Больше месяца действуют крупные штрафы за нарушения в сфере персональных данных (в частности, за их утечку). Но до сих пор многие не в курсе нюансов привлечения к ответственности. В удобной табличной форме приводим все виды нарушений и наказаний за них, которые установлены КоАП РФ и УК РФ. Объясняем, в каких случаях штраф могут уменьшить, когда ответственность понесет только должностное лицо, а когда организация.
В последний раз ужесточение санкций на нарушения в работе с персональными данными было сделано 30.11.2024 в УК РФ и КоАП РФ (двумя Федеральными законами — N 420-ФЗ и N 421-ФЗ). Какие-то положения вскоре вступили в силу — с 11.12.2024, а самые жесткие по КоАП РФ отложили до 30.05.2025, т.е. уже заработал весь «пакет санкций». Чтобы вам легче было ориентироваться, приведем его в виде таблиц.
Отсрочка дала возможность организациям подготовиться — 30.05.2025 в КоАП РФ вступили в силу:
1) ч. 10 — 18 ст. 13.11 (см. таблицу 1) с самыми крупными штрафами:
— за неуведомление Роскомнадзора;
— за массовую утечку персданных (чем больше «потеряли», тем дороже это обойдется) и утерю специальных и биометрических переданных — тут штрафы исчисляются миллионами. А за повторные нарушения переходят уже к оборотным штрафам — от 1 до 3% от выручки за предыдущий календарный год, но не менее 20 000 000 рублей и не более 500 000 000 рублей;
2) повышение в 3 — 5 раз штрафов за обработку персданных не в заявленных целях либо когда они не предусмотрены законодательством. В ч. 1 ст. 13.11:
— для организаций штраф раньше был от 60 000 до 100 000, стал от 150 000 до 300 000 рублей;
— для должностных лиц был от 10 000 до 20 000, стал от 50 000 до 100 000 рублей;
3) ч. 2 — 4 ст. 13.11.3, более детально разграничивающие варианты нарушений в работе с биометрическими персданными и штрафы за них.
Таблица 1. Санкции по ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ
|
Состав нарушения (с указанием номера части статьи) |
Размер штрафа |
|||
|
для граждан |
для ИП |
для должностных лиц |
для организаций |
|
|
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо несовместимая с заявленными целями |
от 10 000 до 15 000 рублей |
— |
от 50 000 до 100 000 рублей |
от 150 000 до 300 000 рублей |
|
1.1. Повторное нарушение ч. 1 ст. 13.11 |
от 15 000 до 30 000 рублей |
от 300 000 до 500 000 рублей |
от 100 000 до 200 000 рублей |
от 300 000 до 500 000 рублей |
|
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено, либо с нарушением состава сведений, включаемых в такое согласие |
от 10 000 до 15 000 рублей |
— |
от 100 000 до 300 000 рублей |
от 300 000 до 700 000 рублей |
|
2.1. Повторное нарушение ч. 2 ст. 13.11 |
от 15 000 до 30 000 рублей |
от 500 000 до 1 000 000 рублей |
от 300 000 до 500 000 рублей |
от 1 000 000 до 1 500 000 рублей |
|
3. Отсутствие публикации (или иного всеобщего способа доступа) политики обработки (и защиты) персональных данных |
от 1 500 до 3 000 рублей |
от 10 000 до 20 000 рублей |
от 6 000 до 12 000 рублей |
от 30 000 до 60 000 рублей |
|
4. Непредоставление человеку информации, касающейся обработки его персональных данных |
от 2 000 до 4 000 рублей |
от 20 000 до 30 000 рублей |
от 8 000 до 12 000 рублей |
от 40 000 до 80 000 рублей |
|
5. Невыполнение в срок требования об уточнении, блокировке или уничтожении персональных данных (если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки) |
от 2 000 до 4 000 рублей |
от 20 000 до 40 000 рублей |
от 8 000 до 12 000 рублей |
от 50 000 до 90 000 рублей |
|
5.1. Повторное нарушение ч. 5 ст. 13.11 |
от 20 000 до 30 000 рублей |
от 50 000 до 100 000 рублей |
от 30 000 до 50 000 рублей |
от 300 000 до 500 000 рублей |
|
6. Неправомерный или случайный доступ к персональным данным на материальных носителях (обрабатываемых без средств автоматизации), их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия, вызванные невыполнением установленных законом обязанностей |
от 1 500 до 4 000 рублей |
от 20 000 до 40 000 рублей |
от 8 000 до 20 000 рублей |
от 50 000 до 100 000 рублей |
|
7. Невыполнение государственным, муниципальным органом обязанности или несоблюдение методов обезличивания персональных данных |
— |
— |
от 6 000 до 12 000 рублей |
— |
|
8. Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ |
от 30 000 до 50 000 рублей |
от 1 000 000 до 6 000 000 рублей |
от 100 000 до 200 000 рублей |
от 1 000 000 до 6 000 000 рублей |
|
9. Повторное нарушение ч. 8 ст. 13.11 |
от 50 000 до 100 000 рублей |
от 6 000 000 до 18 000 000 рублей |
от 500 000 до 800 000 рублей |
от 6 000 000 до 18 000 000 рублей |
|
Отсутствие или просрочка уведомления Роскомнадзора |
||||
Более подробно с данным материалом Вы можете ознакомиться в СПС КонсультантПлюс