В 2024 году в России зафиксирован рост объема утечек персональных данных более чем на 30% по сравнению с 2023 годом, при этом количество скомпрометированных записей превысило 1,58 миллиарда.
Ранее последствия утечек ограничивались проверками Роскомнадзора и предписаниями об устранении нарушений. С 30 мая 2025 года ситуация кардинально изменилась: за нарушения предусмотрены уголовные дела, отзыв лицензий, миллионные штрафы.
Основные законы и нормативные акты по защите персональных данных
Регулирование персональных данных в России основано на нескольких нормативных актах:
Закон № 420-ФЗ, вводящий оборотные штрафы и обязательное уведомление Роскомнадзора об утечках с 30 мая 2025 года;
ГОСТы и приказы ФСТЭК и ФСБ, регламентирующие технические меры защиты;
Постановление Правительства № 1236, запрещающее использование иностранного программного обеспечения в государственном секторе и стимулирующее переход на отечественные ИТ-решения.
Новые штрафы с 30 мая 2025 года
С 30 мая 2025 года значительно увеличиваются штрафы согласно ФЗ-420, где за нарушения в области обработки персональных данных:
1. Штрафы за отсутствие или несвоевременное уведомление Роскомнадзора о начале обработки персональных данных:
Физические лица — от 5 000 до 10 000 рублей;
Должностные лица — от 30 000 до 50 000 рублей;
Индивидуальные предприниматели — от 100 000 до 300 000 рублей;
Юридические лица — от 100 000 до 300 000 рублей.
2. Штрафы за утечку персональных данных в зависимости от масштаба и категории данных.
За утечку данных от 1000 до 10 000 человек:
Должностные лица государственного сектора и НКО — от 200 000 до 400 000 рублей;
ИП и организации — от 3 до 5 миллионов рублей.
3. За утечку специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимость):
Должностные лица — от 1 до 1,3 миллиона рублей;
Компании и индивидуальные предприниматели — от 10 до 15 миллионов рублей.
4. За нарушение порядка обработки биометрических данных:
Физические лица — от 400 000 до 500 000 рублей;
Должностные лица — от 1,3 до 1,5 миллиона рублей;
Организации и индивидуальные предприниматели — от 15 до 20 миллионов рублей.
5. При повторных нарушениях — утечку персональных данных
вводятся оборотные штрафы в размере от 1% до 3% годовой выручки компании.
при этом минимальный штраф не может быть меньше 20–25 миллионов рублей, а максимальный — не должен превышать 500 миллионов рублей (ч. 18 ст. 13.11 КоАП).
умышленное нарушение может повлечь за собой уголовное дело.
Обязанности при инциденте утечки персональных данных
В случае утечки персональных данных организация или индивидуальный предприниматель обязаны:
В течение 24 часов уведомить Роскомнадзор о факте утечки в свободной форме.
В течение 72 часов провести внутреннее расследование и направить повторное уведомление с результатами анализа инцидента.
Как менялось регулирование персональных данных в России за последние годы
Защита персональных данных в России начала развиваться с принятием закона №152-ФЗ «О персональных данных», который долгое время воспринимался как формальность. Компании создавали политику конфиденциальности и вели реестры обработки данных для формального соблюдения требований, однако реальные проверки и наказания были редкостью.
Со временем требования ужесточились: появилась обязательная локализация данных на территории РФ, Роскомнадзор начал активнее контролировать крупные компании, а также были введены первые штрафы и блокировки. Однако до 2025 года не было оборотных штрафов и уголовной ответственности за нарушения в области персональных данных.
Ключевым изменением стал закон № 420-ФЗ, вступающий в силу с 30 мая 2025 года. Он вводит оборотные штрафы за повторные утечки — от 1 до 3% от годового оборота компании. За утечку биометрических или медицинских данных предусмотрены штрафы до 20 миллионов рублей.
Также с декабря 2024 года действует статья 272.1 УК, предусматривающая уголовную ответственность за незаконное использование персональных данных.
Защита персональных данных в HR: меры для предотвращения утечек и штрафов
Для минимизации рисков штрафов и потери доверия рекомендуется использовать локальные (оn-рremise) ИТ-решения для обработки персональных данных, в том числе системы КЭДО. Это обеспечит полный контроль над собственной инфраструктурой и своими данными, которые не покинут пределов вашей компании (локальных серверов), что особенно актуально для организаций с критически важной информационной инфраструктурой и государственных компаний.
Облако — хорошо, но не для обработки персональных данных
Облачные сервисы всегда предполагают наличие доступа третьих лиц. Важно понимать, что в любой публичной облачной модели неизбежно сохраняется компонент «доступ провайдера». Даже если этот доступ ограничен и прописан в соглашении об уровне обслуживания (SLA), потенциальная уязвимость существует по умолчанию.
Именно по этой причине крупные работодатели, особенно в таких чувствительных отраслях, как финансы, государственный сектор, транспорт и ТЭК, все чаще переходят на локальные решения — архитектуру оn-рremise.
Почему выбор в пользу локальной сети оправдан? Локальная установка — это установка ПО непосредственно на серверах компании или внутри частного контура центра обработки данных (ЦОД). Такой подход обеспечивает полный контроль над физическим доступом, сетевой инфраструктурой, обновлениями, шифрованием и аудитом доступа. Другими словами — ответственный за сохранность данных выступает сама компания и ее служба ИТ, а не вендор или провайдер.
EmplDocs: безопасность с оn-рremise, как базовый стандарт
Учитывая рост регуляторных рисков и ужесточение требований к защите персональных данных, выбор системы кадрового электронного документооборота (КЭДО) — это не просто вопрос удобства, но и ответственности за сохранность данных сотрудников.
EmplDocs — изначально разработанных с учетом требований безопасности корпоративного уровня. Это локальное решение развертывается в инфраструктуре заказчика. Вы управляете всей системой, а не арендуете доступ у провайдера, вендора. Это критично для организаций государственного сектора, финансового сектора, отраслей с высоким уровнем риска, а также для всех, кто не готов передавать защиту персональных данных сторонним компаниям.
Платформа масштабируется на десятки и сотни тысяч сотрудников, интегрируется с 1С:ЗУП (1С:ЗГУ), 1С:ERP и позволяет организовать связку КЭДО между 1С:ЗУП и 1С:Документооборот.
Сертификация и соответствие ФСТЭК
EmplDocs полностью соответствует требованиям регуляторов, включая ФСТЭК, и включен в Единый реестр отечественного программного обеспечения. Это гарантирует:
Возможность использования в организациях с критически важной информационной инфраструктурой;
Соответствие требованиям по защите критически важной информации и персональных данных.
Одним из ключевых преимуществ EmplDocs является то, что безопасность не противоречит удобству использования. Интерфейс интуитивно понятен, процесс внедрения — быстрый, интеграция с существующей ИТ-инфраструктурой — предсказуемая.
Все операции КЭДО происходят исключительно в вашей базе 1С и недоступны посредникам. Кроме того, нет необходимости в синхронизации по расписанию — данные, которые сотрудник видит в личном кабинете, всегда актуальны, так как запрашиваются напрямую из вашей базы 1С. В результате специалист по кадрам, сотрудник и служба безопасности получают именно ту информацию, которая им необходима, сочетая безопасность и удобство.
Как выбрать систему автоматизации кадровых процессов?
Забирайте бесплатный чек-лист от экспертов!
Реклама: ООО «Эмплдокс», ИНН: 9721242901, erid: 2W5zFGp5wse
Начать дискуссию