Штрафы могут до 3% от годового оборота фирмы. Точная сумма будет зависеть от количества утекшей информации, последствий утечки и расходов компании на информационную безопасность. Также новым законом предусматриваются и уголовные наказания. Получить реальный срок можно будет, если "утекут" биометрические данные, персональные данные несовершеннолетних, а также если суд докажет, что  раскрытие информации было совершено умышленно или по предварительному сговору. Закон вступит в силу с 1 марта 2025 года.

Штрафы будут различными и будут зависеть от вида персональных данных, которые были разглашены. Для физических лиц штрафы составят от 100 до 400 тысяч рублей, должностное лицо — от 200 до 600 тысяч рублей, юрлицо — от 3 до 15 миллионов рублей. Если человек пострадал от случайной или неправомерной утечки персональных данных, физлицо оштрафуют на 50–100 тысяч рублей, должностное лицо — на 400–800 тысяч рублей, юрлицо — на 1–3 миллиона рублей.

За повторную утечку персональных данных предусмотрены более жесткие наказания, в том числе и те самые оборотные штрафы. Например, если компания ежегодно выделяет не менее 1% годовой выручки на обеспечение информационной безопасности, максимальный штраф будет 50 миллионов рублей. То есть законодатели посчитали, что на кибербезопасность нужно не менее 1% оборота.  Такие показатели должны соблюдаться в течение трех календарных лет, предшествующих году, в который произошла утечка.

Также законом предусмотрена уголовная ответственность. До 4 лет лишения свободы — за незаконные использование, передачу, сбор и хранение персональных данных, если доступ к средствам их обработки был получен незаконно. До 5 лет тюрьмы или принудительных работ либо штраф до 700 тысяч рублей или в размере дохода за два года — за раскрытие информации о несовершеннолетних или утечку их биометрических данных. До 5 лет лишения свободы — за создание сайта или страницы для незаконного хранения и передачи персональных данных. До 6 лет лишения свободы, либо до 5 лет принудительных работ, либо штраф до 1 миллиона или в размере дохода за 3 года — за утечку информации по предварительному сговору группой лиц, или с использованием служебного положения, или в корыстных целях, с причинением крупного ущерба.. До 10 лет лишения свободы — за действия, которые повлекли тяжкие последствия либо совершённые организованной группой.

В примечании к новой статье 272 УК РФ уточняется, что она не будет распространяться на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.