Штрафы за нарушения по персональным данным: все нарушения и размеры штрафов

Главная / Советы / Штрафы за нарушения по персональным данным

Все штрафы в 2025 году — в одной статье

Государство все сильнее регулирует защиту персональных данных, а это значит, что соответствующих статей в КоАП становится все больше, а штрафы по ним — все выше. Собрали в удобных таблицах самое актуальное, что вы могли пропустить.

Эксперт — Александр Саратов, основатель правового консалтинга ASL. Записал Николай Андреев, практикующий юрист.

Что считается нарушением с точки зрения закона

Для начала договоримся о терминах. С персональными данными физлиц — клиентов, сотрудников, контрагентов — работает практически любой бизнес. А значит, и любой бизнес является оператором персональных данных.

О нарушениях закона о персональных данных — ст. 13.11 Кодекса РФ об административных правонарушениях

Работу с персональными данными в России регулирует базовый документ — Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». Он прописывает порядок, согласно которому происходит сбор, хранение, использование или распространение персональных данных. Но вот нарушения этого порядка сам закон не указывает: описанием нарушений и наказаний за это занимается Кодекс РФ об административных нарушениях.

В нужной нам статье КоАП говорится, например, что нарушением считается обработка персональных данных в случаях, не предусмотренных российским законодательством, либо обработка, несовместимая с целью их сбора. Например, не предусмотрено законом обрабатывать персональные данные без согласия на это человека.

Пример

При заключении договора с физлицом туристическая компания «Золотой тигр» берет у клиента паспортные данные. В договоре нет пункта о даче клиентом согласия на сбор, обработку, хранение и распространение персональных данных. Нет и отдельного соглашения по персональным данным. «Золотой тигр» прямо-таки напрашивается на большие штрафы за нарушение закона.

Также закон о персональных данных предусматривает, что человек имеет право обратиться к своему оператору данных и потребовать от него:

уточнить персональные данные;
заблокировать или уничтожить данные в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Пример

Интернет-магазин косметики совершает обзвон людей по номерам телефонов, незаконно получив их базу от бывшего сотрудника конкурентов. И Ф. И. О., и номера телефонов являются персональными данными. Все, кому поступили звонки, могут потребовать от нашего магазина удалить свои данные из базы потенциальных клиентов, а еще пожаловаться в Роскомнадзор — и интернет-магазин получит штраф.

А если по имеющимся данным из все той же базы наш магазин отправит потенциальным клиентам почтовую рассылку, нарушение только усугубится: вместо того чтобы стать реальным клиентом компании, человек как минимум может потребовать удалить свои данные из базы. А как максимум — опять же пожаловаться в Роскомнадзор на нарушение. И компанию оштрафуют.

Итак, общее основание для штрафов при работе с персональными данными — это нарушение порядка их сбора, обработки, хранения и использования. А в этом порядке много деталей, начиная от уведомления о начале обработки и заканчивая сообщениями об утечках данных, если такие вдруг произойдут.

Как изменились штрафы за нарушение порядка работы с персональными данными

Итак, старые и новые размеры штрафов за общие нарушения (неподача уведомления в РКН, обработка данных без согласия субъекта или изменение целей обработки без сообщения в РКН):

Субъект нарушения

Было, руб.

Стало с 30 мая 2025 года, руб.

Граждане, в том числе самозанятые

2−6 тыс.

10−15 тыс.

Должностные лица и ИП

10−20 тыс.

50−100 тыс.

Организации

60−100 тыс.

150−300 тыс.

Также появились новые составы в ст. 13.11 КоАП РФ (части 10−18). Мы о них рассказывали ранее.

Приведем их тут еще раз:

Нарушение

Для физлиц

Для должностных лиц

Для ИП и организаций

Пример

Не уведомили Роскомнадзор об утечке персональных данных

50−100 тыс. руб.

400−800 тыс. руб.

1−3 млн руб.

База данных клиентов фитнес-клуба (имена, телефоны) была взломана и опубликована на теневом форуме. Руководство узнало об утечке, но решило не сообщать в Роскомнадзор в установленный срок (72 часа), надеясь, что никто не заметит

Допустили утечку информации, в составе которой есть персданные от 1 до 10 тысяч человек

100−200 тыс. руб.

200−400 тыс. руб.

3−5 млн руб.

С сервера региональной службы доставки из-за ошибки в настройках в открытый доступ попал файл с данными 5000 клиентов (имена, адреса, телефоны)

Допустили утечку информации, в составе которой есть персданные от 10 до 100 тысяч человек

200−300 тыс. руб.

300−500 тыс. руб.

5−10 млн руб.

Хакер воспользовался уязвимостью в системе безопасности крупной образовательной онлайн-платформы и похитил базу данных 50 000 пользователей (логины, почты, телефоны)

Допустили утечку информации, в составе которой есть персданные от 100 тысяч человек или более 1 млн идентификаторов

300−400 тыс. руб.

400−600 тыс. руб.

10−15 млн руб.

В результате масштабной кибератаки на крупную сеть розничных магазинов в интернет попала база программы лояльности, содержащая данные 200 тысяч клиентов

Повторное нарушение согласно ч. 10−14 (ч. 15 ст. 13.11 КоАП РФ)

400−600 тыс. руб.

800−1200 тыс. руб.

1−3% совокупной выручки за календарный год, предшествующий году нарушения, не менее 20 млн и не более 500 млн руб.

Тот же фитнес-клуб, оштрафованный год назад за утечку, не сделал должных выводов. Произошел новый взлом, и данные еще 3000 клиентов снова оказались в открытом доступе

Допустили утечку информации, в составе которой есть персданные специальной категории (ч. 16 ст. 13.11 КоАП РФ)

300−400 тыс. руб.

1−1,3 млн руб.

10−15 млн руб.

Из-за хакерской атаки на частную клинику в сеть утекли не только Ф. И. О. пациентов, но и их диагнозы. Сведения о здоровье — это специальная категория персональных данных, и ответственность за их утечку гораздо строже

Действия (бездействие) оператора, повлекшие утечку биометрических данных (ч. 17 ст. 13.11 КоАП РФ)

400−500 тыс. руб.

1,3−1,5 млн руб.

15−20 млн руб.

В современном бизнес-центре, где проход осуществляется по сканированию лица, произошла утечка. Злоумышленники получили доступ к базе фотографий и цифровых слепков лиц сотрудников, которые являются биометрическими данными

Повторное нарушение согласно ч. 16−17 (ч. 18 ст. 13.11 КоАП РФ)

500−800 тыс. руб.

1,5−2 млн руб.

1−3% совокупной выручки за календарный год, предшествующий году нарушения, не менее 25 млн и не более 500 млн руб.

Та же медицинская клиника, уже оштрафованная за утечку диагнозов, не провела полный аудит безопасности. В результате новой атаки в сеть снова попала часть базы пациентов с их медицинскими картами

А теперь «вишенки на торте»:

При всех перечисленных нарушениях ИП несут ответственность как юридические лица. Именно поэтому мы их указали в правой части таблицы.
Скидка 50% к составам, указанным в ст. 13.11 КоАП РФ, не применяется.

В ст. 13.11 КоАП РФ под должностными лицами понимаются должностные лица государственных или муниципальных органов либо некоммерческих организаций.

Как еще изменилось законодательство о персональных данных

Статья 13.11.3 КоАП РФ предусматривает наказание за нарушения в области обработки биометрических данных. Ее также дополнили новыми составами правонарушения:

Когда нарушают порядок обработки биометрических данных в единой биометрической системе. Штраф для должностных лиц и ИП — 100−300 тыс. руб., для юрлиц — от 500 тыс. до 1 млн руб.
Когда не принимают меры по обеспечению их безопасности. Штраф для должностных лиц и ИП — 300−500 тыс. руб., для юрлиц от 1 до 1,5 млн руб.
Когда производят обработку данных без аккредитации. Штраф для должностных лиц и ИП — от 500 тыс. до 1 млн руб., для юрлиц — от 1 до 2 млн руб.

Кроме того, в ст. 14.8 КоАП РФ в качестве отдельного состава (ч. 8) власти выделили отказ обслуживать потребителя, который не согласился подтвердить свою личность с помощью биометрии. Штраф для должностных лиц и ИП составит от 50 до 100 тыс. руб., для юрлиц — от 200 до 500 тыс. руб.

Об уголовной ответственности за нарушения в области персональных данных

За повторную утечку персональных данных или за утечку в особо крупных размерах может наступить уголовная ответственность — вплоть до лишения свободы на срок до 10 лет.

Те же меры грозят за создание информационных ресурсов и вредоносных программ для обработки и распространения персональных данных.

Законы

Советы

Законы