Биометрические персональные данные (БПД) представляют собой биологические черты, призванные распознать личность. Банки и юрлица имеют право получать только фото лица и голосовую запись. Если они в этом нуждаются, то обязаны добиться от сотрудника или клиента его согласия в бумажном или электронном виде. После это принять меры по защите данных с последующей передачей в адрес государственной ЕБС (Единая биометрическая система). Пересылать их за пределы РФ запрещено. Гражданин вправе отозвать согласие на сбор, хранение и использование (в совокупности это называется обработкой) своей биометрии. Кстати, в этом году юрлица и ИП получили возможность оформлять ЭЦП с помощью БПД.

Впервые вводится уголовное преследование за использование и распространение биометрии вне закона. От штрафа максимум 700 тысяч рублей до лишения свободы до 5 лет. Наказать могут сотрудника банка, ЦБ, МФЦ, оператора ЕБС, иных организаций, которые работают с такими данными.

Кроме того с 30 мая 2025 года вводятся повышенные штрафы в этой сфере. Самые большие – за утечку. Для юрлиц предусмотрена ответственность в сумме от 15 до 20 млн рублей, а за повторное нарушение – оборотный штраф вплоть до 500 млн рублей. От 1 до 2 млн они заплатят в случае обработки данных без соответствующей аккредитации и от 500 тысяч до 1 млн – за отсутствие технических мер по их защите. Отдельные санкции предназначены для сотрудников и должностных лиц. Ранее административная ответственность существовала только при нарушениях в рамках размещения и обновления биометрии в Единой системе идентификации и аутентификации (ЕСИА).

Еще более широкий диапазон касается обычных личных данных, которые чаще называют персональными. Их могут собирать любые государственные и частные организации. К такой информации относятся имя и адрес проживания, семья, профессия, доходы и имущество и даже геномная информация. За незаконное разглашение, передачу третьим лицам, утечку уголовная ответственность может повлечь за собой штраф до 300 тысяч рублей вплоть до заключения на 4 года. До 10 лет, если деяние было совершенно в составе группы или имело тяжкие последствия. До 8 лет грозит тем, кто передал информацию за рубеж.

До 30 мая 2025 года за первичное нарушение при обработке личной информации юрлица наказываются от 60 до 100 тысяч рублей. После этой даты — от 150 до 300 тысяч. За повторное нарушение – соответственно 100-300 тысяч и 300-500 тысяч. Кроме того от 1 до 3 млн рублей грозит штраф, если юрлицо не уведомит Роскомнадзор об утечке. Более того это ведомство нужно оповещать о работе с персональными данными, иначе придётся заплатить от 100 тысяч до 300 тысяч рублей.

Предусмотрены и смягчающие обстоятельства. Среди них – наличие документального подтверждения соблюдения правил при защите персональных данных плюс непривлечение ранее к любой ответственности в этой сфере и вложения в кибербезопасность (как минимум – 0,1% от выручка за три года).

Кстати, весьма непросто придётся различным интернет-сервисам по поиску и «пробиву» личной информации о россиянах. Ведь за создание и администрирование подобных сайтов и каналов также предусмотрены меры. От штрафа в 700 тысяч рублей до лишения свободы до 5 лет. Некоторые из них уже сократили свой функционал.