Сайт не работает без javascript. Включите поддержку javascript в настройках браузера!
ОК Импорт моб
🔴 Бесплатный вебинар → Работа бухгалтера с Wildberries 🟪
Консалтинг Онлайн
Защита персональных данных
Нарушение закона о персональных данных: штрафы и последствия

Нарушение закона о персональных данных: штрафы и последствия

Базовые требования к обработке персональных данных (ПДн) закреплены в ФЗ от 27.07.2006 №152-ФЗ. Его должны соблюдать все операторы. За нарушения при обработке персональных данных в большинстве случаев предусмотрена административная ответственность, но иногда могут привлечь и по УК, а также взыскать компенсацию морального вреда и возмещение ущерба. 

Обработка персональных данных: штрафы

Большинство штрафов за незаконную обработку персональных данных есть в статье 13.11 КоАП. Составы правонарушений детализированы, а размеры санкций напрямую зависят от характера нарушения, систематичности и ряда других факторов.

Незаконная обработка ПДн

Речь идет о случаях, когда данные обрабатываются без законных оснований или не для тех целей, ради которых они собирались. Это прямое нарушение статьи 5 ФЗ № 152-ФЗ.

Какие в этом случае предусмотрены штрафы за персональные данные (ч.1 ст.13.11 КоАП):

  • для граждан — от 10 000 до 15 000 рублей;

  • для должностных лиц — от 50 000 до 100 000 рублей;

  • для юридических лиц — от 150 000 до 300 000 рублей.

При повторном нарушении по этому же составу санкции возрастают: юрлица рискуют получить штраф до 500 000 рублей.

Обработка ПДн без согласия, когда оно требуется

Не всегда согласие обязательно, но если по закону оно должно быть, отсутствие письменного документа — отдельный состав. Обработка персональных данных без согласия — это один из самых распространенных поводов для штрафа:

Размеры санкций по ч.2 ст.13.11 КоАП:

  • граждане — от 10 000 до 15 000 рублей;

  • должностные лица — от 100 000 до 300 000 рублей;

  • юридические лица — 300 000–700 000 рублей.

Повторное нарушение для бизнеса еще более чувствительно (ч.2.1 ст.13.11 КоАП): штраф для организаций достигает 1.5 млн рублей. Именно здесь чаще всего применяются штрафы за персональные данные Роскомнадзором в ходе плановых и внеплановых проверок.

Неопубликование Политики обработки ПДн

Оператор обязан обеспечить свободный доступ к Политике обработки персональных данных (ст. 18.1 ФЗ № 152-ФЗ). Например, если у компании есть свой сайт, документ обязательно должен быть там опубликован так, чтобы с ним можно было ознакомиться без регистрации и ввода ПДн в целом.

За отсутствие Политики предусмотрены следующие штрафы (ч.3 ст.13.11 КоАП):

  • для граждан — 1 500–3 000 рублей;

  • для должностных лиц — 6 000–12 000 рублей;

  • для ИП — 10 000–20 000 рублей;

  • для юрлиц — от 30 000 до 60 000 тысяч рублей.

Нарушение часто выявляется при первой проверке. Также стоит учитывать, сайты активно проверяются в автоматизированном режиме, в том числе с использованием программного анализа. Поэтому Политика должна быть опубликована обязательно.

Непредоставление информации субъекту

Субъект ПДн вправе знать, какие данные и с какой целью обрабатываются. Если оператор игнорирует запрос, его могут привлечь к ответственности за персональные данные по ч.4 ст.13.11 КоАП.

Штрафы составляют:

  • для граждан — от 2 000 до 4 000 рублей;

  • для должностных лиц — от 8 000 до 12 000 рублей;

  • для ИП — от 20 000 до 30 000 рублей;

  • для юрлиц — от 40 000 до 80 000 рублей.

Невыполнение требования субъекта об уничтожении, блокировании или удалении данных

Если данные устарели, неточны или обрабатываются незаконно, оператор обязан прекратить их использование. За игнорирование этого требования предусмотрены штрафы до 90 000 рублей для юрлиц, а при повторном нарушении — до 500 000 рублей (ч.5, ч.5.1 ст.13.11 КоАП)

Неправомерный доступ к материальным носителям ПДн

Даже при бумажном документообороте оператор обязан обеспечить сохранность данных. Нарушение этих условий влечет штраф для юридических лиц до 100 000 рублей, если это стало причиной неправомерного доступа и утечки информации (ч.6 ст.13.11 КоАП). 

Невыполнение обязанности по обезличиванию ПДн

Обязанность касается государственных и муниципальных органов. За несоблюдение требований по обезличиванию предусмотрен штраф для должностных лиц от 6 000 до 12 000 рублей (ч.7 ст.13.11 КоАП). 

Несоблюдение требования по локализации обработки

Данные граждан РФ должны храниться в базах данных на территории России. Нарушение этого требования — один из самых дорогих составов (ч.8 ст.13.11 КоАП):

  • для граждан — до 50 000 рублей;

  • для должностных лиц — до 200 000 рублей;

  • для ИП и организаций — до 6 млн рублей. 

При повторном нарушении штрафы существенно выше: для граждан они могут достигать 100 000, должностных лиц — до 800 000, для организаций и ИП — до 18 млн рублей. 

Подготовка документов для работы с персональными данными 2026 для организаций

Отсутствие регистрации в реестре операторов Роскомнадзора

Если оператор не подал уведомление о начале обработки ПДн, ему грозит штраф за нарушение ФЗ № 152-ФЗ — до 300 000 рублей (ч.10 ст.13.11 КоАП). Это касается и ИП, и юридических лиц. Уведомление не подается только в случае, если ПДн обрабатываются только на бумаге, а также если обработка проводится для исполнения законодательства о транспорте или для обеспечения госбезопасности (ст.22 ФЗ № 152-ФЗ). 

Нарушение срока подачи уведомления об утечке

Уведомление об утечке нужно подать в Роскомнадзор в течение 24 часов с момента выявления инцидента, а о результатах расследования следует отчитаться в течение 72 часов. Если нарушить срок или вообще ничего не сообщить в РКН, ИП или организацию могут оштрафовать на сумму от 6 до 18 млн рублей (ч.11 ст.13.11 КоАП).

Утечка персональных данных

Самые серьезные штрафы предусмотрены за утечку персональных данных (ч.1218 ст.13.11 КоАП):

Масштаб утечки

Штраф для граждан (рублей)

Штраф для должностных лиц (рублей)

Штраф для юрлиц и ИП (рублей)

1 000–10 000 субъектов и (или) 10 000–100 000 идентификаторов

100 000–200 000

200 000–400 000

3–5 млн

10 000–100 000 субъектов и (или) 100 000–1 000 000 идентификаторов

200 000–300 000

300 000–500 000

5–10 млн

более 100 000 субъектов и (или) более 1 000 000 идентификаторов

300 000–400 000

400 000–600 000

10–15 млн

Повторная утечка, предусмотренная ч. 1214

400 000–600 000

800 000–1,2 млн

1–3% выручки, но не менее 20 млн и не более 500 млн

Утечка специальных категорий ПДн

300 000–400 000

1–1,3 млн

10–15 млн

Утечка биометрии

400 000–500 000

1,3–1,5 млн

15–20 млн

Повторная утечка спецкатегорий или биометрии

500 000–800 000

1,5–2 млн

1–3% выручки, но не менее 25 млн и не более 500 млн

Другие правонарушения

Помимо статьи 13.11 КоАП применяются и другие нормы:

  1. Нарушения при размещении биометрических ПДн в ГИС — штраф до 2 млн рублей (ст.13.11.3 КоАП). 

  2. Несоблюдение правил защиты информации — штраф до 100 000 рублей, в некоторых случаях возможно приостановление деятельности на срок до 90 суток (ст.13.12 КоАП). 

  3. Неправомерная деятельность в области защиты информации — штраф до 40 000 рублей, возможна конфискация СЗИ. 

  4. Разглашение сведений с ограниченным доступом — штраф до 200 000 рублей (ст.13.14 КоАП). 

Важно! Для адвокатов штраф за разглашение персональных данных такой же, как и для должностных лиц — до 50 000 рублей, но возможна и дисквалификация на срок до трех лет. 

Уголовная ответственность за нарушения при обработке персональных данных

Административные санкции — не предел. В ряде случаев наступает уголовная ответственность по статье 137 УК.

Вид преступления

Санкции

Незаконное собирание или распространение сведений о частной жизни без согласия

Штраф до двухсот тысяч рублей, обязательные работы, исправительные работы, принудительные работы, арест либо лишение свободы до двух лет

Те же деяния с использованием служебного положения

Штраф от 100 000 до 300 000 рублей, запрет занимать должности, принудительные работы или лишение свободы до четырех лет

Незаконное распространение сведений о несовершеннолетнем потерпевшем

Штраф до 350 000 рублей, принудительные работы или лишение свободы до пяти лет

На практике уголовная ответственность применяется значительно реже административной, поскольку здесь должен быть доказан умысел и установлено, что сведения действительно относятся к частной жизни. 

Гражданско-правовая ответственность оператора

Помимо штрафов, оператор может быть привлечен к гражданской ответственности. Если нарушением причинены убытки, они возмещаются по статье 15 ГК. Моральный вред компенсируется независимо от имущественного ущерба на основании статьи 24 ФЗ № 152-ФЗ и статьи 151 ГК. Стоит учитывать, что компенсации присуждаются даже при отсутствии материального вреда.

Подготовка документов для работы с персональными данными 2026 для организаций

Дисциплинарная ответственность сотрудников оператора

Нарушения могут повлечь последствия и внутри компании. За разглашение персональных данных сотрудник может быть уволен по подпункту «в» пункта 6 части 1 статьи 81 ТК. За иные проступки обычно применяются замечание, выговор или увольнение в соответствии со статьями 90 и 191 ТК.

С 30 мая 2025 года штрафы за персональные данные существенно выросли. Роскомнадзор последовательно смещает фокус на профилактику: своевременное оформление документов, правильно организованные процессы и аудит сегодня обходятся дешевле, чем последствия одной проверки или утечки.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGUX5y2

Информации об авторе

Консалтинг Онлайн

Консалтинг Онлайн

«Консалтинг Онлайн» - комплексное юридическое сопровождение бизнеса от создания до ликвидации

13 052 подписчика407 постов

Контакты

Начать дискуссию

ГлавнаяПодписка