующие нарушения. Как итог — несколько протоколов вместо одного.

Отдельная проблема — контрагенты и клиенты. Компании с утечками начали терять тендеры, банковское обслуживание и крупных заказчиков. В договорах все чаще появляются условия о подтвержденной системе защиты ПДн и праве на односторонний отказ при инциденте.

И, наконец, выросла личная ответственность. Штрафы для должностных лиц в сотни тысяч рублей сделали тему ПДн весомой проблемой директоров, ИТ-руководителей и DPO. 

Практические шаги для компаний: как избежать штрафов

Работает только системный подход. Формально составленные документы, как раньше, больше не спасают.

1. Подготовьте сценарий утечки заранее. У компании должен быть утвержденный порядок реагирования:

• кто фиксирует инцидент;
• кто проводит первичную оценку масштабов;
• кто и в какие сроки уведомляет Роскомнадзор;
• какие документы формируются по итогам.

Без этого почти гарантирован штраф по части 11 статьи 13.11 КоАП РФ.

2. Проверьте реальный объем обрабатываемых ПДн. Нужно понимать:

• сколько субъектов ПДн реально затронет утечка;
• сколько идентификаторов хранится в системах;
• какие категории данных обрабатываются;
• где данные дублируются (CRM, почта, резервные копии).

3. Пересоберите доступы. Практика показывает: утечки часто происходят не из-за хакеров, а из-за избыточных прав доступа. Что обычно проверяют:

• принцип «необходимого минимума»;
• увольнение сотрудников без отзыва доступов;
• отсутствие общего логина на отдел.

4. Актуализируйте работу с особыми категориями ПДн. Если вы обрабатываете спецкатегории или биометрию, нужны согласия субъектов на обработку, повышенные меры защиты и раздельные контуры хранения. Ошибки здесь самые дорогие.

5. Проведите стресс-аудит документов. Проверяются не сами файлы, а их применимость:

• соответствуют ли документы фактическим процессам работы с ПДн;
• совпадают ли цели в политике и в ИТ-системах;
• ознакомлены ли сотрудники с документами, есть ли доказательства этого.

Также мы рекомендуем назначить ответственного за организацию обработки ПДн из числа сотрудников, которые отлично разбираются в ФЗ от 27.07.2006 № 152-ФЗ. Если таких работников у вас нет, вы можете заключить договор со сторонней организацией. Помните, что ответственный должен не только правильно оформить документы, но и уметь взаимодействовать с Роскомнадзором, что крайне важно для успешного ведения бизнеса без предписаний и многомиллионных штрафов.