Вас ждет штраф в 15 млн ₽, но мы знаем как этого избежать. Чек-лист внутри, изучайте и сохраняйте

В России вводятся новые нормы, ужесточающие ответственность за утечку персональных данных. Рассказываем что изменится, какие штрафы грозят, и что делать, чтобы не получить письма счастья.

С 30 мая 2025 года в России вступают в силу новые нормы, ужесточающие ответственность за утечку персональных данных. Новые требования предусматривают штрафы до 500 млн ₽ за нарушение правил защиты информации. Эти изменения крайне актуальны, поскольку владельцы сайтов, интернет-магазины, компании, работающие с клиентскими данными и другие операторы, теперь сталкиваются с реальными финансовыми и репутационными рисками в случае утечек.

Цель этого материала — предоставить чёткие рекомендации по соблюдению законодательства и защите данных.

Всем привет! Мы — команда Timeweb Cloud. Если кто-то ещё не в курсе, Timeweb Cloud — это облачная инфраструктура для разработки и бизнеса любого уровня. Развивайте приложения, веб-сервисы, онлайн-магазины, игры и вообще всё что угодно.

Новый закон №420‑ФЗ вводит понятие «оборотных» штрафов — санкции будут более серьёзными при повторных нарушениях. Закон требует, чтобы организации уведомляли Роскомнадзор об инцидентах в течение 24 часов с момента выявления утечки и в течение 72 часов сообщали о результатах внутренней проверки, что позволяет контролирующим органам оперативно реагировать на нарушения. Эти изменения, как официально заявлено, направлены на повышение ответственности компаний за защиту информации и стимулирование внедрения современных средств безопасности.

Новый закон устанавливает дифференцированную систему штрафов для юридических и должностных лиц в зависимости от масштабов утечки.

При этом распространение информации, включающей специальные категории персональных данных (например, биометрические данные), повлечёт штраф для юридических лиц до 15 млн ₽.
В случае повторных нарушений штрафы станут ещё строже: минимальный штраф для юридических лиц составит 20 млн ₽, а максимальный может достигнуть 500 млн ₽.

Новые требования охватывают практически все организации, которые обрабатывают персональные данные.

Каждая из этих структур обязана пересмотреть свои внутренние регламенты и усилить меры информационной безопасности, чтобы избежать возможных утечек и связанных с ними штрафов.

Начните с тщательного анализа всех данных, поступающих от пользователей. Важно понять, действительно ли вам необходим весь объём информации для нормальной работы сайта.

Закон требует минимизации сбора данных — это означает, что следует ограничиться только той информацией, которая непосредственно необходима для выполнения заявленных функций. Например, если на сайте собираются ФИО, контактные данные и другая личная информация, убедитесь, что каждый тип данных имеет законное основание для обработки и что пользователь дал на это явное согласие. Международный кодекс ICC/ESOMAR в разделе «Минимизация данных» рекомендует ограничивать сбор персональных данных только необходимыми для исследования сведениями, а Федеральный закон «О персональных данных» устанавливает, что обработка персональных данных должна проводиться с соблюдением этого принципа.

Следующий шаг — пересмотреть и обновить документы, регулирующие обработку персональных данных. Политика конфиденциальности должна ясно и подробно описывать, какие данные собираются, для каких целей они используются и кому могут передаваться.

Важно, чтобы содержание документа соответствовало требованиям Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», и чтобы в нём были отражены все изменения в порядке обработки данных, включая случаи трансграничной передачи информации, если вы на сайте используете, например, Google Analytics. Кроме того, необходимо обеспечить наличие актуальных форм согласия на обработку данных, где пользователь информирован о всех рисках и даёт своё согласие на обработку персональной информации.

Уделите особое внимание защите данных на техническом уровне. Внедрите современные методы шифрования, такие как HTTPS и TLS/SSL, чтобы гарантировать безопасность данных при передаче между сервером и пользователями.

Регулярно обновляйте программное обеспечение и проводите тесты на проникновение, чтобы выявить и устранить потенциальные уязвимости. Не забудьте рассмотреть возможность внедрения многофакторной аутентификации, что также является эффективной мерой защиты.

Оперативное обнаружение и реакция на инциденты — ключевой элемент современной системы безопасности. Настройте систему логирования, которая будет фиксировать все критичные события, связанные с обработкой данных, а также внедрите систему мониторинга, способную оперативно сигнализировать о подозрительной активности. Как пример, интеграция с системами SIEM (Security Information and Event Management) помогает существенно сократить время реагирования на киберинциденты.

Регулярный аудит — необходимое условие для соответствия требованиям нового законодательства. Проведите детальную проверку всех процессов, связанных с обработкой персональных данных (в том числе и хранением), чтобы убедиться, что они соответствуют установленным нормам. Важно не только выявить возможные слабые места, но и разработать план по их устранению. Назначьте ответственных сотрудников, которые будут курировать соблюдение мер безопасности, а также организуйте регулярное обучение персонала по вопросам защиты информации.

Основная причина — человеческий фактор. А далее идут технические сбои и недостаточный контроль над процессами. Небрежность сотрудников, ошибки при настройке систем безопасности и использование устаревших технологий зачастую открывают злоумышленникам возможность получить доступ к конфиденциальной информации.

Например, в 2023 году одна из крупнейших онлайн-площадок — Ozon — столкнулась с утечкой данных, в результате которой информация миллионов пользователей, включая ФИО, контактные данные и адреса доставки, оказалась скомпрометированной. Этот инцидент вынудил весь сектор электронной коммерции пересмотреть меры защиты и оперативно обновить IT-инфраструктуру.

В том же 2022 Альфа-Банк подвергся кибератаке, связанной с уязвимостью в системе интернет-банкинга. Доступ злоумышленников к данным клиентов привёл к утечке информации о нескольких тысячах пользователей.

Еще один яркий пример — инцидент в МТС в 2023 году. Через незащищённый API злоумышленники получили доступ к информации сотен тысяч абонентов.

Используйте современные протоколы HTTPS и TLS/SSL для защиты данных при передаче.

При хранении данных применяйте шифрование баз данных, чтобы даже при физическом доступе к серверу информация оставалась защищённой. Регулярное обновление программного обеспечения и оперативное устранение уязвимостей значительно снижают риск компрометации системы. Дополнительно, внедрение многофакторной аутентификации (MFA) повышает уровень безопасности административного доступа.

Также важно регулярно создавать резервные копии данных, чтобы быстро восстановить информацию в случае инцидентов, а системы обнаружения и предотвращения вторжений (IDS/IPS) помогут своевременно выявлять и реагировать на подозрительную активность.

Внутренние угрозы зачастую возникают из-за недостаточно строгих мер контроля доступа и недостаточной осведомлённости сотрудников о правилах работы с персональными данными. Важно обеспечить доступ сотрудников только к тем данным, которые необходимы для выполнения их служебных обязанностей для минимизации риска утечек. Внедрение многофакторной аутентификации и строгих процедур разграничения прав доступа существенно повышают безопасность.

Помимо технических мер, критически важна организация регулярного обучения хотя бы основам кибербезопасности всех работников. Необходимо также определить ответственность за защиту данных, назначив сотрудников, которые будут контролировать соблюдение внутренних политик и оперативно реагировать на инциденты. Комплексный подход позволяет снизить риск утечек, вызванных как случайными ошибками, так и преднамеренными нарушениями внутри организации.

Всё начинается с внедрения специализированных систем, таких как средства обнаружения и предотвращения вторжений (IDS/IPS). Такие технологии помогают оперативно фиксировать попытки несанкционированного доступа, блокировать подозрительный трафик и предотвращать атаки на сеть. Регулярное проведение тестов на проникновение (пентестов) и аудитов IT-инфраструктуры позволяет выявить слабые места до того, как злоумышленники смогут их использовать для получения доступа к персональным данным.

Если ваша компания сотрудничает с внешними подрядчиками, необходимо заключать с ними строгие договоры, где прописаны требования по безопасности данных, контроль за соблюдением мер защиты и ответственность за утечки. Совместные аудиты и проверки помогают убедиться, что подрядчики используют соответствующие стандарты и технологии защиты, что существенно снижает риск утечек через внешние сервисы. Такой комплексный подход обеспечивает надёжную защиту от внешних угроз, минимизируя вероятность успешной атаки и утечки конфиденциальной информации.

Контроль за соблюдением новых требований будет осуществляться, как вы уже догадались, Роскомнадзором. Конечно, всё с использованием автоматизированных систем мониторинга, анализа логов и плановых проверок. Органы контроля будут регулярно проводить выборочные и внеплановые аудиты.

При обнаружении несоответствий компании обязаны предоставить объяснения и устранить выявленные недостатки в установленные сроки. Повторные нарушения ведут к применению существенно более высоких штрафных санкций — от 20 до 500 млн рублей для юридических лиц. Такие меры, как утверждается, направлены на обеспечение максимальной ответственности за защиту персональных данных.

В заключение отметим: переход к новым стандартам защиты персональных данных — это вызов, который нельзя откладывать. Комплекс мер по обновлению политики конфиденциальности, усилению технической защиты, внедрению систем мониторинга и регулярному аудиту процессов обработки позволяет обеспечить надежную защиту информации и избежать штрафных санкций, установленных новым законом. А санкции весьма суровы.

Раз уж такая серьёзная тема сегодня затронута — просто рекомендуем — надёжная и безопасная облачная инфраструктура для разработки и бизнеса любого уровня 😉

Подписывайтесь на наш vc-блог — так вы ничего не пропустите, ведь впереди вас ждёт ещё много полезных и интересных публикаций.