152-ФЗ в 2025 году: новые штрафы, актуальные требования и пошаговый план соответствия

С 2024 года штрафы за нарушения закона о персональных данных выросли в разы. Теперь за утечку данных более 100 000 субъектов компании грозит штраф до 15 миллионов рублей, а при повторном нарушении — оборотный штраф до 3% годовой выручки.

Что изменилось с 2024 года

Поправки к 152-ФЗ, вступившие в силу в 2024 году, существенно ужесточили ответственность операторов персональных данных. Ключевые изменения:

• Оборотные штрафы за утечкиДо 3% годовой выручки за повторные нарушения. Для крупных компаний это сотни миллионов рублей.
• Уведомление об утечке за 24 часаОператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов после его обнаружения.
• Расширенный перечень биометрииГолосовые данные, данные о сетчатке глаза и другие биометрические параметры теперь требуют особой защиты.
• Ответственность руководителейАдминистративная ответственность распространяется теперь и на должностных лиц, не только на организацию.

Кто обязан соблюдать 152-ФЗ

Любая российская компания или иностранная организация, обрабатывающая персональные данные граждан РФ. Под это определение подпадают практически все: интернет-магазины, банки, клиники, юридические компании, HR-сервисы, мобильные приложения с регистрацией.

Особые требования предъявляются к операторам, обрабатывающим специальные категории ПД: медицинские данные, политические взгляды, национальность, биометрию.

Технические требования: чеклист 2025

Как проходит проверка Роскомнадзора

Плановые проверки проводятся раз в три года, внеплановые — по жалобам граждан или после утечек данных. Инспекторы запрашивают документацию: приказы о назначении ответственных, политику обработки ПД, перечень обрабатываемых данных, согласия субъектов, договоры с операторами-субподрядчиками.

Технические аспекты проверяются реже, но после крупных инцидентов регулятор всё активнее запрашивает документацию о применяемых мерах защиты.