Что вводит 420-ФЗ от 30.11.2024?

Федеральный закон №420-ФЗ от 30 ноября 2024 года переписал статью 13.11 КоАП РФ и ввёл отдельные составы за утечки персональных данных (части 12–18). Основные изменения: штрафы по обычным составам выросли по многим позициям в десятки раз; за утечки — фиксированные штрафы до 15–20 млн ₽, а за повторные — оборотные до 3% выручки или 500 млн ₽; обязанность уведомлять Роскомнадзор об утечке в течение 24 часов. Закон вступил в силу 30 мая 2025 года. Параллельно Федеральный закон №421-ФЗ от 30.11.2024 ввёл уголовную ответственность по статье 272.1 УК РФ (до 10 лет) за незаконный оборот персональных данных.

Что считается «утечкой» персональных данных?

По смыслу новых составов статьи 13.11 КоАП (части 12–18) утечка — это неправомерная передача, распространение, предоставление или доступ к ПДн неуполномоченному лицу. Это может быть: взлом базы данных и публикация данных в сети; ошибочная отправка таблицы клиентов по email не тому получателю; кража ноутбука сотрудника с базой клиентов; передача данных без согласия субъекта подрядчику. Не считается утечкой: передача данных уполномоченным сотрудникам внутри компании, передача по поручению обработки с надлежащим договором, передача в Государственные органы по запросу.

Как рассчитывается оборотный штраф?

За повторную утечку — оборотный штраф 1–3% годовой выручки оператора (часть 15 статьи 13.11 КоАП), но не менее 20 миллионов рублей (для специальных категорий и биометрии — не менее 25 млн) и не более 500 миллионов рублей. То есть для компании с выручкой 100 млн ₽ повторный штраф — минимум 20 млн (1% от 100 млн = 1 млн, но действует нижний порог). Для компании с выручкой 50 млрд ₽ — 3% это 1,5 млрд, но действует потолок 500 млн ₽.

Как уменьшить риск штрафа по 420-ФЗ?

Базовые меры: 1) проверить, выявляются ли утечки данных в принципе — настроить мониторинг доступа к базе клиентов; 2) внедрить технические меры защиты: шифрование, разграничение доступа, бэкапы; 3) подготовить incident response plan на случай утечки — кто, что и в каком порядке делает; 4) при утечке немедленно (в течение 24 часов) уведомить Роскомнадзор и пострадавших субъектов — это смягчающее обстоятельство. Для веб-сайтов первая мера защиты — устранение всех 14 типов нарушений, которые сами по себе могут привести к утечке.

420-ФЗ: оборотные штрафы до 500 млн ₽ за утечки ПДн (2026)

Q: Кому грозит уголовная ответственность?

Уголовную ответственность по статье 272.1 УК РФ ввёл Федеральный закон №421-ФЗ от 30.11.2024 (в силе с 11.12.2024). Она наступает за незаконные использование, передачу, сбор и хранение персональных данных, полученных неправомерно. Санкции по квалифицированным составам — вплоть до 10 лет лишения свободы (например, при трансграничной передаче); за базовые составы — штраф или лишение свободы на меньший срок. К ответственности привлекается физическое лицо — обычно сотрудник, непосредственно допустивший нарушение.

Федеральный закон №420-ФЗ от 30 ноября 2024 года — крупнейшее за последние годы изменение в законодательстве о персональных данных в России. Закон переписал статью 13.11 КоАП РФ, увеличив штрафы в десятки раз, и ввёл отдельные составы за утечки ПДн (части 12–18 ст.13.11) — вплоть до оборотного штрафа до 500 миллионов рублей или 3% годовой выручки за повторную утечку. Фиксированный штраф за первичную утечку для юрлиц — от 3 до 15 млн ₽ (для биометрии — до 20 млн), а нижний порог оборотного штрафа за повторную — 20 миллионов рублей (для специальных категорий и биометрии — 25 млн). Параллельно Федеральный закон №421-ФЗ от 30.11.2024 ввёл уголовную ответственность по статье 272.1 УК РФ (до 10 лет) за незаконный оборот персональных данных. Большинство положений вступили в силу 30 мая 2025 года, окончательно сформировав ту правовую среду, в которой работают операторы ПДн в 2026 году. Эта статья — структурный разбор закона: что именно изменилось, как считается оборотный штраф, кому грозит уголовная ответственность, какие меры incident response необходимы оператору при выявлении утечки. Источники: pravo.gov.ru, КонсультантПлюс, Гарант.

Проверьте свой сайт на риски утечек — бесплатно за 30 секунд ←

Структура изменений

420-ФЗ внёс правки в три кодекса:

КоАП РФ — статья 13.11 переписана; добавлены отдельные составы за утечки (части 12–18)
УК РФ — статья 272.1 (уголовная ответственность за незаконный оборот ПДн) введена сопутствующим 421-ФЗ от 30.11.2024
152-ФЗ — усилены обязанности по уведомлению об утечках; требование оформлять согласие отдельным документом с 1 сентября 2025 года добавлено отдельным 156-ФЗ от 24.06.2025

Большинство положений вступили в силу 30 мая 2025 года. Закон закрепил тенденцию резкого ужесточения санкций.

Часть 1. Базовые штрафы по ст. 13.11 КоАП — рост в 60–100 раз

До 30 мая 2025 года максимальный штраф по большинству составов был 50 000–100 000 ₽ для юрлиц. С 30.05.2025:

Обработка без согласия — до 700 000 ₽ (было 50 000)
Отсутствие политики — до 60 000 ₽ (было 30 000)
Неуведомление — до 300 000 ₽ (было 5 000)
Нарушение локализации (хранение данных россиян в РФ) — до 6 000 000 ₽

Полная таблица — в статье «Штрафы РКН в 2026».

Новые составы за утечки (части 12–18 ст.13.11 КоАП)

Это принципиально новые составы. Раньше за утечку привлекали по общим основаниям ст.13.11 (до 100 000 ₽) — теперь это отдельные тяжёлые составы.

Первичная утечка (части 12–14)

Объём утечки	Штраф юрлица
До 10 000 субъектов или 100 000 идентификаторов	3 000 000–5 000 000 ₽
10 000–100 000 субъектов или 100 000–1 млн идентификаторов	5 000 000–10 000 000 ₽
Свыше 100 000 субъектов или 1 млн идентификаторов	10 000 000–15 000 000 ₽

Повторная утечка — оборотный штраф (часть 15)

Принципиально новая концепция:

Минимум — 1% годовой выручки, но не менее 20 000 000 ₽ (для спецкатегорий и биометрии — 25 000 000 ₽)
Максимум — 3% годовой выручки, но не более 500 000 000 ₽

Пример расчёта:

Годовая выручка	Минимум (1%)	Максимум (3%)
50 млн ₽	20 млн ₽ (мин-уровень)	20 млн ₽ (мин-уровень)
500 млн ₽	20 млн ₽ (мин-уровень)	20 млн ₽ (мин-уровень)
1 млрд ₽	20 млн ₽ (мин-уровень)	30 млн ₽
10 млрд ₽	100 млн ₽	300 млн ₽
50 млрд ₽	500 млн ₽ (потолок)	500 млн ₽ (потолок)

Утечка специальных категорий ПДн (части 16–17)

Утечка биометрии, медицинских, расовых, политических данных — повышенные размеры: для юрлиц 10–20 млн ₽ за первичную (части 16–17) и оборотный штраф за повторную (минимум 25 млн ₽). Дополнительно — уголовная ответственность по ст.272.1 УК (введена 421-ФЗ).

Часть 3. Уголовная ответственность по ст. 272.1 УК РФ

Введена Федеральным законом №421-ФЗ от 30.11.2024 (в силе с 11.12.2024). Применяется к физическим лицам (например, к сотруднику, непосредственно допустившему нарушение).

Базовый состав

Незаконные использование, передача, сбор или хранение персональных данных, полученных неправомерно:

Штраф или принудительные работы
Или лишение свободы до 4 лет

Квалифицированные составы

С использованием служебного положения, группой, из корыстных побуждений, в отношении специальных категорий или биометрии, при трансграничной передаче — лишение свободы вплоть до 10 лет

К ответственности привлекается физическое лицо — обычно генеральный директор или сотрудник, непосредственно допустивший нарушение. Юридическое лицо отдельно — по КоАП.

Часть 4. Обязанность уведомлять РКН об утечке

Введена в 152-ФЗ. При обнаружении утечки оператор обязан:

В течение 24 часов уведомить Роскомнадзор о факте утечки
В течение 72 часов уведомить о результатах внутреннего расследования
Параллельно уведомить пострадавших субъектов ПДн (если возможно)

Несвоевременное уведомление — отягчающее обстоятельство, увеличивающее штраф за утечку (части 12–18 ст.13.11).

Часть 5. Согласие как отдельный документ (с 01.09.2025)

С 1 сентября 2025 года согласие на обработку ПДн не может быть частью договора, оферты, пользовательского соглашения. Это отдельный документ с самостоятельной подписью или активным действием (отдельный чекбокс).

Это означает: тысячи существующих сайтов с шаблонной фразой «нажимая кнопку, я соглашаюсь с условиями оферты, политикой обработки ПДн и согласием на обработку» автоматически нарушают требование. Правильно — отдельный чекбокс согласия на ПДн рядом с кнопкой submit.

Подробнее: «Предустановленная галочка согласия».

Что должен сделать оператор после 420-ФЗ

Минимум для микробизнеса

Проверить сайт на 14 типов нарушений — бесплатный сканер.
Подать уведомление в реестр операторов на pd.rkn.gov.ru, если ещё не подано: «Как уведомить РКН».
Опубликовать политику обработки ПДн по ст.18.1 — 6 разделов, HTML по постоянному URL.
Установить cookie-баннер opt-in и заменить предустановленные галочки в формах.
Удалить Google Analytics или подать уведомление о трансграничной передаче.

Для тех, кто не хочет править руками — готовый комплект документов за 4 990 ₽.

Дополнительно для среднего и крупного бизнеса

Технические меры защиты — шифрование баз данных, разграничение доступа, мониторинг неавторизованного доступа.
Incident response plan — порядок действий на случай утечки: кто, что и в какой срок делает.
Регулярные аудиты безопасности — раз в полгода.
Обучение сотрудников — особенно тех, у кого есть доступ к большим объёмам ПДн.
Кибер-страхование — может покрыть часть оборотного штрафа.

Заключение

420-ФЗ от 30.11.2024 — это не «новый закон о персональных данных», а кардинальное усиление существующих требований. Принципиальные изменения:

Штрафы выросли по многим составам в десятки раз
Появились отдельные составы за утечки (части 12–18) с оборотным штрафом до 500 млн ₽
Введена уголовная ответственность за незаконный оборот ПДн (ст.272.1 УК, 421-ФЗ)
Согласие должно быть отдельным документом (с 01.09.2025, 156-ФЗ)

Для большинства бизнесов 152-ФЗ перестал быть формальностью. С учётом автоматизированного мониторинга РКН, который активно расширяется, неисполнение требований всё чаще приводит к финансовым санкциям.

→ Проверить сайт на нарушения 152-ФЗ (бесплатно)

Источники: статья 13.11 КоАП РФ — утечки, 420-ФЗ, Гарант — обзор 420-ФЗ, КонсультантПлюс — изменения с 30.05.2025, ст. 272.1 УК РФ — введена 421-ФЗ.

Инцидент-менеджмент и реагирование на инциденты утечки ПДн

Правильное реагирование на инцидент утечки персональных данных является ключевым элементом защиты компании от крупных финансовых потерь и репутационных рисков. В соответствии с требованиями Федерального закона №152-ФЗ и новыми поправками 420-ФЗ, организации обязаны оперативно реагировать на любые случаи несанкционированного доступа или утраты данных.

План реагирования на инциденты (Incident Response Plan)

Для эффективного управления инцидентами необходимо разработать чёткий план действий, включающий следующие этапы:

1. Идентификация инцидента

Организация должна незамедлительно выявить факт утечки или несанкционированного доступа к персональным данным. Для этого рекомендуется внедрить систему мониторинга безопасности, которая позволит своевременно обнаруживать подозрительные активности.

2. Оценка масштаба инцидента

После выявления инцидента проводится оценка его масштабов и степени воздействия на безопасность данных. Это включает анализ количества пострадавших субъектов, типов утраченных данных и возможных последствий.

3. Изоляция угрозы

На следующем этапе необходимо изолировать источник угрозы, чтобы предотвратить дальнейшее распространение утечки и минимизировать ущерб. Важно ограничить доступ к системам и ресурсам, которые могут быть использованы злоумышленниками.

4. Уведомление уполномоченного органа и заинтересованных сторон

Согласно требованиям законодательства, организация обязана уведомить Роскомнадзор и всех затронутых субъектов персональных данных о произошедшем инциденте. При этом уведомление должно содержать информацию о типах утраченных данных, мерах, принятых для минимизации ущерба, а также контактные данные ответственного лица.

5. Анализ инцидента и расследование причин

После устранения непосредственной угрозы проводится детальное расследование причин произошедшего инцидента. На основе полученных результатов разрабатываются рекомендации по улучшению системы безопасности и предотвращению подобных ситуаций в будущем.

Практический пример плана реагирования

Ниже представлен шаблон плана реагирования на инциденты утечки персональных данных:

# План реагирования на инциденты утечки персональных данных

## Цели и задачи
...

## Ответственные лица
...

## Этап 1: Идентификация инцидента
...

## Этап 2: Оценка масштаба инцидента
...

## Этап 3: Изоляция угрозы
...

## Этап 4: Уведомление уполномоченного органа и субъектов
...

## Этап 5: Анализ инцидента и расследование причин
...

Пример уведомления Роскомнадзора

При уведомлении Роскомнадзора важно соблюдать определённые формальности и предоставить следующую информацию:

Дата обнаружения инцидента;
Тип утраченных данных (персональные данные граждан, биометрические данные и т.д.);
Количество пострадавших субъектов;
Возможные последствия инцидента;
Принятые меры по устранению угрозы и минимизации ущерба;
Контактные данные ответственного лица.

Проверка соответствия требованиям 152-ФЗ

Организации должны регулярно проводить аудит своей информационной системы и процессов обработки персональных данных с целью обеспечения их соответствия требованиям Федерального закона №152-ФЗ и новым поправкам 420-ФЗ. Для этого можно использовать специализированные чек-листы и руководства.

Чек-лист аудита информационной системы

Следующие пункты являются обязательными элементами аудита:

Наличие письменных политик конфиденциальности и обработки персональных данных;
Реализация технических мер защиты информации (шифрование, аутентификация пользователей);
Регулярное обучение сотрудников вопросам защиты персональных данных;
Проведение регулярных проверок и тестов на проникновение (penetration testing);
Наличие процедуры уведомления субъектов персональных данных и уполномоченных органов в случае утечки.

Заключение

Новые поправки к законодательству существенно ужесточают санкции за нарушение правил обработки персональных данных. Организации, игнорирующие эти изменения, рискуют столкнуться с серьёзными финансовыми потерями и репутационными рисками. Поэтому крайне важно своевременно адаптироваться к новым условиям и обеспечить высокий уровень защиты персональных данных своих клиентов и сотрудников.

420-ФЗ от 30 ноября 2024 года: оборотные штрафы до 500 миллионов ₽ за утечки персональных данных

Структура изменений

Часть 1. Базовые штрафы по ст. 13.11 КоАП — рост в 60–100 раз

Новые составы за утечки (части 12–18 ст.13.11 КоАП)

Первичная утечка (части 12–14)

Повторная утечка — оборотный штраф (часть 15)

Утечка специальных категорий ПДн (части 16–17)

Часть 3. Уголовная ответственность по ст. 272.1 УК РФ

Базовый состав

Квалифицированные составы

Часть 4. Обязанность уведомлять РКН об утечке

Часть 5. Согласие как отдельный документ (с 01.09.2025)

Что должен сделать оператор после 420-ФЗ

Минимум для микробизнеса

Дополнительно для среднего и крупного бизнеса

Заключение

Инцидент-менеджмент и реагирование на инциденты утечки ПДн

План реагирования на инциденты (Incident Response Plan)

1. Идентификация инцидента

2. Оценка масштаба инцидента

3. Изоляция угрозы

4. Уведомление уполномоченного органа и заинтересованных сторон

5. Анализ инцидента и расследование причин

Практический пример плана реагирования

Пример уведомления Роскомнадзора

Проверка соответствия требованиям 152-ФЗ

Чек-лист аудита информационной системы

Заключение

Частые вопросы

Проверьте свой сайт на нарушения 152-ФЗ

Похожие статьи

Политика, согласие, уведомление РКН: 3 разных документа — в чём разница

Согласие на фото ребёнка в детском саду и школе: образец 2026