SAID, март 2026

420-ФЗ: оборотные штрафы за утечки персональных данных — что изменилось

30 мая 2025 года вступил в силу Федеральный закон №420-ФЗ, который увеличил штрафы за утечки персональных данных в сотни раз. Для компаний, использующих AI-инструменты, это создаёт новую категорию рисков, к которой мало кто подготовлен.

500 млн ₽ максимальный оборотный штраф

24 часа на уведомление РКН

в 100+ раз рост штрафов

25 млн ₽ минимум за повторную утечку

До и после: две эпохи ответственности

До принятия 420-ФЗ Россия была одной из немногих стран, где утечка персональных данных миллионов граждан каралась штрафом в 60-100 тысяч рублей. Для крупного бизнеса эта сумма была статистической погрешностью — дешевле было заплатить штраф, чем инвестировать в защиту данных. И многие именно так и поступали.

Результат предсказуем: Россия стабильно входила в тройку мировых лидеров по количеству утечек персональных данных. По данным InfoWatch, только в 2024 году было зафиксировано более 700 крупных инцидентов. Утечки стали настолько обыденными, что перестали попадать в заголовки — общество привыкло, а бизнес не видел финансовой мотивации что-то менять.

420-ФЗ изменил расстановку сил радикально. Закон, подписанный президентом 30 ноября 2024 года и вступивший в силу 30 мая 2025 года, ввёл дифференцированную систему штрафов, привязанную к масштабу утечки, и оборотные штрафы за повторные нарушения. Впервые защита персональных данных стала экономически значимым вопросом.

Новая шкала штрафов

420-ФЗ заменил единый фиксированный штраф дифференцированной системой, где сумма зависит от масштаба инцидента — количества субъектов персональных данных, чьи данные были скомпрометированы:

Масштаб утечки	Штраф (юрлица)
1 000 — 10 000 субъектов	3 — 5 млн ₽
10 000 — 100 000 субъектов	5 — 10 млн ₽
Более 100 000 субъектов	10 — 15 млн ₽
Биометрические данные	до 20 млн ₽
Повторное нарушение	1-3% выручки (мин. 25 млн, макс. 500 млн ₽)

Рост по сравнению с прежними нормами колоссален. Максимальный штраф вырос с 100 тысяч рублей до потенциальных 500 миллионов. Для компании с годовой выручкой 10 миллиардов рублей повторная утечка может обойтись в 100-300 миллионов — это уже сумма, которая меняет приоритеты на уровне совета директоров.

Оборотные штрафы: механизм расчёта

Оборотные штрафы — главное нововведение закона и его самый сильный инструмент давления. При повторном нарушении (в течение трёх лет после первого) штраф рассчитывается как процент от совокупной выручки компании за предшествующий календарный год. Диапазон — от 1% до 3%.

Закон устанавливает жёсткие рамки: не менее 25 миллионов и не более 500 миллионов рублей. Минимальная планка означает, что даже небольшая компания с выручкой 100 миллионов рублей при повторной утечке заплатит не менее 25 миллионов — четверть годовой выручки. Для стартапа или малого бизнеса это может означать банкротство.

Важный нюанс: «повторным» считается нарушение, совершённое в течение трёх лет после вступления в силу постановления о первом штрафе. Это создаёт длинное окно ответственности, в котором компания находится под повышенным риском.

24 часа: жёсткие сроки реагирования

420-ФЗ не только увеличил штрафы, но и радикально ужесточил требования к скорости реагирования на инциденты. Оператор персональных данных обязан:

В течение 24 часов с момента обнаружения утечки — уведомить Роскомнадзор о факте инцидента, его предварительном масштабе и первых принятых мерах
В течение 72 часов — представить расширенный отчёт с результатами внутреннего расследования, точным описанием скомпрометированных данных, причин инцидента и плана устранения последствий

За нарушение сроков уведомления предусмотрены отдельные санкции: для юридических лиц — от 1 до 3 миллионов рублей, для должностных лиц — от 400 до 800 тысяч рублей. То есть даже если компания устранила утечку, но промедлила с уведомлением, она получит дополнительный штраф.

Критически важно: 24-часовой срок отсчитывается с момента обнаружения утечки, а не с момента её фактического начала. Если инцидент обнаружен в пятницу вечером, уведомление должно быть отправлено до субботнего вечера — вне зависимости от выходных и праздников. Это требует наличия дежурной службы ИБ и готовых шаблонов уведомлений.

421-ФЗ и Указ №250: полная картина

420-ФЗ — лишь часть масштабной регуляторной реформы. Параллельно был принят 421-ФЗ, который впервые ввёл уголовную ответственность за незаконное использование, сбор и продажу персональных данных. Максимальное наказание — до 10 лет лишения свободы. Торговля базами данных, которая ранее была административным правонарушением с символическим штрафом, теперь стала уголовным преступлением с реальными сроками.

Указ Президента №250, принятый ещё в 2022 году, дополняет картину персональной ответственностью: руководитель организации лично отвечает за обеспечение информационной безопасности. Это означает, что генеральный директор не может сослаться на незнание технических деталей или делегировать ответственность начальнику ИТ-отдела.

В совокупности три нормативных акта создают полноценную систему ответственности: финансовые санкции для компании (420-ФЗ), персональная ответственность руководителя (Указ №250) и уголовное наказание для тех, кто умышленно причастен к утечке или торговле данными (421-ФЗ).

AI как канал утечки: новая реальность

Для компаний, интегрирующих AI-инструменты в рабочие процессы, 420-ФЗ создаёт принципиально новую категорию рисков. Закон не упоминает искусственный интеллект напрямую — но его нормы однозначно покрывают любую неконтролируемую передачу персональных данных третьим лицам. А именно это происходит при использовании облачных AI-сервисов.

Повседневные сценарии утечки

Рассмотрим ситуации, которые ежедневно воспроизводятся в тысячах российских компаний:

Служба поддержки: оператор копирует обращение клиента (ФИО, телефон, адрес, описание проблемы) в ChatGPT для быстрой генерации ответа
Разработка: программист вставляет фрагмент продакшн-базы данных с реальными пользователями в AI-ассистент для отладки SQL-запроса
HR: рекрутер загружает резюме кандидата в AI-сервис для автоматического скоринга
Аналитика: маркетолог отправляет выгрузку из CRM в облачный AI для сегментации аудитории
Юристы: юрист вставляет договор с персональными данными контрагента в AI для анализа условий

Каждый из этих сценариев — передача персональных данных третьему лицу (провайдеру AI-сервиса) без правового основания. С точки зрения 420-ФЗ, это утечка. Масштаб определяется совокупным количеством субъектов, чьи данные были переданы. Если служба поддержки за месяц обработала через ChatGPT обращения 5 000 клиентов — это утечка данных 5 000 субъектов, штраф от 3 до 5 миллионов рублей.

Shadow AI: утечка без ведома компании

Особую угрозу представляет shadow AI — использование AI-инструментов сотрудниками без ведома и санкции работодателя. Международные исследования показывают, что до 70% сотрудников, применяющих AI на работе, делают это самостоятельно, без корпоративной политики и контроля.

Компания может не подозревать, что её данные утекают через AI-сервисы, — но юридическую ответственность несёт именно она как оператор персональных данных. «Мы не знали» не является смягчающим обстоятельством: оператор обязан контролировать все каналы обработки данных, включая те, которые сотрудники создают по собственной инициативе.

Смягчающие обстоятельства: как снизить риск

Закон предусматривает возможность снижения штрафа при наличии документально подтверждённых мер защиты. Компания может рассчитывать на смягчение, если:

Инвестировала в информационную безопасность не менее 0.1% годовой выручки на протяжении трёх лет, предшествующих инциденту
Использует сертифицированные средства защиты информации
Оперативно уведомила РКН и субъектов данных в установленные сроки
Провела полноценное внутреннее расследование и устранила причины инцидента
Представила план мероприятий по предотвращению повторных нарушений

Эти смягчающие обстоятельства — сильный аргумент в пользу проактивного подхода. Инвестиции в безопасность сегодня — это не только предотвращение утечек, но и страховка от максимальных штрафов в случае инцидента. Разница между минимальным и максимальным штрафом может составлять сотни миллионов рублей.

Практическая подготовка

420-ФЗ вступил в силу, и каждая утечка оценивается по новой шкале. Компаниям необходимы конкретные шаги:

Формальная политика использования AI: документ, определяющий разрешённые и запрещённые сценарии использования AI-сервисов. Каждый сотрудник ознакомлен под подпись.
DLP на AI-каналах: системы предотвращения утечек должны контролировать обращения к ChatGPT, Claude, Copilot и другим AI-сервисам наравне с email и мессенджерами.
Классификация данных: маркировка персональных данных в информационных системах. Без классификации невозможно автоматизировать контроль.
Playbook реагирования: пошаговый сценарий действий при обнаружении утечки с готовыми шаблонами уведомлений РКН, привязанный к 24/72-часовым дедлайнам.
Инвентаризация AI: аудит всех AI-инструментов, используемых в компании, включая shadow AI. Оценка рисков по каждому.
Обучение: регулярные тренинги с конкретными примерами — «вставил ПДн клиента в ChatGPT = утечка = штраф от 3 миллионов».

Взгляд вперёд: AI и регуляторика

420-ФЗ — начало, а не завершение регуляторной трансформации. Очевидно, что следующий этап затронет AI напрямую. Вопросы, которые пока не имеют чёткого правового ответа, но неизбежно будут урегулированы:

Является ли обучение AI-модели на персональных данных обработкой в смысле 152-ФЗ?
Кто является оператором ПДн при использовании облачного AI: компания-заказчик или провайдер сервиса?
Как квалифицировать хранение ПДн в истории разговора с AI-ассистентом?
Распространяется ли требование о локализации данных (242-ФЗ) на AI-сервисы с зарубежными серверами?

Пока эти вопросы открыты, единственная разумная стратегия — максимально консервативная интерпретация: любая передача персональных данных в AI-сервис требует правового основания, согласия субъекта и технических мер защиты. Лучше перестраховаться сейчас, чем разбираться со штрафом потом.

Источники

Федеральный закон от 30.11.2024 №420-ФЗ «О внесении изменений в КоАП РФ» — КонсультантПлюс
Федеральный закон от 30.11.2024 №421-ФЗ «О внесении изменений в УК РФ» — КонсультантПлюс
Гарант.ру — «Оборотные штрафы за утечки персональных данных: что нужно знать» (май 2025)
RTM Group — «Анализ 420-ФЗ: практические последствия для бизнеса» (июнь 2025)
Указ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности»
InfoWatch — «Отчёт об утечках конфиденциальной информации в России, 2024»

Как SAID решает эту проблему

SAID (Safe AI Development) помогает компаниям адаптироваться к требованиям 420-ФЗ в контексте использования AI:

Правило классификации данных: автоматическая маркировка ПДн перед отправкой в AI-сервис — данные не уйдут незамеченными
Правило DLP на промптах: контроль содержимого запросов к AI на наличие персональных данных, биометрии, коммерческой тайны
Правило playbook-инцидентов: готовые шаблоны уведомлений РКН с привязкой к 24/72-часовым дедлайнам закона
Правило аудита AI: инвентаризация всех AI-инструментов в компании, включая shadow AI, с оценкой рисков утечки ПДн

420-ФЗ сделал защиту персональных данных финансово значимой. SAID делает её практически реализуемой.