В период с 2021 по 2025 года принято множество изменений, предусматривающих значительные штрафные санкции за нарушения в области персональных данных. Суммы штрафов увеличены в 2 раза и более. Кроме этого, по некоторым статьям введено увеличенное наказание за повторное нарушение, а также значительные оборотные штрафы за утечку персональных данных.
Закон о повышении штрафов и введении новых оборотных штрафов в области персональных данных подписан Президентом и опубликован на портале правовой информации 30 ноября 2024 года. Новые штрафы вступили в силу с 30 мая 2025 года (сравнительная таблица)
Административная ответственность по статье 13.11 на 2025 год предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей.
Максимальный совокупный штраф для должностного лица составляет 336 тысяч рублей, а при повторном нарушении может превышать 1 миллион рублей.
КоАП РФ не возлагает на организации, осуществляющие обработку персональных данных, дополнительных обязанностей и не изменяет содержание существующих требований, которые предусмотрены законодательством в области персональных данных (152-ФЗ).
Стоит отметить, что КоАП наделяет должностных лиц органа, осуществляющего функции по контролю и надзору в области персональных данных, которым является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), полномочиями по возбуждению дел об административных правонарушениях.
Представляем вашему вниманию сводную таблицу штрафов за нарушения законодательства в области персональных данных (в редакции, действующей с 30.05.2025):
| Статья | Содержание статьи КоАП | Сумма штрафа, тыс.руб | |||
|---|---|---|---|---|---|
| Физ. лицо | Должн. лицо | ИП | Юр. лицо | ||
|
13.11 ч.1 |
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния |
|
|
— |
|
|
13.11 ч.1.1 |
Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи |
|
|
|
|
|
13.11 ч.2 |
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных |
|
|
— |
|
|
13.11 ч.2.1 |
Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи |
|
|
|
|
|
13.11 ч.3 |
Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных |
|
|
|
|
|
13.11 ч.4 |
Невыполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных |
|
|
|
|
|
13.11 ч.5 |
Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки |
|
|
|
|
|
13.11 ч.5.1 |
Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи |
|
|
|
|
|
13.11 ч.6 |
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния |
|
|
|
|
|
13.11 ч.7 |
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных |
— |
|
— |
— |
|
13.11 ч.8 |
Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ |
|
|
|
|
|
13.11 ч.9 |
Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи |
|
|
|
|
|
13.11 ч.10 |
Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных |
|
|
|
|
|
13.11 ч.11 |
Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных |
|
|
|
|
|
13.11 ч.12 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния |
|
|
|
|
|
13.11 ч.13 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния |
|
|
|
|
|
13.11 ч.14 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния |
|
|
|
|
|
13.11 ч.15 |
Совершение административного правонарушения, предусмотренного частями 12 — 14 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 — 14, 16 — 18 и настоящей частью настоящей статьи |
|
|
|
от 1% до 3% |
|
13.11 ч.16 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных |
|
|
|
|
|
13.11 ч.17 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 настоящего Кодекса |
|
|
|
|
|
13.11 ч.18 |
Совершение административного правонарушения, предусмотренного частью 16 или 17 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 — 17 и настоящей частью настоящей статьи |
|
|
|
от 1% до 3% |
|
13.12 ч.6 |
Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации |
|
|
— |
|
* от 1% до 3% совокупного размера суммы выручки за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, (в пределах от 20 млн. до 500 млн.₽)
** от 1% до 3% совокупного размера суммы выручки за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения (в пределах от 25 млн. до 500 млн.₽)
В последнее время, в том числе и в 2025 году, в области персональных данных произошли значительные изменения, связанные с введением новых штрафов, в том числе оборотных (зависящих от выручки компании), и ужесточением наказаний за нарушения правил обработки и защиты персональных данных. Эти изменения направлены на обеспечение более надежной защиты конфиденциальности граждан и повышение ответственности организаций, обрабатывающих персональные данные.
Одним из ключевых изменений является увеличение размера штрафов за нарушение правил обработки персональных данных. Теперь компании, которые не соблюдают требования законодательства о защите персональных данных, могут быть подвергнуты значительным финансовым санкциям. Размер штрафов зависит от масштабов нарушения и может достигать значительных сумм.
Кроме того, в 2025 году вступают в силу новые правила и требования к обработке персональных данных. Организации должны обеспечивать согласованность с принципами и стандартами защиты данных, а также применять соответствующие технические и организационные меры для предотвращения утечек и несанкционированного доступа к персональным данным.
Важно отметить, что новые штрафы и требования не только повышают ответственность организаций, но и способствуют повышению уровня доверия граждан к обработке и хранению их персональных данных. Защита конфиденциальности становится приоритетом для компаний, которые стремятся соблюдать законодательство и удовлетворить ожидания своих клиентов.
Кроме того, новые штрафы и требования также стимулируют компании к внедрению современных технологий и методов защиты данных. Это может включать использование шифрования, многофакторной аутентификации, регулярное обновление программного обеспечения и обучение сотрудников в области безопасности данных.
В целом, введение оборотных штрафов в области персональных данных в 2025 году является важным шагом в направлении обеспечения более надежной защиты конфиденциальности граждан. Организации должны принять эти изменения всерьез и принять меры для соблюдения требований законодательства о защите персональных данных. Только так мы сможем создать доверительную среду, где персональные данные будут надежно защищены и конфиденциальность будет соблюдаться на самом высоком уровне.
