Выписка из КоАП РФ

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

Выписка в редакции, вступившей в силу 30 мая 2025 года.

Значительно увеличены суммы штрафов. Введен штраф за неуведомление Роскомнадзора об обработке персональных данных. По некоторым статьям предусмотрено увеличенное наказание за повторное нарушение, а также введены оборотные штрафы за утечку персональных данных.

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11 — 18 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, -

влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей.

1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от пятнадцати тысяч до тридцати тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, -

влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от трехсот тысяч до семисот тысяч рублей.

2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от пятнадцати тысяч до тридцати тысяч рублей; на должностных лиц — от трехсот тысяч до пятисот тысяч рублей; на индивидуальных предпринимателей — от пятисот тысяч до одного миллиона рублей; на юридических лиц — от одного миллиона до полутора миллионов рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц — от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от тридцати тысяч до шестидесяти тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до тридцати тысяч рублей; на юридических лиц — от сорока тысяч до восьмидесяти тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, -

влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от пятидесяти тысяч до девяноста тысяч рублей.

5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния -

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных -

влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -

влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.

10. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных -

влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей.

11. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, -

влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц — от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц — от одного миллиона до трех миллионов рублей.

12. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влекут наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц — от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц — от трех миллионов до пяти миллионов рублей.

13. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влекут наложение административного штрафа на граждан в размере от двухсот тысяч до трехсот тысяч рублей; на должностных лиц — от трехсот тысяч до пятисот тысяч рублей; на юридических лиц — от пяти миллионов до десяти миллионов рублей.

14. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -

влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц — от четырехсот тысяч до шестисот тысяч рублей; на юридических лиц — от десяти миллионов до пятнадцати миллионов рублей.

15. Совершение административного правонарушения, предусмотренного частями 12 — 14 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 — 14, 16 — 18 настоящей статьи и настоящей частью, -

влечет наложение административного штрафа на граждан в размере от четырехсот тысяч до шестисот тысяч рублей; на должностных лиц — от восьмисот тысяч до одного миллиона двухсот тысяч рублей; на юридических лиц — от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.

16. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных, -

влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц — от одного миллиона до одного миллиона трехсот тысяч рублей; на юридических лиц — от десяти миллионов до пятнадцати миллионов рублей.

17. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 настоящего Кодекса, -

влекут наложение административного штрафа на граждан в размере от четырехсот тысяч до пятисот тысяч рублей; на должностных лиц — от одного миллиона трехсот тысяч до одного миллиона пятисот тысяч рублей; на юридических лиц — от пятнадцати миллионов до двадцати миллионов рублей.

18. Совершение административного правонарушения, предусмотренного частью 16 или 17 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 — 17 настоящей статьи и настоящей частью, -

влечет наложение административного штрафа на граждан в размере от пятисот тысяч до восьмисот тысяч рублей; на должностных лиц — от одного миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц — от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее двадцати пяти миллионов рублей и не более пятисот миллионов рублей.

Примечания:

1. За административные правонарушения, предусмотренные частями 1.1, 8 — 18 настоящей статьи, статьями 13.31, 13.35 — 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, индивидуальные предприниматели несут административную ответственность как юридические лица.

2. В частях 10 — 18 настоящей статьи под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации.

3. В частях 10 — 18 настоящей статьи под юридическим лицом понимается оператор — юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией.

4. В целях настоящей статьи под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

5. При назначении административного наказания за совершение административных правонарушений, предусмотренных частями 15 и 18 настоящей статьи, учитывается обстоятельство, отягчающее административную ответственность, предусмотренное пунктом 1 части 1 статьи 4.3 настоящего Кодекса, а также следующее обстоятельство, отягчающее административную ответственность: лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных частями 1 — 11 настоящей статьи и (или) статьями 13.6, 13.12 настоящего Кодекса.