Штрафы Роскомнадзора за персональные данные в 2025 году

Ответственность за нарушение законодательства о персональных данных

Порядок работы с персональными данными регламентирован Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». За нарушение этого порядка предусмотрена административная, гражданско-правовая и уголовная ответственность.

В этой статье мы будем рассматривать только административную ответственность за нарушение персональных данных, поскольку Роскомнадзор действует именно в области административного права.

Основной вид административного наказания, предусмотренный за нарушения обработки персональных данных – это штраф. Его размер зависит от конкретного нарушения.

Основные статьи, на основании которых Роскомнадзор взымает штрафы за персональные данные в 2025 – это ст. 13.11 КоАП РФ, ст. 13.11.3 КоАП РФ.

С 30 мая 2025 года штрафы за персональные данные ужесточаются, также вводятся новые основания для привлечения виновных к ответственности (Федеральный закон от 30.11.2024 № 420-ФЗ).

Кроме указанных выше статей, к лицам, допускающим нарушения законодательства о персональных данных, могут применяться и некоторые другие статьи КоАП РФ, например, ст. 19.4, ст. 19.4.1, ст. 19.5, ст. 19.7 КоАП РФ.

Обратите внимание! Штраф может быть заменен на предупреждение, если нарушение, выявленное в ходе государственного контроля, совершено впервые и при этом соблюдены условия, перечисленные в п. 2 ст. 3.4 КоАП РФ (п. 2 ст. 4.1.1 КоАП РФ).

Субъекты административной ответственности

Ответственность за нарушения Закона о персональных данных возлагается на операторов персональных данных и их работников.

Оператор персональных данных – это государственный, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и осуществляют обработку персональных данных, определяют цели такой обработки, состав персональных данных, а также перечень совершаемых с ними действий (п. 2 ст. 3 Закона о персональных данных). При этом операторами указанные органы и лица являются независимо от включения их в реестр операторов персональных данных, который ведет Роскомнадзор.

Если вас интересует ответственность работодателя за нарушения в работе с персональными данными работников, вы найдете точный перечень всех нарушений и штрафов в системе КонсультантПлюс. Бесплатный доступ в КонсультантПлюс можно оформить на пробной основе по ссылке. Стоимость использования системы на постоянной основе можно запросить здесь.

Отметим, что индивидуальные предприниматели несут ответственность как должностные лица, если в КоАП РФ не предусмотрено иное (примечание к ст. 2.4 КоАП РФ).

Основания административной ответственности

Согласно Кодексу об административных правонарушениях РФ, ответственность операторов ПД наступает в случае:

• нарушения правил обработки персональных данных;
• обработки персональных данных без согласия их владельца;
• нарушения требований по защите персональных данных;
• нарушения при взаимодействии с владельцами персональных данных;
• нарушения при взаимодействии с Роскомнадзором;
• разглашения персональных данных, передачи их третьим лицам;
• иных нарушений правил обработки персональных данных.

Далее отдельно рассмотрим указанные группы нарушений.

Нарушение правил обработки персональных данных

Оператор ПД может быть привлечен к ответственности, если он нарушает правила обработки персональных данных, то есть обрабатывает персональные данные (п. 1 ст. 13.11 КоАП РФ):

• в случаях, не предусмотренных законом. Перечень случаев, в которых допускается обработка персональных данных, установлен в п. 1 ст. 6 Закона о персональных данных.
• в целях, несовместимых с целями сбора и обработки персональных данных. В организации должны быть заранее определены конкретные цели обработки персональных данных и все действия с персональными данными должны им соответствовать (п. 2, п. 5 ст. 5 Закона о персональных данных).

С 30 мая штрафы за обработку персональных данных будут взыматься в увеличенном размере.

Обратите внимание! С 30 мая 2025 года индивидуальные предприниматели привлекаются к ответственности по данному основанию как юрлица, то есть будут уплачивать штрафы в том же размере, что и юрлица.

Повторное нарушение – это нарушение, совершенное виновным лицом в течение года с момента вступления в законную силу решения о привлечении его к ответственности за первое деяние (ст. 4.6 КоАП РФ).

Обработка персональных данных без согласия владельца персональных данных

Ответственность оператора ПД по п. 2 ст. 13.11 КоАП РФ наступает, если обработка данных осуществляется:

• без письменного согласия их владельца, когда оно требуется

или

• на основании согласия, которое не соответствует установленным требованиям.

В 2025 году штрафы за персональные данные по данному основанию не изменились.

Обратите внимание! Согласие владельца персональных данных требуется далеко не всегда. Есть перечень случаев, когда в нем нет необходимости. Не требуется согласие на обработку персональных данных физлица в случаях, указанных в подп. 2 - подп. 11 п. 1 ст. 6 Закона о персональных данных (см. Письмо Минцифры России от 14.05.2024 № П25-12029-ОГ «Об обработке персональных данных без согласия субъекта персональных данных»).

Нарушения требований по защите персональных данных

Наказание грозит оператору ПД в том случае, если он не опубликует или не обеспечит иным образом неограниченный доступ к Соглашению о политике в отношении обработки персональных данных и не укажет какие требования по их защите он реализует (п. 3 ст. 13.11 КоАП РФ).

Ответственность наступит, если оператор ПД не обеспечит сохранность персональных данных при их неавтоматизированной обработке, и это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (п. 6 ст. 13.11 КоАП РФ).

Согласно п. 5 ст. 18 Закона о персональных данных, оператор ПД для записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ должен использовать только базы данных, находящиеся в России. В случае нарушения данного положения оператор ПД привлекается к ответственности по п. 8 ст. 13.11 КоАП РФ. За повторное нарушение ответственность наступает по п. 9 ст. 13.11 КоАП РФ.

Оператор ПД, являющийся государственным или муниципальным органом, обязан при обработке персональных данных обезличить их, используя методы по обезличиванию данных, утв. Приказом Роскомнадзора от 05.09.2013 № 996. Нарушение влечет штраф в размере от 6 000 до 12 000 руб. (п. 7 ст. 13.11 КоАП РФ). Наказанию подвергаются ответственные должностные лица госорганов.

Нарушения при взаимодействии с владельцами персональных данных

Невыполнение оператором ПД обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его данных влечет ответственность по п. 4 ст. 13.11 КоАП РФ.

Невыполнение оператором ПД в установленные сроки требования владельца персональных данных (его представителя) об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки наказывается штрафом по п. 5 ст. 13.11 КоАП РФ.  Повторное нарушение карается штрафом в большем размере (п. 5.1 ст. 13.11 КоАП РФ).

Нарушения при взаимодействии с Роскомнадзором

К административной ответственности при взаимодействии с Роскомнадзором могут привлечь, если оператор ПД:

• не представит информацию, запрошенную в порядке п. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ). Наказание - предупреждение или штраф: для граждан в размере от 100 руб. до 300 руб.; для должностных лиц - от 300 руб. до 500 руб.; для юрлиц - от 3 000 руб. до 5 000 руб.
• не выполнит в срок предписание Роскомнадзора об устранении нарушений (п. 1 ст. 19.5 КоАП РФ). Наказание - штраф для граждан в размере от 300 руб. до 500 руб.; для должностных лиц - от 1 000 руб. до 2 000 руб. или дисквалификация на срок до 3-х лет; для юрлиц - от 10 000 руб. до 20 000 руб.
• будет препятствовать проведению проверки либо уклоняться от нее (п. 1 ст. 19.4.1 КоАП РФ). Наказание - штраф для граждан в размере от 500 руб. до 1 000 руб.; для должностных лиц - от 2 000 руб. до 4 000 руб.; для юрлиц - от 5 000 руб. до 10 000 руб.
• не выполнит требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (п. 5 ст. 13.11 КоАП РФ).

С 30 мая 2025 года ст. 13.11 КоАП РФ дополняется специальными основаниями для привлечения операторов ПД к ответственности (п. 10, п. 11 ст. 13.11 КоАП РФ). Штрафы для операторов персональных данных предусматриваются в случае неуведомления Роскомнадзора о начале обработки персональных данных или об утечке персональных данных.

Неуведомление Роскомнадзора о начале обработки персональных данных

Представлять уведомление о начале обработки персональных данных в Роскомнадзор должны организации, ИП и физлица, собирающие и обрабатывающие персональные данные (ст.22 Закона о персональных данных). Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180.

За непредставление или несвоевременное представление в Роскомнадзор уведомления об обработке персональных данных штраф будет взыматься в следующих размерах (п.10 ст. 13.11 КоАП РФ):

Неуведомление Роскомнадзора об утечке персональных данных

При обнаружении утечки персональных данных оператор ПД должен в течение 24 часов сообщить об этом в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (п. 3.1 ст. 21 Закона о персональных данных).

В случае нарушения данной обязанности оператор ПД будет привлечен к ответственности по п.11 ст.13.11 КоАП РФ. Размеры штрафов составят: 

Штраф за утечку персональных данных

С 30 мая 2025 года введены штрафы за утечку персональных данных – их неправомерную передачу третьим лицам. Размер штрафа за нарушение персональных данных будет зависеть от объема нарушений (п. 12 – п. 16 ст. 13.11 КоАП РФ).

Если незаконно переданы данные от одной до десяти тысяч человек

Неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек и (или) от 10 000 до 100 000 идентификаторов повлечет наложение штрафа в размере (п.12 ст.13.11 КоАП РФ).

Идентификатор – это уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (п. 4 Примечания к ст. 13.11 КоАП РФ).

Если незаконно переданы данные более десяти тысяч и до ста тысяч человек

Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек и (или) от 100 000 до 1 млн идентификаторов повлечет наложение штрафа в размере (п.13 ст.13.11 КоАП РФ):

Если незаконно переданы данные более ста тысяч человек

За незаконную передачу третьим лицам персональных данных более 100 000 человек и (или) более 1 млн идентификаторов полагается штраф в размере (п.14 ст.13.11 КоАП РФ):

При назначении наказания за повторную утечку персональных данных будут учитываться определенные отягчающие обстоятельства (п. 5 Примечания к ст. 13.11 КоАП РФ). Например, отягчающим будет считаться отсутствие реакции лица, допустившего утечку персональных данных, на требование уполномоченного лица прекратить противоправное поведение (подп. 1 п. 1 ст. 4.3 КоАП РФ).

Утечка персданных специальной категории

Кроме того, наказание грозит оператору ПД за утечку информации, включающей специальную категорию персональных данных (п. 16 ст. 13.11 КоАП РФ).

Специальные категории персональных данных – это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ст. 10 Закона о персональных данных).

Штраф Роскомнадзора за утечку биометрических персональных данных

С 30 мая 2025 года отдельные штрафы вводятся за незаконную передачу третьим лицам биометрических персональных данных (п. 17 ст. 13.11 КоАП РФ). Биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, например, отпечатки пальцев, рисунок сетчатки глаза, овал и строение лица и т.п. (п. 1 ст. 11 Закона о персональных данных).

Размер штрафа за утечку биометрических персональных данных:

При назначении наказания за повторную утечку персональных данных будут учитываться определенные отягчающие обстоятельства (п. 5 Примечания к ст. 13.11 КоАП РФ). Например, продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его (подп. 1 п. 1 ст. 4.3 КоАП РФ).

Нарушение требований по размещению биометрических персональных данных

Порядок и требования к размещению сведений в единой биометрической системе и в единой системе идентификации и аутентификации регламентированы ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ.

Нарушение банками, многофункциональными центрами, иными организациями требований по размещению и обновлению биометрических персональных данных субъектов персональных данных в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (Единая биометрическая система), влечет наложение административного штрафа:

С 30 мая 2025 года предусматриваются новые составы нарушений, связанные с размещением и обработкой биометрических персональных данных в Единой биометрической системе и иных информационных системах (п. 2 – п. 4 ст. 13.11.3 КоАП РФ).

Нарушение порядка обработки биометрических данных

Пунктом 2 ст. 13.11.3 КоАП РФ предусмотрено, что нарушение порядка обработки биометрических персональных данных в единой биометрической системе, векторов единой биометрической системы в информационных системах госорганов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных физлиц, влечет наложение штрафа в размере:

Непринятие мер по обеспечению безопасности биометрических персональных данных

Согласно п. 3 ст. 13.11.3 КоАП РФ непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в единой биометрической системе, ее взаимодействии с иными информационными системами, в том числе в информационных системах аккредитованных госорганов, влечет наложение штрафа в размере:

Обработка биометрических персональных данных без аккредитации

Согласно п. 4 ст. 13.11.3 КоАП РФ обработка биометрических персональных данных, векторов единой биометрической системы для аутентификации физлиц в информационных системах госорганов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена, влечет наложение штрафа в размере:

Нарушения в работе с персданными потребителей

Отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом последнего предоставить персональные данные, за исключением случаев, если предоставление персональных данных является обязательным или связано с исполнением договора с потребителем влечет штраф (п. 7 ст. 14.8 КоАП РФ):

С 30 мая 2025 года отказ обслуживать потребителя, который не захотел подтверждать свою личность с помощью биометрии влечет штраф (п. 8 ст. 14.8 КоАП РФ):

Итоги

Таким образом, законодательство в отношении персональных данных постоянно меняется, причем, в сторону ужесточения санкций за допускаемые нарушения. Операторам, работающим с персональными данными, следует тщательно настраивать системы безопасности обработки и хранения таких данных, совершенствовать структуру и технологию работы, внимательно отслеживать все изменения норм действующего законодательства.