Роскомнадзор дал компаниям срок до 30 мая для добровольного уведомления об утечках персональных данных

По его словам, если утечка будет зафиксирована и зарегистрирована до 30 мая, то к нарушению применяются нынешние, менее строгие меры ответственности. В этом случае датой совершения правонарушения считается дата до 30 мая, и к ситуации будут применяться действующие на тот момент нормы. Вагнер уточнил, что составы правонарушений в сфере персональных данных являются формальными и не длящимися, а сроки их исчисляются с момента обнаружения.

С 30 мая 2025 года вступают в силу новые, ужесточенные меры: значительно увеличиваются штрафы — до 10 млн рублей, вводится оборотный штраф за повторные нарушения, а также административная ответственность за неуведомление Роскомнадзора о начале деятельности по обработке персональных данных. При этом игнорирование обязанности уведомить о начале обработки данных не освобождает от ответственности за саму утечку.

Дополнительно вводится ответственность за непредоставление уведомления об утечке, если данные были размещены в открытом доступе, в том числе на интернет-ресурсах. Такие инциденты будут трактоваться как новые составы нарушений, с соответствующими санкциями.

Вагнер подчеркнул, что размер штрафа теперь будет напрямую зависеть от объема утечки данных, и компаниям следует стремиться к минимизации объема обрабатываемых и хранимых персональных данных. Он отметил важность формирования внутрикорпоративной культуры защиты информации: "Если в компании считается нормальным, что каждый менеджер имеет доступ ко всей базе данных, то это признак неправильной организации работы с данными".

В марте 2025 года Роскомнадзор сообщал, что за первые два месяца текущего года было зафиксировано 19 утечек, в результате которых в открытый доступ попали более 24 млн записей о россиянах. Только за январь утекло почти 7 млн записей.