Чем грозят нарушения в области обработки персональных данных
Больше месяца действуют крупные штрафы за нарушения в сфере персональных данных (в частности, за их утечку). Но до сих пор многие не в курсе нюансов привлечения к ответственности. В удобной табличной форме приводим все виды нарушений и наказаний за них, которые установлены КоАП РФ и УК РФ. Объясняем, в каких случаях штраф могут уменьшить, когда ответственность понесет только должностное лицо, а когда организация.
В последний раз ужесточение санкций на нарушения в работе с персональными данными было сделано 30.11.2024 в УК РФ и КоАП РФ (двумя Федеральными законами - N 420-ФЗ и N 421-ФЗ). Какие-то положения вскоре вступили в силу - с 11.12.2024, а самые жесткие по КоАП РФ отложили до 30.05.2025, т.е. уже заработал весь "пакет санкций". Чтобы вам легче было ориентироваться, приведем его в виде таблиц.
Отсрочка дала возможность организациям подготовиться - 30.05.2025 в КоАП РФ вступили в силу:
1) ч. 10 - 18 ст. 13.11 (см. таблицу 1) с самыми крупными штрафами:
- за неуведомление Роскомнадзора;
- за массовую утечку персданных (чем больше "потеряли", тем дороже это обойдется) и утерю специальных и биометрических переданных - тут штрафы исчисляются миллионами. А за повторные нарушения переходят уже к оборотным штрафам - от 1 до 3% от выручки за предыдущий календарный год, но не менее 20 000 000 рублей и не более 500 000 000 рублей;
2) повышение в 3 - 5 раз штрафов за обработку персданных не в заявленных целях либо когда они не предусмотрены законодательством. В ч. 1 ст. 13.11:
- для организаций штраф раньше был от 60 000 до 100 000, стал от 150 000 до 300 000 рублей;
- для должностных лиц был от 10 000 до 20 000, стал от 50 000 до 100 000 рублей;
3) ч. 2 - 4 ст. 13.11.3, более детально разграничивающие варианты нарушений в работе с биометрическими персданными и штрафы за них.
Таблица 1. Санкции по ст. 13.11 "Нарушение законодательства Российской Федерации в области персональных данных" КоАП РФ.
|
Состав нарушения (с указанием номера части статьи) |
Размер штрафа |
|||
|
для граждан |
для ИП |
для должностных лиц |
для организаций |
|
|
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо несовместимая с заявленными целями |
от 10 000 до 15 000 рублей |
- |
от 50 000 до 100 000 рублей |
от 150 000 до 300 000 рублей |
|
1.1. Повторное нарушение ч. 1 ст. 13.11 |
от 15 000 до 30 000 рублей |
от 300 000 до 500 000 рублей |
от 100 000 до 200 000 рублей |
от 300 000 до 500 000 рублей |
|
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено, либо с нарушением состава сведений, включаемых в такое согласие |
от 10 000 до 15 000 рублей |
- |
от 100 000 до 300 000 рублей |
от 300 000 до 700 000 рублей |
|
2.1. Повторное нарушение ч. 2 ст. 13.11 |
от 15 000 до 30 000 рублей |
от 500 000 до 1 000 000 рублей |
от 300 000 до 500 000 рублей |
от 1 000 000 до 1 500 000 рублей |
|
3. Отсутствие публикации (или иного всеобщего способа доступа) политики обработки (и защиты) персональных данных |
от 1 500 до 3 000 рублей |
от 10 000 до 20 000 рублей |
от 6 000 до 12 000 рублей |
от 30 000 до 60 000 рублей |
|
4. Непредоставление человеку информации, касающейся обработки его персональных данных |
от 2 000 до 4 000 рублей |
от 20 000 до 30 000 рублей |
от 8 000 до 12 000 рублей |
от 40 000 до 80 000 рублей |
|
5. Невыполнение в срок требования об уточнении, блокировке или уничтожении персональных данных (если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки) |
от 2 000 до 4 000 рублей |
от 20 000 до 40 000 рублей |
от 8 000 до 12 000 рублей |
от 50 000 до 90 000 рублей |
|
5.1. Повторное нарушение ч. 5 ст. 13.11 |
от 20 000 до 30 000 рублей |
от 50 000 до 100 000 рублей |
от 30 000 до 50 000 рублей |
от 300 000 до 500 000 рублей |
|
6. Неправомерный или случайный доступ к персональным данным на материальных носителях (обрабатываемых без средств автоматизации), их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия, вызванные невыполнением установленных законом обязанностей |
от 1 500 до 4 000 рублей |
от 20 000 до 40 000 рублей |
от 8 000 до 20 000 рублей |
от 50 000 до 100 000 рублей |
|
7. Невыполнение государственным, муниципальным органом обязанности или несоблюдение методов обезличивания персональных данных |
- |
- |
от 6 000 до 12 000 рублей |
- |
|
8. Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ |
от 30 000 до 50 000 рублей |
от 1 000 000 до 6 000 000 рублей |
от 100 000 до 200 000 рублей |
от 1 000 000 до 6 000 000 рублей |
|
9. Повторное нарушение ч. 8 ст. 13.11 |
от 50 000 до 100 000 рублей |
от 6 000 000 до 18 000 000 рублей |
от 500 000 до 800 000 рублей |
от 6 000 000 до 18 000 000 рублей |
|
Отсутствие или просрочка уведомления Роскомнадзора |
||||
|
10. О намерении осуществлять обработку персональных данных |
от 5 000 до 10 000 рублей |
от 100 000 до 300 000 рублей |
от 30 000 до 50 000 рублей |
от 100 000 до 300 000 рублей |
|
11. О неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных |
от 50 000 до 100 000 рублей |
от 1 000 000 до 3 000 000 рублей |
от 400 000 до 800 000 рублей |
от 1 000 000 до 3 000 000 рублей |
|
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, в зависимости от их количества |
||||
|
12. От 1 000 до 10 000 субъектов персональных данных и/или от 10 000 до 100 000 идентификаторов <1> |
от 100 000 до 200 000 рублей |
от 3 000 000 до 5 000 000 рублей |
от 200 000 до 400 000 рублей |
от 3 000 000 до 5 000 000 рублей |
|
13. От 10 000 до 100 000 субъектов персональных данных и/или от 100 000 до 1 000 000 идентификаторов |
от 200 000 до 300 000 рублей |
от 5 000 000 до 10 000 000 рублей |
от 300 000 до 500 000 рублей |
от 5 000 000 до 10 000 000 рублей |
|
14. Более 100 000 субъектов персональных данных и/или более 1 000 000 идентификаторов |
от 300 000 до 400 000 рублей |
от 10 000 000 до 15 000 000 рублей |
от 400 000 до 600 000 рублей |
от 10 000 000 до 15 000 000 рублей |
|
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, в зависимости от их категории |
||||
|
16. Специальная категория |
от 300 000 до 400 000 рублей |
от 10 000 000 до 15 000 000 рублей |
от 1 000 000 до 1 300 000 рублей |
от 10 000 000 до 15 000 000 рублей |
|
17. Биометрические данные |
от 400 000 до 500 000 рублей |
от 15 000 000 до 20 000 000 рублей |
от 1 300 000 до 1 500 000 рублей |
от 15 000 000 до 20 000 000 рублей |
|
15. Нарушение ч. 12 - 14 лицом, ранее наказанным за нарушение ч. 12 - 18 ст. 13.11 |
от 400 000 до 600 000 рублей |
от 1% до 3% от выручки за предыдущий календ. год <2>, но не менее 20 000 000 рублей и не более 500 000 000 рублей |
от 800 000 до 1 200 000 рублей |
от 1% до 3% от выручки за предыдущий календ. год <3>, но не менее 20 000 000 рублей и не более 500 000 000 рублей |
|
18. Совершение административного правонарушения по ч. 16 или 17 ст. 13.11 лицом, подвергнутым наказанию по ч. 12 - 17 ст. 13.11 |
от 500 000 до 800 000 рублей |
от 1% до 3% от выручки за предыдущий календ. год <4>, но не менее 25 000 000 рублей и не более 500 000 000 рублей |
от 1 500 000 до 2 000 000 рублей |
от 1% до 3% от выручки за предыдущий календ. год <5>, но не менее 25 000 000 рублей и не более 500 000 000 рублей |
--------------------------------
<1> Идентификатор - уникальное обозначение сведений о физлице в информационной системе.
<2> Либо если в предыдущем году не было выручки, то % взимается с выручки за предшествующую дате нарушения часть текущего календарного года, а с кредитной организации % взимается с собственных средств (капитала) на дату совершения административного правонарушения.
<3> То же.
<4> То же.
<5> То же.
Таблица 2. Санкции по ст. 13.11.3 "Нарушение требований в области размещения и обработки биометрических персональных данных в государственной информационной системе "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", иных информационных системах, обеспечивающих аутентификацию на основе биометрических персональных данных физических лиц" КоАП РФ.
|
Состав нарушения (с указанием номера части статьи) |
Размер штрафа |
|
|
для должностных лиц |
для организаций |
|
|
1. Нарушение требований при размещении и обновлении биометрических персональных данных в ГИС "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (далее - ГИС) банками, МФЦ и другими организациями |
от 100 000 до 300 000 рублей |
от 500 000 до 1 000 000 рублей |
|
2. Нарушение порядка обработки биометрических персональных данных в ГИС и ИС госорганов, ЦБ РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию физлиц на основе их биометрических данных, либо требований к технологиям и техсредствам обработки биометрических данных для идентификации и/или аутентификации физлиц |
от 100 000 до 300 000 рублей |
от 500 000 до 1 000 000 рублей |
|
3. Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в ГИС и других ИС |
от 300 000 до 500 000 рублей |
от 1 000 000 до 1 500 000 рублей |
|
4. Обработка биометрических персональных данных, векторов ГИС для аутентификации физлиц без аккредитации либо в случае, если аккредитация приостановлена или прекращена |
от 500 000 до 1 000 000 рублей |
от 1 000 000 до 2 000 000 рублей |
Распространенным нарушением является обработка персданных без надлежащего письменного согласия человека (его вовсе нет либо в нем не отражены сведения, которые фактически обрабатываются) - штраф за это повысили в прошлый раз: 23.12.2023 "вилка" для организаций резко подпрыгнула с 30 000 - 150 000 до 300 000 - 700 000 рублей и в последней партии изменений, принятой 30.11.2024, ее повышать дальше уже не стали.
Примечательно, что в КоАП РФ за нарушения по ч. 10 - 18 ст. 13.11 штрафы не накладываются одновременно на организацию и ее должностное лицо:
- в государственных, муниципальных органах, некоммерческих организациях наказываются только должностные лица, но не сами организации,
- а остальные организации полноценно подпадают под прессинг жестких санкций, предусмотренных для юрлиц, однако их должностные лица к ответственности не привлекаются.
Размер санкций для индивидуальных предпринимателей (ИП) такой же, как и для организаций за нарушения по ч. 1.1, 8 - 18 ст. 13.11. В остальных случаях по этой статье для ИП санкции ниже либо отсутствуют.
Тут важно вспомнить общее правило применения штрафов из разд. II КоАП РФ, в который входят и рассматриваемые нами санкции за ошибки в работе с персональными данными. Статья 4.1.2 КоАП РФ предусматривает существенное уменьшение размера штрафа, указанного в разд. II КоАП РФ, для определенных организаций, назовем их "льготниками":
- юрлиц, которые являются субъектами малого и среднего предпринимательства, в т.ч. отнесенными к микропредприятиям, при условии их включения в Единый реестр субъектов малого и среднего предпринимательства на момент совершения административного правонарушения;
- социально ориентированных некоммерческих организаций, включенных в Реестр социально ориентированных некоммерческих организаций - получателей поддержки на момент совершения административного правонарушения.
Теперь разберемся, как именно уменьшаются штрафы для таких организаций (причем к первой группе относится достаточно много юрлиц и для них это важно знать):
- общее правило: штраф для организации-"льготника" равен штрафу, предусмотренному для ИП. Есть нарушения, за которые штраф для ИП и организаций предусмотрен в одинаковом размере, тогда он действует и для организаций-"льготников", не уменьшаясь;
- если за нарушение, которому посвящена часть статьи, не предусмотрен штраф для ИП, но есть штраф для организации, то он уменьшается наполовину:
если штраф установлен в виде "вилки", то "уполовиниваются" ее нижняя и верхняя границы;
если норма КоАП РФ предусматривает безвариантный штраф в виде конкретной суммы, то она просто уменьшается в 2 раза.
Однако по результатам такого уменьшения сумма штрафа для организации-"льготника" не может быть менее минимальной планки штрафа должностного лица за то же нарушение.
Пример. Расчет уменьшенного штрафа для малого предприятия
За обработку персональных данных в целях, не указанных в согласии на их обработку, полагается штраф по ч. 1 ст. 13.11 КоАП РФ. Там нет штрафов для ИП, поэтому смотрим на штраф для организаций и уменьшаем его "вилку" в 2 раза:
- написано от 150 000 до 300 000 рублей,
- значит, для организации-"льготника" он будет в пределах 75 000 - 150 000 рублей.
После этого смотрим на штраф для должностных лиц за это нарушение - видим там 50 000 - 100 000 рублей, т.е. нижний предел в 50 000 рублей и так меньше 75 000 рублей, нижней планки "льготной вилки" штрафа, поэтому он никак не корректируется и остается в пределах 75 000 - 150 000 рублей.
В ч. 15 и 18 ст. 13.11 фактически предусмотрено ужесточение наказания за повторные утечки персональных данных. Отягчающими обстоятельствами при этом будут: продолжение противоправного поведения, несмотря на требование уполномоченных лиц прекратить его (п. 1 ч. 1 ст. 4.3 КоАП РФ), ранее совершенные нарушения по ч. 1 - 11 ст. 13.11, или по ст. 13.6 (использование ненадлежащих средств связи или шифрования), или ст. 13.12 (нарушение правил защиты информации) КоАП РФ. За каждое нарушение предусмотрена достаточно большая "вилка" наказания, а наличие отягчающих обстоятельств позволит суду назначить штраф по максимуму.
В ч. 1, 2, 6, 12 - 14 ст. 13.11 КоАП РФ есть оговорка, что они применяются, если данное деяние не подпадает под уголовное законодательство. С 11.12.2024 в УК РФ появилась ст. 272.1, которая устанавливает уголовное наказание только для физлиц - см. таблицу 3. Поплатиться можно не только деньгами, но и правом занимать определенные должности и даже лишением свободы. В примечании к этой статье сделана разумная оговорка, что она не распространяется на обработку персданных физлицами исключительно для личных и семейных нужд.
Таблица 3. Наказание по ст. 272.1 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения" УК РФ.
|
Состав нарушения (с указанием номера части статьи) |
Наказание |
|
1. Незаконные использование и/или передача (распространение, предоставление, доступ), сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа |
штраф до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года, либо принудительные работы на срок до 4 лет, либо лишение свободы на срок до 4 лет |
|
2. Деяния из ч. 1 ст. 272.1 в отношении: - персданных несовершеннолетних, - специальных категорий и/или - биометрических персданных |
штраф до 700 000 рублей или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо принудительные работы на срок до 5 лет, либо лишение свободы до 5 лет |
|
3. Деяния из ч. 1 или 2 ст. 272.1, совершенные: - из корыстной заинтересованности; - с причинением крупного ущерба; - группой лиц по предварительному сговору; - с использованием своего служебного положения |
штраф до 1 000 000 рублей или в размере зарплаты или иного дохода за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо принудительные работы на срок до 5 лет со штрафом до 1 000 000 рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишение свободы до 6 лет со штрафом в размере до 1 000 000 рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового |
|
4. Деяния из ч. 1, 2 или 3 ст. 272.1, сопряженные с трансграничной передачей (т.е. с пересечением границы России): - компьютерной информации с персданными и/или - носителей с ними |
лишение свободы до 8 лет со штрафом в размере до 2 000 000 или зарплаты или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового |
|
5. Деяния из ч. 1, 2, 3 или 4 ст. 272.1, если они повлекли тяжкие последствия либо совершены организованной группой |
лишение свободы до 10 лет со штрафом в размере до 3 000 000 рублей или зарплаты или иного дохода за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового |
|
6. Создание и/или обеспечение функционирования сайта в Интернете и (или) страницы сайта, информационной системы, программы, заведомо предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем |
штраф в размере до 700 000 рублей или зарплаты или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо принудительные работы до 5 лет со штрафом в размере до 700 000 рублей или иного дохода за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо лишение свободы до 5 лет со штрафом в размере до 700 000 рублей или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового |
