С 30 мая 2025 года вступают в силу поправки в КоАП РФ, а с декабря 2024 — в УК РФ, существенно ужесточающие ответственность за нарушения в сфере персональных данных (ПДн). Новый регламент предусматривает не только увеличение штрафов, но и вводит отдельные санкции за массовые утечки, неуведомление Роскомнадзора, передачу биометрических и специальных категорий ПДн.

Административная ответственность теперь может применяться и к ИП, приравниваемым к юрлицам. Размер штрафов зависит от числа пострадавших субъектов и количества идентификаторов — уникальных данных о физлице. Также вводится уголовная ответственность за незаконное распространение ПДн, особенно в случаях трансграничной передачи или использования данных несовершеннолетних и БПДн.

Поправки определяют набор смягчающих обстоятельств, выполнение которых может снизить штрафы: затраты на ИБ, подтверждённое соблюдение мер защиты и отсутствие отягчающих факторов. Однако их реализация требует структурных изменений в управлении ИБ и пересмотра взаимодействия между DPO, бизнесом и руководством.

За 2024 год РКН зафиксировал 135 утечек, содержащих свыше 710 млн записей. При этом всё ещё отсутствует механизм проверки подлинности утёкших данных, что вызывает вопросы о правоприменении. Новые нормы знаменуют переход к более строгому регулированию обработки ПДн, где бизнесу придётся всерьёз инвестировать в защиту информации.