Ответственность за нарушение законодательства о персональных данных
Порядок работы с персональными данными регламентирован Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». За нарушение этого порядка предусмотрена административная, гражданско-правовая и уголовная ответственность.
В этой статье мы будем рассматривать только административную ответственность за нарушение персональных данных, поскольку Роскомнадзор действует именно в области административного права.
Основной вид административного наказания, предусмотренный за нарушения обработки персональных данных – это штраф. Его размер зависит от конкретного нарушения.
Основные статьи, на основании которых Роскомнадзор взымает штрафы за персональные данные в 2025 – это ст. 13.11 КоАП РФ, ст. 13.11.3 КоАП РФ.
С 30 мая 2025 года штрафы за персональные данные ужесточаются, также вводятся новые основания для привлечения виновных к ответственности (Федеральный закон от 30.11.2024 № 420-ФЗ).
Кроме указанных выше статей, к лицам, допускающим нарушения законодательства о персональных данных, могут применяться и некоторые другие статьи КоАП РФ, например, ст. 19.4, ст. 19.4.1, ст. 19.5, ст. 19.7 КоАП РФ.
Обратите внимание! Штраф может быть заменен на предупреждение, если нарушение, выявленное в ходе государственного контроля, совершено впервые и при этом соблюдены условия, перечисленные в п. 2 ст. 3.4 КоАП РФ (п. 2 ст. 4.1.1 КоАП РФ).
Субъекты административной ответственности
Ответственность за нарушения Закона о персональных данных возлагается на операторов персональных данных и их работников.
Оператор персональных данных – это государственный, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и осуществляют обработку персональных данных, определяют цели такой обработки, состав персональных данных, а также перечень совершаемых с ними действий (п. 2 ст. 3 Закона о персональных данных). При этом операторами указанные органы и лица являются независимо от включения их в реестр операторов персональных данных, который ведет Роскомнадзор.
Если вас интересует ответственность работодателя за нарушения в работе с персональными данными работников, вы найдете точный перечень всех нарушений и штрафов в системе КонсультантПлюс. Бесплатный доступ в КонсультантПлюс можно оформить на пробной основе по ссылке. Стоимость использования системы на постоянной основе можно запросить здесь.
Отметим, что индивидуальные предприниматели несут ответственность как должностные лица, если в КоАП РФ не предусмотрено иное (примечание к ст. 2.4 КоАП РФ).
Основания административной ответственности
Согласно Кодексу об административных правонарушениях РФ, ответственность операторов ПД наступает в случае:
- нарушения правил обработки персональных данных;
- обработки персональных данных без согласия их владельца;
- нарушения требований по защите персональных данных;
- нарушения при взаимодействии с владельцами персональных данных;
- нарушения при взаимодействии с Роскомнадзором;
- разглашения персональных данных, передачи их третьим лицам;
- иных нарушений правил обработки персональных данных.
Далее отдельно рассмотрим указанные группы нарушений.
Нарушение правил обработки персональных данных
Оператор ПД может быть привлечен к ответственности, если он нарушает правила обработки персональных данных, то есть обрабатывает персональные данные (п. 1 ст. 13.11 КоАП РФ):
- в случаях, не предусмотренных законом. Перечень случаев, в которых допускается обработка персональных данных, установлен в п. 1 ст. 6 Закона о персональных данных.
- в целях, несовместимых с целями сбора и обработки персональных данных. В организации должны быть заранее определены конкретные цели обработки персональных данных и все действия с персональными данными должны им соответствовать (п. 2, п. 5 ст. 5 Закона о персональных данных).
С 30 мая штрафы за обработку персональных данных будут взыматься в увеличенном размере.
Субъект | |
---|---|
физлицо | |
Размер штрафа (п. 1 ст. 13.11) |
от 10 000 руб. до 15 000 руб. |
Размер штрафа за повторное нарушение (п. 1.1 ст. 13.11) |
от 15 000 руб. до 30 000 руб. |
должностное лицо | |
Размер штрафа (п. 1 ст. 13.11) |
от 50 000 руб. до 100 000 руб. |
Размер штрафа за повторное нарушение (п. 1.1 ст. 13.11) |
от 100 000 до 200 000 руб. |
ИП, юрлицо | |
Размер штрафа (п. 1 ст. 13.11) |
от 150 000 руб. до 300 000 руб. |
Размер штрафа за повторное нарушение (п. 1.1 ст. 13.11) |
от 300 000 руб. до 500 000 руб. |
Субъект |
Размер штрафа (п. 1 ст. 13.11) |
Размер штрафа за повторное нарушение (п. 1.1 ст. 13.11) |
физлицо |
от 10 000 руб. до 15 000 руб. |
от 15 000 руб. до 30 000 руб. |
должностное лицо |
от 50 000 руб. до 100 000 руб. |
от 100 000 до 200 000 руб. |
ИП, юрлицо |
от 150 000 руб. до 300 000 руб. |
от 300 000 руб. до 500 000 руб. |
Обратите внимание! С 30 мая 2025 года индивидуальные предприниматели привлекаются к ответственности по данному основанию как юрлица, то есть будут уплачивать штрафы в том же размере, что и юрлица.
Повторное нарушение – это нарушение, совершенное виновным лицом в течение года с момента вступления в законную силу решения о привлечении его к ответственности за первое деяние (ст. 4.6 КоАП РФ).
Обработка персональных данных без согласия владельца персональных данных
Ответственность оператора ПД по п. 2 ст. 13.11 КоАП РФ наступает, если обработка данных осуществляется:
- без письменного согласия их владельца, когда оно требуется
или
- на основании согласия, которое не соответствует установленным требованиям.
В 2025 году штрафы за персональные данные по данному основанию не изменились.
Субъект | |
---|---|
физлицо | |
Штраф (п. 2 ст. 13.11) |
от 10 000 руб. до 15 000 руб. |
Штраф за повторное нарушение (п. 2.1 ст. 13.11) |
от 15 000 руб. до 30 000 руб. |
должностное лицо | |
Штраф (п. 2 ст. 13.11) |
от 100 000 руб. до 300 000 руб. |
Штраф за повторное нарушение (п. 2.1 ст. 13.11) |
от 300 000 руб. до 500 000 руб. |
ИП | |
Штраф (п. 2 ст. 13.11) |
от 300 000 руб. до 700 000 руб. |
Штраф за повторное нарушение (п. 2.1 ст. 13.11) |
500 000 руб. до 1 млн руб. |
юрлицо | |
Штраф (п. 2 ст. 13.11) |
от 300 000 руб. до 700 000 руб. |
Штраф за повторное нарушение (п. 2.1 ст. 13.11) |
от 1 млн руб. до 1,5 млн руб. |
Субъект |
Штраф (п. 2 ст. 13.11) |
Штраф за повторное нарушение (п. 2.1 ст. 13.11) |
физлицо |
от 10 000 руб. до 15 000 руб. |
от 15 000 руб. до 30 000 руб. |
должностное лицо |
от 100 000 руб. до 300 000 руб. |
от 300 000 руб. до 500 000 руб. |
ИП |
от 300 000 руб. до 700 000 руб. |
500 000 руб. до 1 млн руб. |
юрлицо |
от 300 000 руб. до 700 000 руб. |
от 1 млн руб. до 1,5 млн руб. |
Обратите внимание! Согласие владельца персональных данных требуется далеко не всегда. Есть перечень случаев, когда в нем нет необходимости. Не требуется согласие на обработку персональных данных физлица в случаях, указанных в подп. 2 - подп. 11 п. 1 ст. 6 Закона о персональных данных (см. Письмо Минцифры России от 14.05.2024 № П25-12029-ОГ «Об обработке персональных данных без согласия субъекта персональных данных»).
Нарушения требований по защите персональных данных
Наказание грозит оператору ПД в том случае, если он не опубликует или не обеспечит иным образом неограниченный доступ к Соглашению о политике в отношении обработки персональных данных и не укажет какие требования по их защите он реализует (п. 3 ст. 13.11 КоАП РФ).
Субъект | |
---|---|
физлицо | |
Штраф (п. 3 ст. 13.11 КоАП РФ) |
от 1 500 руб. до 3 000 руб. |
должностное лицо | |
Штраф (п. 3 ст. 13.11 КоАП РФ) |
от 6 000 руб. до 12 000 руб. |
ИП | |
Штраф (п. 3 ст. 13.11 КоАП РФ) |
от 10 000 руб. до 20 000 руб. |
юрлицо | |
Штраф (п. 3 ст. 13.11 КоАП РФ) |
от 30 000 руб. до 60 000 руб. |
Субъект |
Штраф (п. 3 ст. 13.11 КоАП РФ) |
физлицо |
от 1 500 руб. до 3 000 руб. |
должностное лицо |
от 6 000 руб. до 12 000 руб. |
ИП |
от 10 000 руб. до 20 000 руб. |
юрлицо |
от 30 000 руб. до 60 000 руб. |
Ответственность наступит, если оператор ПД не обеспечит сохранность персональных данных при их неавтоматизированной обработке, и это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (п. 6 ст. 13.11 КоАП РФ).
Субъект | |
---|---|
физлицо | |
Штраф (п. 6 ст. 13.11 КоАП РФ) |
от 1 500 руб. до 4 000 руб. |
должностное лицо | |
Штраф (п. 6 ст. 13.11 КоАП РФ) |
от 8 000 руб. до 20 000 руб. |
ИП | |
Штраф (п. 6 ст. 13.11 КоАП РФ) |
от 20 000 руб. до 40 000 руб. |
юрлицо | |
Штраф (п. 6 ст. 13.11 КоАП РФ) |
от 50 000 руб. до 100 000 руб. |
Субъект |
Штраф (п. 6 ст. 13.11 КоАП РФ) |
физлицо |
от 1 500 руб. до 4 000 руб. |
должностное лицо |
от 8 000 руб. до 20 000 руб. |
ИП |
от 20 000 руб. до 40 000 руб. |
юрлицо |
от 50 000 руб. до 100 000 руб. |
Согласно п. 5 ст. 18 Закона о персональных данных, оператор ПД для записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ должен использовать только базы данных, находящиеся в России. В случае нарушения данного положения оператор ПД привлекается к ответственности по п. 8 ст. 13.11 КоАП РФ. За повторное нарушение ответственность наступает по п. 9 ст. 13.11 КоАП РФ.
Субъект | |
---|---|
физлицо | |
Штраф (п. 8 ст. 13.11 КоАП РФ) |
от 30 000 руб. до 50 000 руб. |
Штраф за повторное нарушение (п. 9 ст. 13.11 КоАП РФ) |
от 50 000 руб. до100 000 руб. |
должностное лицо | |
Штраф (п. 8 ст. 13.11 КоАП РФ) |
от 100 000 руб. до 200 000 руб. |
Штраф за повторное нарушение (п. 9 ст. 13.11 КоАП РФ) |
от 500 000 руб. до 800 000 руб. |
ИП, юрлицо | |
Штраф (п. 8 ст. 13.11 КоАП РФ) |
от 1 млн руб. до 6 млн руб. |
Штраф за повторное нарушение (п. 9 ст. 13.11 КоАП РФ) |
от 6 млн руб. до 18 млн руб. |
Субъект |
Штраф (п. 8 ст. 13.11 КоАП РФ) |
Штраф за повторное нарушение (п. 9 ст. 13.11 КоАП РФ) |
физлицо |
от 30 000 руб. до 50 000 руб. |
от 50 000 руб. до100 000 руб. |
должностное лицо |
от 100 000 руб. до 200 000 руб. |
от 500 000 руб. до 800 000 руб. |
ИП, юрлицо |
от 1 млн руб. до 6 млн руб. |
от 6 млн руб. до 18 млн руб. |
Оператор ПД, являющийся государственным или муниципальным органом, обязан при обработке персональных данных обезличить их, используя методы по обезличиванию данных, утв. Приказом Роскомнадзора от 05.09.2013 № 996. Нарушение влечет штраф в размере от 6 000 до 12 000 руб. (п. 7 ст. 13.11 КоАП РФ). Наказанию подвергаются ответственные должностные лица госорганов.
Нарушения при взаимодействии с владельцами персональных данных
Невыполнение оператором ПД обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его данных влечет ответственность по п. 4 ст. 13.11 КоАП РФ.
Субъект | |
---|---|
физлицо | |
Штраф (п. 4 ст. 13.11 КоАП РФ) |
от 2 000 руб. до 4 000 руб. |
должностное лицо | |
Штраф (п. 4 ст. 13.11 КоАП РФ) |
от 8 000 руб. до 12 000 руб. |
ИП | |
Штраф (п. 4 ст. 13.11 КоАП РФ) |
от 20 000 руб. до 30 000 руб. |
юрлицо | |
Штраф (п. 4 ст. 13.11 КоАП РФ) |
от 40 000 руб. до 80 000 руб. |
Субъект |
Штраф (п. 4 ст. 13.11 КоАП РФ) |
физлицо |
от 2 000 руб. до 4 000 руб. |
должностное лицо |
от 8 000 руб. до 12 000 руб. |
ИП |
от 20 000 руб. до 30 000 руб. |
юрлицо |
от 40 000 руб. до 80 000 руб. |
Невыполнение оператором ПД в установленные сроки требования владельца персональных данных (его представителя) об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки наказывается штрафом по п. 5 ст. 13.11 КоАП РФ. Повторное нарушение карается штрафом в большем размере (п. 5.1 ст. 13.11 КоАП РФ).
Субъект | |
---|---|
физлицо | |
Штраф (п. 5 ст. 13.11 КоАП РФ) |
от 2 000 руб. до 4 000 руб. |
Штраф за повторное нарушение (п. 5 ст. 13.11 КоАП РФ) |
от 20 000 руб. до 30 000 руб. |
должностное лицо | |
Штраф (п. 5 ст. 13.11 КоАП РФ) |
от 8 000 руб. до 20 000 руб. |
Штраф за повторное нарушение (п. 5 ст. 13.11 КоАП РФ) |
от 30 000 руб. до 50 000 руб. |
ИП | |
Штраф (п. 5 ст. 13.11 КоАП РФ) |
от 20 000 руб. до 40 000 руб. |
Штраф за повторное нарушение (п. 5 ст. 13.11 КоАП РФ) |
от 50 000 руб. до 100 000 руб. |
юрлицо | |
Штраф (п. 5 ст. 13.11 КоАП РФ) |
от 50 000 руб. до 90 000 руб. |
Штраф за повторное нарушение (п. 5 ст. 13.11 КоАП РФ) |
от 300 000 руб. до 500 000 руб. |
Субъект |
Штраф (п. 5 ст. 13.11 КоАП РФ) |
Штраф за повторное нарушение (п. 5 ст. 13.11 КоАП РФ) |
физлицо |
от 2 000 руб. до 4 000 руб. |
от 20 000 руб. до 30 000 руб. |
должностное лицо |
от 8 000 руб. до 20 000 руб. |
от 30 000 руб. до 50 000 руб. |
ИП |
от 20 000 руб. до 40 000 руб. |
от 50 000 руб. до 100 000 руб. |
юрлицо |
от 50 000 руб. до 90 000 руб. |
от 300 000 руб. до 500 000 руб. |
Нарушения при взаимодействии с Роскомнадзором
К административной ответственности при взаимодействии с Роскомнадзором могут привлечь, если оператор ПД:
- не представит информацию, запрошенную в порядке п. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ). Наказание - предупреждение или штраф: для граждан в размере от 100 руб. до 300 руб.; для должностных лиц - от 300 руб. до 500 руб.; для юрлиц - от 3 000 руб. до 5 000 руб.
- не выполнит в срок предписание Роскомнадзора об устранении нарушений (п. 1 ст. 19.5 КоАП РФ). Наказание - штраф для граждан в размере от 300 руб. до 500 руб.; для должностных лиц - от 1 000 руб. до 2 000 руб. или дисквалификация на срок до 3-х лет; для юрлиц - от 10 000 руб. до 20 000 руб.
- будет препятствовать проведению проверки либо уклоняться от нее (п. 1 ст. 19.4.1 КоАП РФ). Наказание - штраф для граждан в размере от 500 руб. до 1 000 руб.; для должностных лиц - от 2 000 руб. до 4 000 руб.; для юрлиц - от 5 000 руб. до 10 000 руб.
- не выполнит требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (п. 5 ст. 13.11 КоАП РФ).
С 30 мая 2025 года ст. 13.11 КоАП РФ дополняется специальными основаниями для привлечения операторов ПД к ответственности (п. 10, п. 11 ст. 13.11 КоАП РФ). Штрафы для операторов персональных данных предусматриваются в случае неуведомления Роскомнадзора о начале обработки персональных данных или об утечке персональных данных.
Неуведомление Роскомнадзора о начале обработки персональных данных
Представлять уведомление о начале обработки персональных данных в Роскомнадзор должны организации, ИП и физлица, собирающие и обрабатывающие персональные данные (ст.22 Закона о персональных данных). Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180.
За непредставление или несвоевременное представление в Роскомнадзор уведомления об обработке персональных данных штраф будет взыматься в следующих размерах (п.10 ст. 13.11 КоАП РФ):
Субъект | |
---|---|
физлицо | |
Штраф (п.10 ст. 13.11 КоАП РФ) |
от 5 000 руб. до 10 000 руб. |
должностное лицо | |
Штраф (п.10 ст. 13.11 КоАП РФ) |
от 30 000 руб. до 50 000 руб. |
ИП, юрлицо | |
Штраф (п.10 ст. 13.11 КоАП РФ) |
от 100 000 руб. до 300 000 руб. |
Субъект |
Штраф (п.10 ст. 13.11 КоАП РФ) |
физлицо |
от 5 000 руб. до 10 000 руб. |
должностное лицо |
от 30 000 руб. до 50 000 руб. |
ИП, юрлицо |
от 100 000 руб. до 300 000 руб. |
Неуведомление Роскомнадзора об утечке персональных данных
При обнаружении утечки персональных данных оператор ПД должен в течение 24 часов сообщить об этом в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (п. 3.1 ст. 21 Закона о персональных данных).
В случае нарушения данной обязанности оператор ПД будет привлечен к ответственности по п.11 ст.13.11 КоАП РФ. Размеры штрафов составят:
Субъект | |
---|---|
физлицо | |
Штраф (п.11 ст. 13.11 КоАП РФ) |
от 50 000 руб. до 100 000 руб. |
должностное лицо | |
Штраф (п.11 ст. 13.11 КоАП РФ) |
от 400 000 руб. до 800 000 руб. |
ИП, юрлицо | |
Штраф (п.11 ст. 13.11 КоАП РФ) |
от 1 млн руб. до 3 млн руб. |
Субъект |
Штраф (п.11 ст. 13.11 КоАП РФ) |
физлицо |
от 50 000 руб. до 100 000 руб. |
должностное лицо |
от 400 000 руб. до 800 000 руб. |
ИП, юрлицо |
от 1 млн руб. до 3 млн руб. |
Штраф за утечку персональных данных
С 30 мая 2025 года введены штрафы за утечку персональных данных – их неправомерную передачу третьим лицам. Размер штрафа за нарушение персональных данных будет зависеть от объема нарушений (п. 12 – п. 16 ст. 13.11 КоАП РФ).
Если незаконно переданы данные от одной до десяти тысяч человек
Неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек и (или) от 10 000 до 100 000 идентификаторов повлечет наложение штрафа в размере (п.12 ст.13.11 КоАП РФ).
Субъект | |
---|---|
физлицо | |
Штраф (п.12 ст.13.11 КоАП РФ) |
от 100 000 руб. до 200 000 руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 400 000 руб. до 600 000 руб. |
должностное лицо | |
Штраф (п.12 ст.13.11 КоАП РФ) |
от 200 000 руб. до 400 000 руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 800 000 руб. до 1,2 млн руб. |
ИП, юрлицо | |
Штраф (п.12 ст.13.11 КоАП РФ) |
от 3 млн руб. до 5 млн руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
Субъект |
Штраф (п.12 ст.13.11 КоАП РФ) |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
физлицо |
от 100 000 руб. до 200 000 руб. |
от 400 000 руб. до 600 000 руб. |
должностное лицо |
от 200 000 руб. до 400 000 руб. |
от 800 000 руб. до 1,2 млн руб. |
ИП, юрлицо |
от 3 млн руб. до 5 млн руб. |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
Идентификатор – это уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (п. 4 Примечания к ст. 13.11 КоАП РФ).
Если незаконно переданы данные более десяти тысяч и до ста тысяч человек
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек и (или) от 100 000 до 1 млн идентификаторов повлечет наложение штрафа в размере (п.13 ст.13.11 КоАП РФ):
Субъект | |
---|---|
физлицо | |
Штраф (п.13 ст.13.11 КоАП РФ) |
от 200 000 руб. до 300 000 руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 400 000 руб. до 600 000 руб. |
должностное лицо | |
Штраф (п.13 ст.13.11 КоАП РФ) |
от 300 000 руб. до 500 000 руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 800 000 руб. до 1,2 млн руб. |
ИП, юрлицо | |
Штраф (п.13 ст.13.11 КоАП РФ) |
от 5 млн руб. до 10 млн руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
Субъект |
Штраф (п.13 ст.13.11 КоАП РФ) |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
физлицо |
от 200 000 руб. до 300 000 руб. |
от 400 000 руб. до 600 000 руб. |
должностное лицо |
от 300 000 руб. до 500 000 руб. |
от 800 000 руб. до 1,2 млн руб. |
ИП, юрлицо |
от 5 млн руб. до 10 млн руб. |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
Если незаконно переданы данные более ста тысяч человек
За незаконную передачу третьим лицам персональных данных более 100 000 человек и (или) более 1 млн идентификаторов полагается штраф в размере (п.14 ст.13.11 КоАП РФ):
Субъект | |
---|---|
физлицо | |
Штраф (п.14 ст.13.11 КоАП РФ) |
от 300 000 руб. до 400 000 руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 400 000 руб. до 600 000 руб. |
должностное лицо | |
Штраф (п.14 ст.13.11 КоАП РФ) |
от 400 000 руб. до 600 000 руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 800 000 руб. до 1,2 млн руб. |
ИП, юрлицо | |
Штраф (п.14 ст.13.11 КоАП РФ) |
от 10 млн руб. до 15 млн руб. |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
Субъект |
Штраф (п.14 ст.13.11 КоАП РФ) |
Штраф за повторное нарушение (п.15 ст.13.11 КоАП РФ) |
физлицо |
от 300 000 руб. до 400 000 руб. |
от 400 000 руб. до 600 000 руб. |
должностное лицо |
от 400 000 руб. до 600 000 руб. |
от 800 000 руб. до 1,2 млн руб. |
ИП, юрлицо |
от 10 млн руб. до 15 млн руб. |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
При назначении наказания за повторную утечку персональных данных будут учитываться определенные отягчающие обстоятельства (п. 5 Примечания к ст. 13.11 КоАП РФ). Например, отягчающим будет считаться отсутствие реакции лица, допустившего утечку персональных данных, на требование уполномоченного лица прекратить противоправное поведение (подп. 1 п. 1 ст. 4.3 КоАП РФ).
Утечка персданных специальной категории
Кроме того, наказание грозит оператору ПД за утечку информации, включающей специальную категорию персональных данных (п. 16 ст. 13.11 КоАП РФ).
Специальные категории персональных данных – это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ст. 10 Закона о персональных данных).
Субъект | |
---|---|
физлицо | |
Штраф (п. 16 ст. 13.11 КоАП РФ) |
от 300 000 руб. до 400 000 руб. |
должностное лицо | |
Штраф (п. 16 ст. 13.11 КоАП РФ) |
от 1 млн руб. до 1,3 млн руб. |
ИП, юрлицо | |
Штраф (п. 16 ст. 13.11 КоАП РФ) |
от 10 млн руб. до 15 млн руб. |
Субъект |
Штраф (п. 16 ст. 13.11 КоАП РФ) |
физлицо |
от 300 000 руб. до 400 000 руб. |
должностное лицо |
от 1 млн руб. до 1,3 млн руб. |
ИП, юрлицо |
от 10 млн руб. до 15 млн руб. |
Штраф Роскомнадзора за утечку биометрических персональных данных
С 30 мая 2025 года отдельные штрафы вводятся за незаконную передачу третьим лицам биометрических персональных данных (п. 17 ст. 13.11 КоАП РФ). Биометрические данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, например, отпечатки пальцев, рисунок сетчатки глаза, овал и строение лица и т.п. (п. 1 ст. 11 Закона о персональных данных).
Размер штрафа за утечку биометрических персональных данных:
Субъект | |
---|---|
физлицо | |
Штраф (п. 17 ст. 13.11 КоАП РФ) |
от 400 000 руб. до 500 000 руб. |
Штраф за повторное нарушение (п. 18 ст. 13.11 КоАП РФ) |
от 500 000 руб. до 800 000 руб. |
должностное лицо | |
Штраф (п. 17 ст. 13.11 КоАП РФ) |
от 1,3 млн руб. до 1,5 млн руб. |
Штраф за повторное нарушение (п. 18 ст. 13.11 КоАП РФ) |
от 1,5 млн руб. до 2 млн руб. |
ИП, юрлицо | |
Штраф (п. 17 ст. 13.11 КоАП РФ) |
от 15 млн руб. до 20 млн руб. |
Штраф за повторное нарушение (п. 18 ст. 13.11 КоАП РФ) |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
Субъект |
Штраф (п. 17 ст. 13.11 КоАП РФ) |
Штраф за повторное нарушение (п. 18 ст. 13.11 КоАП РФ) |
физлицо |
от 400 000 руб. до 500 000 руб. |
от 500 000 руб. до 800 000 руб. |
должностное лицо |
от 1,3 млн руб. до 1,5 млн руб. |
от 1,5 млн руб. до 2 млн руб. |
ИП, юрлицо |
от 15 млн руб. до 20 млн руб. |
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение |
При назначении наказания за повторную утечку персональных данных будут учитываться определенные отягчающие обстоятельства (п. 5 Примечания к ст. 13.11 КоАП РФ). Например, продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его (подп. 1 п. 1 ст. 4.3 КоАП РФ).
Нарушение требований по размещению биометрических персональных данных
Порядок и требования к размещению сведений в единой биометрической системе и в единой системе идентификации и аутентификации регламентированы ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ.
Нарушение банками, многофункциональными центрами, иными организациями требований по размещению и обновлению биометрических персональных данных субъектов персональных данных в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (Единая биометрическая система), влечет наложение административного штрафа:
Субъект | |
---|---|
должностное лицо | |
Штраф (п. 1 ст. 13.11.3 КоАП РФ) |
от 100 000 руб. до 300 000 руб. |
юрлицо | |
Штраф (п. 1 ст. 13.11.3 КоАП РФ) |
от 500 000 руб. до 1 млн руб. |
Субъект |
Штраф (п. 1 ст. 13.11.3 КоАП РФ) |
должностное лицо |
от 100 000 руб. до 300 000 руб. |
юрлицо |
от 500 000 руб. до 1 млн руб. |
С 30 мая 2025 года предусматриваются новые составы нарушений, связанные с размещением и обработкой биометрических персональных данных в Единой биометрической системе и иных информационных системах (п. 2 – п. 4 ст. 13.11.3 КоАП РФ).
Нарушение порядка обработки биометрических данных
Пунктом 2 ст. 13.11.3 КоАП РФ предусмотрено, что нарушение порядка обработки биометрических персональных данных в единой биометрической системе, векторов единой биометрической системы в информационных системах госорганов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных физлиц, влечет наложение штрафа в размере:
Субъект | |
---|---|
должностное лицо | |
Штраф (п. 2 ст. 13.11.3 КоАП РФ) |
от 100 000 руб. до 300 000 руб. |
юрлицо | |
Штраф (п. 2 ст. 13.11.3 КоАП РФ) |
от 500 000 руб. до 1 млн руб. |
Субъект |
Штраф (п. 2 ст. 13.11.3 КоАП РФ) |
должностное лицо |
от 100 000 руб. до 300 000 руб. |
юрлицо |
от 500 000 руб. до 1 млн руб. |
Непринятие мер по обеспечению безопасности биометрических персональных данных
Согласно п. 3 ст. 13.11.3 КоАП РФ непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в единой биометрической системе, ее взаимодействии с иными информационными системами, в том числе в информационных системах аккредитованных госорганов, влечет наложение штрафа в размере:
Субъект | |
---|---|
должностное лицо | |
Штраф (п. 3 ст. 13.11.3 КоАП РФ) |
от 300 000 руб. до 500 000 руб. |
юрлицо | |
Штраф (п. 3 ст. 13.11.3 КоАП РФ) |
от 1 млн руб. до 1,5 млн руб. |
Субъект |
Штраф (п. 3 ст. 13.11.3 КоАП РФ) |
должностное лицо |
от 300 000 руб. до 500 000 руб. |
юрлицо |
от 1 млн руб. до 1,5 млн руб. |
Обработка биометрических персональных данных без аккредитации
Согласно п. 4 ст. 13.11.3 КоАП РФ обработка биометрических персональных данных, векторов единой биометрической системы для аутентификации физлиц в информационных системах госорганов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена, влечет наложение штрафа в размере:
Субъект | |
---|---|
должностное лицо | |
Штраф (п. 4 ст. 13.11.3 КоАП РФ) |
от 500 000 руб. до 1 млн руб. |
юрлицо | |
Штраф (п. 4 ст. 13.11.3 КоАП РФ) |
от 1 млн руб. до 2 млн руб. |
Субъект |
Штраф (п. 4 ст. 13.11.3 КоАП РФ) |
должностное лицо |
от 500 000 руб. до 1 млн руб. |
юрлицо |
от 1 млн руб. до 2 млн руб. |
Нарушения в работе с персданными потребителей
Отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом последнего предоставить персональные данные, за исключением случаев, если предоставление персональных данных является обязательным или связано с исполнением договора с потребителем влечет штраф (п. 7 ст. 14.8 КоАП РФ):
Субъект | |
---|---|
должностное лицо, ИП | |
Штраф (п. 7 ст. 14.8 КоАП РФ) |
от 5 000 руб. до 10 000 руб. |
юрлицо | |
Штраф (п. 7 ст. 14.8 КоАП РФ) |
от 30 000 руб. до 50 000 руб. |
Субъект |
Штраф (п. 7 ст. 14.8 КоАП РФ) |
должностное лицо, ИП |
от 5 000 руб. до 10 000 руб. |
юрлицо |
от 30 000 руб. до 50 000 руб. |
С 30 мая 2025 года отказ обслуживать потребителя, который не захотел подтверждать свою личность с помощью биометрии влечет штраф (п. 8 ст. 14.8 КоАП РФ):
Субъект | |
---|---|
должностное лицо, ИП | |
Штраф (п. 8 ст. 14.8 КоАП РФ) |
от 50 000 руб. до 100 00 руб. |
юрлицо | |
Штраф (п. 8 ст. 14.8 КоАП РФ) |
от 200 000 руб. до 500 000 руб. |
Субъект |
Штраф (п. 8 ст. 14.8 КоАП РФ) |
должностное лицо, ИП |
от 50 000 руб. до 100 00 руб. |
юрлицо |
от 200 000 руб. до 500 000 руб. |
Итоги
Таким образом, законодательство в отношении персональных данных постоянно меняется, причем, в сторону ужесточения санкций за допускаемые нарушения. Операторам, работающим с персональными данными, следует тщательно настраивать системы безопасности обработки и хранения таких данных, совершенствовать структуру и технологию работы, внимательно отслеживать все изменения норм действующего законодательства.