В ноябре 2024 года в России заработали два закона, которые меняют всё для любого оператора персональных данных. 420-ФЗ от 30.11.2024 вводит оборотные штрафы до 3% выручки за утечку ПДн. 421-ФЗ от того же дня — уголовную ответственность до 10 лет лишения свободы. Эти законы уже действуют. Разбираем конкретные цифры, кому грозят и как снизить риски.
Что изменилось: до и после ноября 2024
До 420-ФЗ максимальный штраф за нарушение 152-ФЗ составлял 500 000 рублей. Это не стимулировало инвестиции в защиту ПДн — штраф был дешевле, чем серьёзный проект по ИБ.
С 1 декабря 2024 года (дата вступления в силу обоих законов) картина изменилась принципиально: за повторную утечку у крупного оператора штраф может составить сотни миллионов рублей.
Таблица штрафов по 420-ФЗ (ст. 13.11 КоАП)
Штрафы зависят от масштаба утечки — количества затронутых субъектов ПДн или идентификаторов.
Базовые штрафы (первичное нарушение)
| Масштаб утечки | Граждане | Должностные лица | Юридические лица |
|---|---|---|---|
| 1 000–10 000 субъектов | до 200 000 руб. | до 400 000 руб. | до 5 млн руб. |
| 10 000–100 000 субъектов | до 300 000 руб. | до 500 000 руб. | до 10 млн руб. |
| более 100 000 субъектов | до 400 000 руб. | до 600 000 руб. | до 15 млн руб. |
| Специальные категории ПДн | до 400 000 руб. | до 1,3 млн руб. | до 15 млн руб. |
| Биометрические ПДн | до 500 000 руб. | до 1,5 млн руб. | до 20 млн руб. |
Оборотные штрафы (повторное нарушение) — главная новация
Части 15 и 18 статьи 13.11 КоАП устанавливают штраф от 1 до 3% совокупной выручки за предшествующий год — при повторном нарушении.
| Вид нарушения | Минимум | Максимум |
|---|---|---|
| Повторная утечка (части 12–14) | 20 млн руб. | 500 млн руб. |
| Повторная утечка спецкатегорий/биометрии (части 16–17) | 25 млн руб. | 500 млн руб. |
Для компании с выручкой 10 млрд рублей 3% — это 300 миллионов. Для оператора связи или банка цифры выходят за миллиард.
Что засчитывается как «повторное нарушение»
Повторным считается нарушение, совершённое лицом, которое уже было наказано за утечку ПДн по частям 12–18 статьи 13.11 или по статьям 13.6, 13.12 КоАП. Срок, в течение которого лицо считается подвергнутым наказанию, — 1 год после исполнения постановления.
Практически это означает: первая утечка — до 20 млн. Вторая утечка в течение года — 1–3% выручки, минимум 20–25 млн.
Как снизить штраф: условия льготного расчёта
420-ФЗ предусматривает снижение штрафа по частям 15 и 18 до диапазона 15–50 млн рублей (вместо оборотного), если оператор одновременно выполняет три условия:
- Ежегодно тратил не менее 0,1% выручки на ИБ в течение 3 лет, предшествующих нарушению. Расходы должны приходиться на организации с лицензией ФСТЭК или ФСБ (либо оператор сам имеет такую лицензию).
- Документально подтверждено соблюдение требований к защите ПДн в течение 12 месяцев до выявления нарушения.
- Нет отягчающих обстоятельств (повторность первого уровня по части 13.11).
Это сильный стимул: разница между льготным расчётом и оборотным штрафом может составлять десятки и сотни миллионов рублей.
Уголовная ответственность по 421-ФЗ — новая статья 272.1 УК РФ
421-ФЗ вводит в Уголовный кодекс новую статью 272.1 — «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные».
Статья применяется именно к незаконно полученным данным: утечка через взлом, неправомерный доступ, иные незаконные способы.
Санкции по статье 272.1 УК РФ
| Состав | Наказание |
|---|---|
| Базовое (ч.1): незаконная передача/хранение обычных ПДн | До 4 лет лишения свободы |
| Квалифицированное (ч.2): спецкатегории, биометрия, ПДн несовершеннолетних | До 5 лет |
| При отягчающих (ч.3): корысть, сговор, служебное положение | До 6 лет + штраф до 1 млн руб. |
| Трансграничная передача (ч.4) | До 8 лет + штраф до 2 млн руб. |
| Тяжкие последствия или организованная группа (ч.5) | До 10 лет + штраф до 3 млн руб. |
Кто субъект уголовной ответственности: физическое лицо. Это означает: CISO, системный администратор, разработчик, допустивший незаконный доступ к ПДн или участвовавший в их передаче, может оказаться за решёткой.
Статья создана не для массового преследования — она направлена против организованных схем торговли базами данных и умышленных утечек. Но случайное нарушение с отягчающими обстоятельствами (например, служебное положение) тоже попадает под её действие.
Как связаны 420-ФЗ и 421-ФЗ
Законы дополняют друг друга. Если нарушение содержит признаки уголовно наказуемого деяния — оно переходит из КоАП в УК. Части 12–14 статьи 13.11 КоАП прямо исключают составы с признаками уголовного преступления из своей области применения.
Схема работает так:
- Утечка без умысла и организованности → КоАП (420-ФЗ): штраф до 500 млн руб.
- Утечка с умыслом / через взлом / с отягчающими → УК (421-ФЗ): до 10 лет лишения свободы
Кто в зоне риска
Под действие законов попадает любой оператор персональных данных — это практически любая организация в России. Но максимальные риски несут:
- Медицинские организации — спецкатегории ПДн (данные о здоровье), высокий объём
- Банки и финансовые организации — биометрия, финансовые ПДн, крупная выручка
- Ритейл и маркетплейсы — десятки миллионов субъектов
- Телеком-операторы — крупнейшие базы данных, высокая выручка
- HR-платформы, рекрутинговые сервисы — ПДн в большом объёме
- Госорганы — по особым правилам (санкции против должностных лиц, а не организации)
Что нужно сделать прямо сейчас
1. Пройти аудит соответствия 152-ФЗ
Зафиксируйте документально текущее состояние защиты ПДн. Это создаёт базу для применения льготного расчёта штрафа и доказывает соблюдение требований в случае претензий РКН.
2. Наладить учёт расходов на ИБ
Для льготного расчёта нужно документальное подтверждение расходов ≥0,1% выручки в год на протяжении 3 лет. Если эта история не ведётся — начать сейчас.
3. Настроить мониторинг утечек
Обнаружение утечки в первые минуты и правильное уведомление РКН в 24 часа могут сыграть важную роль при расследовании и оценке нарушения.
4. Разграничить ответственность
421-ФЗ бьёт по физическим лицам. CISO должен чётко понимать границы своих полномочий и иметь документальное подтверждение, что защита ПДн была организована надлежащим образом.
5. Автоматизировать управление соответствием
Ручной контроль 152-ФЗ не масштабируется. При наличии миллионов субъектов ПДн нужна система, которая отслеживает статус выполнения требований, фиксирует инциденты и готовит отчётность для РКН автоматически.
Как КиберОснова SGRC помогает снизить риски
Льготный расчёт штрафа по 420-ФЗ требует трёх видов доказательств: соответствие 152-ФЗ, расходы ≥0,1% выручки на ИБ за 3 года, уведомление РКН в срок. Без автоматизированной системы собрать эту доказательную базу до инцидента практически невозможно.
SGRC-платформа КиберОснова поддерживает полный цикл управления соответствием требованиям по защите ПДн — в том числе требованиям, выполнение которых снижает штрафные санкции по 420-ФЗ.
Соответствие требованиям защиты ПДн (152-ФЗ, Приказ ФСТЭК №21) Модуль «Защита ПДн» покрывает 317 из 317 требований Приказа ФСТЭК №21 — это 95% всей нормативной базы по защите ИСПДн. Платформа ведёт документальное подтверждение выполнения каждого требования.
Управление инцидентами и уведомление РКН Интеграция с регламентами уведомления РКН: при выявлении утечки система автоматически формирует уведомление в установленные сроки.
Документирование расходов на ИБ за 3 года Платформа структурирует и документирует мероприятия по ИБ в разрезе лицензиатов ФСТЭК и ФСБ — создаёт доказательную базу, необходимую для применения льготного расчёта штрафа.
Получить демо — покажем, как закрыть требования 152-ФЗ и Приказа №21 в рамках единой платформы.
Часто задаваемые вопросы
Что такое оборотный штраф за утечку персональных данных? Оборотный штраф — штраф, рассчитанный как процент от выручки компании. По 420-ФЗ при повторной утечке ПДн штраф составляет 1–3% совокупной выручки за предшествующий год, но не менее 20–25 млн рублей и не более 500 млн рублей.
С какой даты действуют оборотные штрафы за утечку ПДн? Федеральные законы 420-ФЗ и 421-ФЗ приняты 30 ноября 2024 года и вступили в силу 1 декабря 2024 года.
Какой максимальный штраф за утечку персональных данных в России? При первичной утечке — до 20 млн рублей (биометрия). При повторной — до 500 млн рублей (3% выручки). При наличии уголовного состава (421-ФЗ) — лишение свободы до 10 лет.
Как снизить штраф за утечку ПДн по 420-ФЗ? Снижение возможно при одновременном выполнении трёх условий: ежегодные расходы на ИБ ≥0,1% выручки в течение 3 лет, документальное подтверждение соблюдения требований 152-ФЗ за 12 месяцев до нарушения, отсутствие отягчающих обстоятельств.
Что грозит директору по ИБ при утечке ПДн? Должностные лица несут административную ответственность по КоАП. При наличии умысла или признаков уголовного деяния — уголовную ответственность по статье 272.1 УК РФ (421-ФЗ): до 6 лет при использовании служебного положения.
Связанные материалы: Защита персональных данных в КиберОснова · Приказ ФСТЭК №21: 317 требований к ИСПДн · Что такое SGRC
Практические последствия для операторов ПДн
Что изменилось для юридической службы и ИБ
С декабря 2024 года защита персональных данных перестала быть исключительно ИБ-вопросом — она стала вопросом финансовой устойчивости компании.
Для директора по информационной безопасности (CISO):
- Оборотный штраф создаёт прямую связь между состоянием защиты ПДн и финансовыми рисками компании
- Льготный расчёт штрафа требует документального подтверждения расходов ≥0,1% выручки на ИБ — это аргумент для увеличения бюджета ИБ
- При умысле или грубой халатности CISO лично несёт уголовную ответственность по статье 272.1 УК РФ
Для юридической службы:
- Необходим пересмотр договоров с подрядчиками, обрабатывающими ПДн (операторы и поручители)
- Заявление об утечке должно поступить в РКН в течение 24 часов — нужны заранее подготовленные процедуры
- Доказательная база для применения льготного расчёта должна готовиться заблаговременно
Для финансовой службы:
- Необходимо начать документировать расходы на ИБ в разрезе, подходящем для применения льготного коэффициента: расходы на лицензиатов ФСТЭК/ФСБ отдельно
Новые требования к уведомлению РКН
Одновременно с 420-ФЗ вступили в силу изменения в порядок уведомления Роскомнадзора (РКН) об утечках. Теперь обязательны два уведомления:
Уведомление 1 — в течение 24 часов: Факт утечки, предварительная оценка масштаба, причина (если известна).
Уведомление 2 — в течение 72 часов: Результаты расследования: количество затронутых субъектов, категории ПДн, принятые меры.
Нарушение сроков уведомления — отдельное основание для штрафа и отягчающее обстоятельство при рассмотрении дела об утечке.
Как 420-ФЗ влияет на отношения с подрядчиками
Ответственность оператора за поручителей
Оператор несёт ответственность за действия организаций, которым он поручил обработку ПДн (поручители по статье 6 152-ФЗ). Если утечка произошла у подрядчика — оператор в зоне риска штрафа по 420-ФЗ.
Практические меры:
- Включить в договоры с поручителями требования к защите ПДн и ответственность за утечки
- Провести аудит безопасности ключевых подрядчиков, обрабатывающих ПДн
- Требовать от поручителей документальное подтверждение соблюдения требований 152-ФЗ
Облачные провайдеры и SaaS-сервисы
При передаче ПДн в облако или SaaS-сервис оператор обязан убедиться, что сервис обеспечивает требуемый уровень защиты. Договор о совместной обработке или поручении должен содержать обязательства провайдера по безопасности.
Методика оценки риска оборотного штрафа
Для оценки реального финансового риска используйте следующий расчёт:
Шаг 1. Определите масштаб базы ПДн Сколько субъектов ПДн вы обрабатываете? Это определяет диапазон первичного штрафа.
Шаг 2. Оцените вероятность повторной утечки Была ли уже хоть одна утечка за последний год? Если да — следующая попадёт под оборотный штраф.
Шаг 3. Рассчитайте максимальный штраф Возьмите выручку за последний год × 3%. Это ваш максимальный риск при оборотном штрафе.
Шаг 4. Сравните со стоимостью инвестиций в защиту ПДн При выручке 500 млн руб. риск оборотного штрафа — 15 млн руб. Стоимость SGRC-платформы для закрытия требований 152-ФЗ — от 500 тыс. руб./год. ROI очевиден.
Как доказать выполнение требований для льготного штрафа
Льготный расчёт штрафа (15–50 млн вместо 1–3% выручки) требует документального подтверждения. Что конкретно нужно предоставить:
Расходы на ИБ ≥0,1% выручки за 3 года:
- Договоры с лицензиатами ФСТЭК и ФСБ (ТЗКИ, СКЗИ)
- Акты выполненных работ
- Счета-фактуры
- Выписки из бухгалтерского учёта в разрезе контрагентов с лицензиями
Соблюдение требований 152-ФЗ за 12 месяцев до нарушения:
- Действующие политики и регламенты по защите ПДн
- Акты проверки (внутренние или внешние аудиты)
- Технические меры: перечень применяемых СЗИ с сертификатами ФСТЭК
- Договоры с поручителями с требованиями по безопасности
SGRC-платформа КиберОснова ведёт доказательную базу в системе: фиксирует статус каждого из 317 требований Приказа №21, хранит акты и документацию, формирует отчёты о состоянии защиты ПДн на любую дату.
Заключение
420-ФЗ и 421-ФЗ принципиально изменили экономику защиты персональных данных в России. Первичная утечка может стоить до 20 млн рублей, повторная — сотни миллионов или лишение свободы для ответственных лиц. При этом закон прямо предусматривает снижение штрафа при документально подтверждённых инвестициях в ИБ и соблюдении требований — это сильный стимул для выстраивания реальных, а не формальных процессов защиты ПДн.
Запросите демо КиберОснова — оцените, как платформа обеспечивает документальную базу для льготного расчёта штрафа и снижает операционные риски 420-ФЗ.
Связанные материалы: ФСТЭК №21: 317 требований к ИСПДн · Защита ПДн в организации · Что такое SGRC
Сравнение штрафов: до и после 420-ФЗ
Чтобы понять масштаб изменений, достаточно одного сравнения:
| Ситуация | До 420-ФЗ (до 01.12.2024) | После 420-ФЗ |
|---|---|---|
| Утечка 10 000 ПДн | до 300 000 руб. | до 10 млн руб. |
| Утечка 100 000 ПДн | до 300 000 руб. | до 15 млн руб. |
| Повторная утечка | до 500 000 руб. | до 500 млн руб. (1–3% выручки) |
| Биометрия | до 500 000 руб. | до 20 млн руб. (первичная) |
| Умышленная утечка | штраф + КоАП | до 10 лет лишения свободы (421-ФЗ) |
Максимальный штраф вырос в 1000 раз. Это не преувеличение — 300 000 рублей против 500 млн рублей.
Разбор типичных сценариев
Сценарий 1: Утечка базы клиентов ритейлера (200 000 субъектов)
Первичная утечка: штраф до 15 млн рублей для юридического лица. Если в течение года — повторная утечка: 1–3% выручки. При выручке 1 млрд — 10–30 млн рублей. Итого: 15 + 30 = 45 млн рублей — плюс репутационные потери и стоимость уведомления субъектов.
Сценарий 2: Медицинская организация — утечка данных о здоровье (5 000 пациентов)
Спецкатегории ПДн: первичная утечка — до 15 млн рублей. Повторная — те же 1–3% выручки, минимум 25 млн. При этом данные о здоровье — дополнительный квалифицирующий признак для 421-ФЗ (уголовная ответственность по части 2).
Сценарий 3: Банк — утечка биометрических данных
Биометрия — максимальные санкции: первичная утечка до 20 млн, повторная до 500 млн. При выручке крупного банка 3% может составлять несколько миллиардов — потолок 500 млн становится актуальным.
Что такое «специальные категории ПДн» в контексте 420-ФЗ
Специальные категории ПДн (статья 10 152-ФЗ) — данные, требующие повышенной защиты:
- Данные о расовой или национальной принадлежности
- Политические взгляды и религиозные убеждения
- Состояние здоровья и интимная жизнь
- Сведения о судимостях
За утечку специальных категорий или биометрических ПДн установлены повышенные штрафы и дополнительные основания для уголовной ответственности по 421-ФЗ (часть 2).
Организации в сфере здравоохранения, страхования, кредитно-финансового сектора и HR-технологий обрабатывают спецкатегории ПДн — им необходимо уделять особое внимание защите этих данных.
Чек-лист готовности к требованиям 420-ФЗ
Используйте этот перечень для оценки текущего состояния:
Документация (для льготного расчёта штрафа):
- Действует политика обработки персональных данных (актуальная редакция)
- Ведётся реестр ИСПДн с классификацией по уровням защищённости
- Имеется модель угроз ИСПДн (актуализированная после 2022 года)
- Оформлены согласия на обработку ПДн по форме, соответствующей 152-ФЗ
- С подрядчиками, обрабатывающими ПДн, заключены договоры поручения с требованиями ИБ
Технические меры (подтверждение соблюдения требований 152-ФЗ):
- Применяются сертифицированные ФСТЭК СЗИ по требованиям Приказа №21
- Настроена система регистрации и учёта событий безопасности (аудит)
- Реализованы меры по управлению доступом (разграничение, МФА при необходимости)
- Проводится периодическая оценка соответствия (внутренний аудит ИСПДн)
Учёт расходов на ИБ (≥0,1% выручки за 3 года):
- Ведётся учёт расходов на ИБ в разрезе подрядчиков (лицензиаты ФСТЭК/ФСБ)
- Сохраняются первичные документы: договоры, акты, счета-фактуры
- Возможно подтвердить расходы за каждый из трёх предшествующих лет
Процедуры реагирования:
- Утверждён регламент реагирования на утечки ПДн
- Определена процедура уведомления РКН в течение 24 часов
- Сотрудники проинструктированы о порядке действий при обнаружении утечки
Неполная готовность по любому из пунктов — риск неприменения льготного расчёта штрафа и увеличения санкций. SGRC-платформа КиберОснова контролирует статус выполнения всех 317 мер Приказа ФСТЭК №21 автоматически.
Актуально на март 2026 года. Источники: 420-ФЗ, 421-ФЗ (вступили в силу 01.12.2024), 152-ФЗ, Приказ ФСТЭК №21.
