Утечки персональных данных сотрудников: законы, штрафы, изменения в 2025 году

Утечка персональных данных скорее не «инцидент», а кризис в современной организации. На весах не только штрафы, но и репутация, управляемость HR-процессов и доверие сотрудников. По данным аналитического центра, в 2024 году в России произошло значительное увеличение объема утечек персональных данных, рост в 2024 году составил больше 30% по сравнению с 2023 годом. Количество скомпрометированных записей превысило 1,58 миллиарда, что на 31,7% больше по сравнению с 2023 годом.

И если раньше последствия ограничивались проверкой от Роскомнадзора и предписанием «устранить», то теперь — это уголовное дело, отзыв лицензий, блокировка систем — в ежедневных заголовках в СМИ. Особенно, если речь идет о госкомпаниях, ИТ-интеграторах или крупных HR-сервисах.

Хорошая новость для тех, кто работает с персональными данными — обеспечить безопасность можно на уровне выбора технологического партнера. Особенно — в КЭДО-системах. Но, прежде чем говорить о решении, нужно понять, как мы пришли к текущей ситуации — и почему 2025 год стал поворотным.

Еще десять лет назад защита персональных данных в компаниях была, по сути, номинальной. ФЗ-152 «О персональных данных» существовал, но воспринимался скорее, как формальность: создавали политику конфиденциальности «для галочки», заполняли реестр Роскомнадзора, но никто всерьез не готовился к проверкам. Утечки не наказывались, виновные отделывались предупреждениями, а бизнес — отписками. Это была эпоха регуляторного оптимизма и низкой цифровой зрелости.

Затем началась фаза ужесточения. Сначала — обязательная локализация данных на территории РФ, затем — рост интереса Роскомнадзора к крупным компаниям (банки, ритейл, телеком). Появились первые значимые штрафы, первые блокировки, первые кейсы публичных расследований. Тем не менее, сама архитектура регулирования оставалась неясной: не было оборотных санкций, не было уголовной ответственности, не было жестких требований к системе обработки.

Решающая точка — закон № 420-ФЗ, вступающий в силу с 30 мая 2025 года. Именно он превращает прежние «рекомендации» в реальные риски — штрафы за повторные утечки теперь составят от 1−2% от оборота компании. За утечку биометрических или медицинских данных предусмотрены более суровые санкции — для организации в виде штрафа до 20 миллионов рублей (и в случае повторного нарушения штраф кратный обороту организации от 1 до 3%), а за умышленное нарушение — уголовное дело. Параллельно в декабре 2024 года вступила в силу статья 272.1 УК РФ, предполагающая ответственность (и даже тюремный срок) за незаконное использование персональных данных.

Регулирование персональных данных в России охватывает сразу несколько уровней нормативных актов: от федеральных законов до требований профильных ведомств.

Основу составляет Федеральный закон № 152-ФЗ «О персональных данных», дополняемый Законом № 149-ФЗ «Об информации», а также № 420-ФЗ, который с 30 мая 2025 года вводит оборотные штрафы и обязанность уведомлять Роскомнадзор об утечках.

Технические аспекты защиты регламентируются ГОСТами и приказами ФСТЭК и ФСБ, а Постановление Правительства № 1236 устанавливает запрет на иностранное ПО в госсекторе и поддерживает переход на российские ИТ-решения.

С 30 мая 2025 года вступают в силу ключевые изменения в сфере ответственности за работу с персональными данными. Федеральный закон № 420-ФЗ от 30.11.2024 значительно увеличивает штрафы за утечку персональных данных, а степень наказания зависит от характера и масштаба инцидента.

Наказания за нарушения в области обработки персональных данных стали не только более частыми, но и существенно дороже:

Перед тем как начать работу с ПДн, необходимо направить уведомление в Роскомнадзор. В случае отсутствия предварительного уведомления о начале обработки ПД в РКН предусмотрены следующие санкции:

С 2025 года действует система оборотных штрафов — сумма зависит от масштаба утечки и категории данных.

За незаконную передачу данных от 1 000 до 10 000 человек:

За утечку специальных категорий ПДн (здоровье, вероисповедание, судимость и пр.):

При повторных нарушениях сумма штрафа может достигать 500 млн рублей — минимальный порог начинается от 25 млн рублей (ч. 18 ст. 13.11 КоАП РФ).

В случае утечки персональных данных, организация или ИП обязаны:

До недавнего времени облачные решения казались универсальным ответом на все: ведь это быстро, гибко, недорого. Особенно в сфере HR и КЭДО, где SaaS-модели позволяли запускать кадровый документооборот за считанные дни.

Но стоит отметить то, что переходя в облако, многие компании подсознательно перекладывали ответственность на плечи внешних провайдеров: системных интеграторов, подрядчиков, SaaS-платформ. При этом экономили на собственных решениях по информационной безопасности, не актуализировали внутренние регламенты, не адаптировали политику ИБ под новые архитектуры, а часто и вовсе хранили персональные данные без должного порядка — без шифрования, контроля доступа или учета рисков.

Такая модель, основанная на доверии к провайдеру и формальном подходе к внутренним процессам, привела к росту масштабных и, главное, повторяющихся инцидентов за последние 2 года.

По данным Роскомнадзора, только за 2024 год было зафиксировано 135 инцидентов, связанных с утечкой персональных данных. В совокупности под угрозой оказались более 710 миллионов записей о гражданах России. Эти цифры наглядно демонстрируют масштаб уязвимости: когда информация утекает, под удар попадают не только бизнес-процессы и ИТ-системы, но и доверие клиентов, репутация компаний, а в отдельных случаях — стабильность государственных структур.

Приведем пример таких инцидентов:
1. Начало 2025 года, федеральная страховая компания: хакеры получили доступ к закрытому порталу, предназначенному для внутренних нужд сотрудников. В результате в сеть попали сотни тысяч записей с личными телефонами и email клиентов.

2. Февраль 2025 года, крупная государственная транспортная компания: выложена база с полумиллионом записей персональных данных сотрудников, включая табельные номера, отделы, контактную информацию и сведения о занимаемых должностях. Утечка произошла в результате фишинговой атаки и дальнейшего заражения рабочих станций.

Каждый такой случай — пример того, к чему приводит формальное отношение к информационной безопасности. В организациях может быть прописана политика защиты ПДн, но на практике — слабые точки в интеграциях, уязвимости в ИТ-процессах или хаотичный контроль доступа. Когда дело доходит до реального инцидента, именно такие «мелочи» оборачиваются масштабными утечками, уголовной ответственностью и репутационными потерями.

Также стоит обратить внимание на то, что в любой публичной облачной модели всегда остается компонент: «доступ у провайдера». Даже если он ограничен, даже если прописан в SLA. Это значит, что потенциальная уязвимость существует по умолчанию — и именно поэтому все крупные работодатели, особенно в чувствительных секторах (финансы, госсектор, транспорт, ТЭК), уже уходят в On-Premise архитектуру.

On-Premise — это локальная установка системы на серверах самой компании или внутри частного контура ЦОД. Вы контролируете физический доступ, сетевую архитектуру, обновления, шифрование и аудит доступа. Это фундамент, на который можно положиться в случае любой проверки — от Роскомнадзора до внутренних служб безопасности.

Более того, только On-Premise позволяет обеспечить соответствие критериям ФСТЭК и требованиям по защите государственной тайны (если это актуально для заказчика). В условиях изменений в нормативной базе это становится обязательным условием.

На фоне роста регуляторных рисков и ужесточения требований к защите персональных данных, выбор системы КЭДО — это не только вопрос удобства, но и ответственности в случае утечки ПД сотрудников. И EmplDocs — один из немногих продуктов на рынке, который изначально проектировался с расчетом требований к безопасности enterprise-уровня.

Платформа масштабируется на десятки и сотни тысяч сотрудников, интегрируется с 1С: ЗУП (1С: ЗГУ), 1С: ERP. Также возможна интеграция КЭДО между 1С:ЗУП и 1С:Документооборот.

EmplDocs соответствует требованиям регуляторов, в том числе ФСТЭК, и входит в Единый реестр отечественного ПО. Это означает:

Одна из ключевых ценностей EmplDocs — в том, что безопасность не идет вразрез с пользовательским опытом. Интерфейс интуитивен, onboarding быстрый, интеграции с действующей ИТ-инфраструктурой — предсказуемы. Все процессы КЭДО происходят исключительно в базе 1С и не доступны посредникам.

Кстати, именно поэтому тут не нужна синхронизация по расписанию — данные, которые сотрудник видит в своем личном кабинете всегда актуальны, потому что запрашиваются напрямую из вашей базы 1С. Это система, где все (кадровый специалист, сотрудник, специалист службы безопасности) получают то, что нужно — безопасность и удобство.

2025 год — время, когда вопрос обращения с персональными данными сотрудников это больше не внутренняя ИТ-рутина и не «дело службы безопасности». Это зона стратегической ответственности всего бизнеса, включая должностных лиц, кто эти данные принимает и обрабатывает.

Когда утечка касается внутренних данных — персонала, их паспортов, приказов об увольнении, медицинских сведений — это подрывает доверие коллектива, дает поводы для исков, а в госсекторе может повлечь за собой блокировку контрактов и проверки на всех уровнях.

Один инцидент — и вы можете потерять больше, чем просто штраф.
Проблема с ПДн — это удар, в первую очередь, по бренду работодателя. Даже если вы все уладили юридически, сотрудники запомнят, что их данные «уплыли», а в СМИ может просочиться информация об этом инциденте.

И, как мы видим, санкции за утечку персональных данных теперь рассчитываются не только в фиксированных суммах, но и в процентах от выручки. Это значит, что крупные работодатели автоматически попадают в зону повышенного риска.

Хранение и защита ПД — это не непосильная задача. С правильной архитектурой и инструментами, такими как EmplDocs, вы:

Инвестировать в безопасную КЭДО-систему — это верное решение и стратегия.