Кейсы Полезные статьи Направления Тарифы О проекте
Войти Попробовать бесплатно

Новые штрафы за персональные данные с 30 мая 2025: что изменилось и что проверить

Олег Никитин 8 мин чтения

30 мая 2025 года вступил в силу федеральный закон 420-ФЗ, который трехкратно увеличил штрафы за нарушения 152-ФЗ (Закон о защите персональных данных). Если раньше максимальный штраф был 6 млн рублей, то теперь — до 18 млн рублей за повторное нарушение. Плюс появились оборотные штрафы за утечку: до 3% годовой выручки, но не более 500 млн рублей. И это еще не все — добавилась уголовная ответственность за нарушения с умыслом.

Если ваша онлайн-школа собирает данные клиентов через сайт — вы уже оператор персональных данных и автоматически попадаете под действие этого закона. Раньше штрафы казались абстрактными угрозами. Теперь это реальные числа, которые могут закрыть ваш бизнес.

Содержание:

  1. Что изменил закон 420-ФЗ
  2. Новая таблица штрафов: до и после
  3. Оборотные штрафы за утечку: как они считаются
  4. Уголовная ответственность за умышленные нарушения
  5. Топ-5 нарушений, которые нужно исправить прямо сейчас
  6. Чеклист экспресс-проверки вашего бизнеса

Что изменил закон 420-ФЗ

30 ноября 2024 года президент подписал закон 420-ФЗ, который с 30 мая 2025 года ужесточает ответственность за нарушения 152-ФЗ. Это не добавление новых требований — это увеличение штрафов до 3 раз и введение уголовной ответственности. Для владельцев онлайн-школ это означает: то, что казалось рисковым, теперь стало экономически опасным.

Закон коснулся двух главных статей:

Статья 13.11 КоАП РФ — административная ответственность за нарушения 152-ФЗ. Все штрафы выросли пропорционально: если раньше за первое нарушение было 300 000 рублей, теперь уже 600 000 рублей.

Статья 272.1 УК РФ — совершенно новая уголовная статья. Она предусматривает уголовное наказание за незаконное обращение с персональными данными, совершенное умышленно с целью причинения вреда или с грубым нарушением установленных требований.

Важный нюанс: уголовная ответственность наступает, только если нарушение совершено умышленно и причинило значительный вред. Случайное нарушение остается административным.

Новая таблица штрафов: до и после

После 30 мая 2025 года штрафы за нарушения 152-ФЗ выросли в 2-3 раза. Максимальный штраф увеличился с 6 млн рублей до 18 млн рублей за повторное нарушение за 12 месяцев.

Вот полная таблица изменений:

Нарушение Штраф до 30.05.2025 Штраф после 30.05.2025 Увеличение
Обработка без согласия субъекта 300 000 руб. 600 000 руб. 2 раза
Нарушение правил обработки (повтор в течение 12 мес) 30 000 — 60 000 руб. 300 000 — 600 000 руб. 10 раз
Нарушение при передаче данных третьему лицу 50 000 — 100 000 руб. 250 000 — 500 000 руб. 5 раз
Отсутствие уведомления в РКН о нарушении 100 000 — 300 000 руб. 300 000 — 900 000 руб. 3 раза
Утечка/нарушение при хранении данных (первый раз) 1 000 000 — 3 000 000 руб. 2 000 000 — 6 000 000 руб. 2 раза
Утечка/нарушение при хранении данных (повтор за 12 мес) 3 000 000 — 6 000 000 руб. 6 000 000 — 18 000 000 руб. 3 раза

Что это означает для вашей онлайн-школы

Представьте: вы работаете с детьми. На вашем сайте форма регистрации, где собираются имя, возраст, данные родителей, номер телефона. Это персональные данные. Если вы не получили согласие родителя на обработку — штраф 600 000 рублей (вместо 300 000 раньше).

Если РКН обнаружит, что вы уже получили штраф за подобное нарушение год назад, штраф за повторное может быть до 18 000 000 рублей.

Оборотные штрафы за утечку: как они считаются

Помимо фиксированного штрафа, РКН может наложить оборотный штраф — процент от вашей годовой выручки. За утечку данных это может быть до 3% выручки, но не более 500 млн рублей. Это означает, что крупные школы и продюсеры могут столкнуться с штрафами, превосходящими их годовую прибыль.

Как считается оборотный штраф

Закон указывает: штраф составляет не более 3% годовой выручки, но не менее определенной суммы и не более 500 млн рублей.

Пример: Ваша онлайн-школа зарабатывает 100 млн рублей в год. Обнаружена утечка данных 10 000 учеников. Штраф составит 3% × 100 млн = 3 млн рублей плюс потенциальный фиксированный штраф до 18 млн рублей. Итого: до 21 млн рублей.

Если выручка 2 млрд рублей, то 3% = 60 млн рублей, но максимум — 500 млн рублей.

500 млн руб.
максимальный оборотный штраф за утечку персональных данных

Как РКН определяет размер выручки

РКН запрашивает информацию из учетных данных вашей компании (налоговые декларации, бухгалтерские отчеты). Если вы ИП на УСН, выручка считается по доходам, указанным в налоговой декларации.

Избежать штрафа нельзя, но можно снизить его на 50%, если:

  • Сразу же (в течение 24 часов) уведомили РКН о нарушении
  • Приняли меры по устранению последствий
  • Установили, кто виноват (если это действие сотрудника)

Уголовная ответственность за умышленные нарушения

Новая статья 272.1 УК РФ впервые вводит уголовную ответственность за нарушения 152-ФЗ. Это не просто штраф — это потенциальный уголовный срок. Но важно: уголовка наступает только при умышленном действии и значительном вреде.

Что именно подпадает под уголовную ответственность

Статья 272.1 УК РФ предусматривает наказание за:

  1. Незаконное обращение с ПДн — когда вы умышленно обрабатываете данные без согласия, зная, что это запрещено
  2. Нарушения с грубым неподчинением требованиям 152-ФЗ — когда вы игнорируете требования закона, несмотря на предупреждение РКН
  3. Действия, причинившие значительный вред — вред должен быть доказан (финансовый, репутационный, ущерб правам граждан)

Наказания

  • До 2 лет лишения свободы или штраф до 500 000 рублей за первичное умышленное нарушение
  • До 5 лет лишения свободы или штраф до 1 000 000 рублей, если нарушение повторное или совершено группой лиц

В каких ситуациях это реально может произойти

Уголовка вступает редко, но есть реальные примеры:

  • Владелец онлайн-школы сознательно передал список 50 000 учеников посторонней компании без их согласия ради заработка на данных
  • После первого штрафа от РКН школа не исправила систему, и данные утекли снова
  • Техник школы случайно выложил базу данных в открытый доступ, и администратор, узнав об этом, скрыл инцидент вместо уведомления

Если это было случайно и вы сразу приняли меры — уголовка не грозит.

Топ-5 нарушений, которые нужно исправить прямо сейчас

После 30 мая 2025 года РКН усилила проверки. Вот пять самых частых нарушений, которые легко исправить до проверки.

1. Формы регистрации без согласия на обработку персональных данных

Что проверить: На каждой форме сбора данных (регистрация, оплата, подписка на новости) должен быть чекбокс со ссылкой на вашу политику конфиденциальности.

Чеклист формы согласия

  • ✓ Чекбокс НЕ предустановлен (галка пустая)
  • ✓ Текст согласия видимый, не в спойлере
  • ✓ Ссылка на полную политику конфиденциальности
  • ✓ Отдельный чекбокс для маркетинговых писем (если вы планируете рассылку)
  • ✓ Форма не отправляется, пока не отметить все обязательные чекбоксы

2. Google Analytics, Meta Pixel или другие западные трекеры на сайте

Что проверить: Откройте исходный код вашего сайта (Ctrl+U в браузере) и найдите:

  • google-analytics
  • gtag
  • Meta Pixel
  • facebook.com/tr

Все это — нарушение. Штраф: 1-6 млн рублей за каждый трекер.

Чем заменить: На Яндекс.Метрику, Рамблер.Топ Стат или другие российские сервисы.

Подробнее об этом — в нашей статье про Google Analytics.

3. Отсутствие уведомления в Роскомнадзор

Что проверить: Если на вашем сайте более 3000 пользователей ежемесячно, вы обязаны уведомить РКН. Срок — до регистрации на сайте через форму.

Если вы не уведомили, это нарушение. Штраф: 300 000 — 900 000 рублей.

Как проверить: Зайдите на pd.rkn.gov.ru и посмотрите, есть ли ваша компания в реестре операторов.

Инструкция для уведомления — здесь.

4. Нет политики конфиденциальности или она устаревшая

Что проверить: На сайте должна быть ссылка на полную политику конфиденциальности (не просто «ознакомиться», а полный текст документа, доступный всем).

В политике должны быть все 12 обязательных разделов по 152-ФЗ, включая:

  • Перечень обрабатываемых данных
  • Цели обработки
  • Сроки хранения
  • Права субъектов данных
  • Процедура уведомления РКН при утечке

5. Никаких мер против утечек (инцидент-менеджмент)

Что проверить: Есть ли у вас:

  • План действий при утечке данных
  • Лицо, ответственное за безопасность
  • Резервные копии данных
  • Журнал доступа к базе данных

Если случится утечка и окажется, что вы вообще не пытались защищать данные — штраф будет максимальным.

Что делать при утечке — полный гайд здесь.

Чеклист экспресс-проверки вашего бизнеса

Вы можете пройти эту проверку самостоятельно прямо сейчас:

Минут 5 — критические пункты

  • ✓ На главной странице есть ссылка на политику конфиденциальности (не в подвале, где ее не видно)
  • ✓ Все формы на сайте (регистрация, оплата, контакты) содержат чекбокс согласия
  • ✓ В исходном коде нет Google Analytics или Meta Pixel
  • ✓ Компания зарегистрирована в реестре РКН (если более 3000 пользователей в месяц)
  • ✓ Есть понимание, какие данные вы собираете и зачем

Часов 2 — средний уровень

  • ✓ Прочитана вся политика конфиденциальности (она актуальна? не копирована ли с другого сайта?)
  • ✓ Если работаете с детьми — понимаете требования к согласию родителей
  • ✓ Знаете, как удалить данные клиента по его просьбе
  • ✓ Есть договоры с сервисами, где хранятся данные (CRM, email-сервис, облако)
  • ✓ Сотрудники знают, что делать при утечке (24-часовая процедура)

Дня 1 — полный аудит

  • ✓ Проверена безопасность базы данных (логины, пароли, двухфакторная авторизация)
  • ✓ Хостинг находится на российском сервере (проверена IP-адреса)
  • ✓ Все сотрудники подписали NDA и документ об ответственности за ПДн
  • ✓ Есть план обучения сотрудников требованиям 152-ФЗ
  • ✓ Назначен ответственный за безопасность данных
  • ✓ Есть журнал обращений к базе данных (кто, когда, зачем получал доступ)

Связь между старыми статьями и новыми штрафами

Если вы уже опубликовали согласие на сайте — отлично, это снижает риск. Но важно:

Не хотите разбираться сами?

ЭдПрав проверит вашу онлайн-школу на соответствие 152-ФЗ и новым штрафным требованиям. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на апрель 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.

Не хотите разбираться сами?

ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.

Попробовать бесплатно →