Штрафы за нарушение закона о персональных данных в 2026 году

Штраф за обработку ПДн без согласия

Ответственность за нарушения, связанные с согласием на обработку ПДн, установлена статьей 13.11 КоАП РФ и разделяется на два состава.

Ч.1 статьи 13.11 КоАП РФ применяется, когда обработка ПДн ведется без согласия субъекта в принципе, то есть оператор собирает, хранит или использует персональные данные, не имея на это никакого правового основания. Штраф для юридического лица составляет от 150 000 до 300 000 рублей при первичном нарушении и от 300 000 до 500 000 рублей при повторном.

Ч. 2 статьи 13.11 КоАП РФ применяется в случаях, когда закон требует письменного согласия, но оператор его не получил либо получил с нарушениями. Письменная форма обязательна, в частности, при обработке специальных категорий ПДн: сведений о состоянии здоровья, религиозных убеждениях, политических взглядах, а также биометрических ПДн. Штраф для юридического лица составляет от 300 000 до 700 000 рублей при первичном нарушении и от 1 000 000 до 1 500 000 рублей при повторном.

Под эти нарушения попадает больше ситуаций, чем кажется на первый взгляд. Форма на сайте без чекбокса согласия, хранение резюме соискателей в базе без оформленного документа, продолжение обработки ПДн после требования субъекта о ее прекращении — все это служит основаниями для штрафа.

Отдельной ловушкой является согласие, составленное формально. Если в документе не указаны цели обработки, категории ПДн или способы отзыва согласия, при проверке РКН он будет признан ненадлежащим.

Штраф за отсутствие политики конфиденциальности и документов

Согласно части 2 статьи 18.1 152-ФЗ, любой оператор, собирающий ПДн через сайт, обязан опубликовать политику конфиденциальности в открытом доступе. Ответственность за ее отсутствие установлена частью 3 статьи 13.11 КоАП РФ. Штраф составляет от 1 500 до 3 000 рублей для граждан, от 6 000 до 12 000 для должностных лиц, от 10 000 до 20 000 для ИП и от 30 000 до 60 000 рублей для юридических лиц.

Однако публикация документа закрывает лишь часть требований. Помимо политики у оператора должны быть внутренние локальные акты: приказ о назначении ответственного за обработку ПДн, регламент обработки ПДн, перечень обрабатываемых ПДн с указанием целей и сроков хранения.

Отсутствие любого из этих документов фиксируется при проверке РКН как самостоятельное нарушение.

Штраф за игнорирование запросов субъектов персональных данных

Каждый человек, чьи ПДн обрабатывает компания, вправе запросить информацию об этой обработке, потребовать уточнения, удаления или блокировки своих данных. Игнорирование таких запросов является отдельным составом нарушения по частям 4, 5 и 5.1 статьи 13.11 КоАП РФ.

Часть 4 применяется, когда оператор не предоставил субъекту информацию об обработке его ПДн. Штраф для юридического лица составляет от 40 000 до 80 000 рублей, для ИП — от 20 000 до 30 000 рублей, для должностного лица — от 8 000 до 12 000 рублей.

Часть 5 применяется, когда оператор не выполнил в установленные сроки требование субъекта об уточнении, блокировании или уничтожении его ПДн. Штраф для юридического лица составляет от 50 000 до 90 000 рублей, для ИП — от 20 000 до 40 000 рублей, для должностного лица — от 8 000 до 20 000 рублей.

Часть 5.1 применяется при повторном невыполнении того же требования и влечет для юридического лица штраф от 300 000 до 500 000 рублей, для ИП — от 50 000 до 100 000 рублей, для должностного лица — от 30 000 до 50 000 рублей.

По статье 14 закона 152-ФЗ оператор обязан ответить на запрос субъекта в течение 10 рабочих дней. Если данные действительно неточные, устаревшие или получены незаконно, необходимо внести изменения или уничтожить их в течение 7 рабочих дней. Нарушение этих сроков, отказ без мотивированного обоснования или полное молчание в ответ на обращение фиксируются как нарушение, даже если сама обработка ПДн велась правомерно.

На практике компании чаще всего нарушают этот порядок не умышленно: запрос приходит на общую почту и теряется, ответственный сотрудник не назначен, внутреннего регламента обработки обращений не существует. В результате такие компании получают штраф.

Штраф за непостановку на учет в Роскомнадзоре

До начала обработки ПДн оператор обязан уведомить Роскомнадзор и быть внесен в реестр операторов. Работа без такого уведомления квалифицируется как нарушение части 10 статьи 13.11 КоАП РФ. Штраф составляет от 100 000 до 300 000 рублей для юридического лица и от 30 000 до 50 000 рублей для должностного лица.

Отсутствие в реестре операторов — это первое, что проверяет РКН при любом обращении или жалобе на компанию. Если оператор не стоит на учете, это автоматически становится поводом для внеплановой проверки, в ходе которой выявляются уже все остальные нарушения с более серьезными санкциями.

Штраф за утечку персональных данных: оборотные санкции

Утечка персональных данных — наиболее финансово опасный вид нарушения для бизнеса. С 2025 года действует градация штрафов в зависимости от масштаба инцидента, а при повторной утечке включается механизм оборотных санкций.

Штрафы за первичную утечку

Оборотные штрафы при повторной утечке

Если компания допускает утечку повторно, фиксированные суммы уступают место оборотному штрафу — от 1% до 3% от годовой выручки организации. При этом установлены жесткие границы: минимум 25 млн рублей, максимум 500 млн рублей. Расчет ведется от выручки, а не от прибыли. Таким образом, для бизнеса с оборотом от 500 млн рублей повторный инцидент может обернуться суммой, сопоставимой с годовым финансовым результатом.

Отдельный штраф за молчание: ловушка 24 часов

Помимо санкций за саму утечку, федеральный закон устанавливает самостоятельную ответственность за несвоевременное уведомление регулятора. Согласно части 3.1 статьи 21 152-ФЗ, оператор обязан:

• в течение 24 часов с момента обнаружения инцидента уведомить РКН о факте утечки, ее предполагаемых причинах и предпринятых мерах по устранению;
• в течение 72 часов предоставить результаты внутреннего расследования.

Нарушение этих сроков влечет отдельный штраф до 3 000 000 рублей (для организаций). Попытка скрыть инцидент и провести тихое внутреннее расследование обходится дороже, чем своевременное раскрытие.

Уголовная ответственность за нарушение закона о персональных данных

Административные штрафы взыскиваются с компании как юридического лица. Уголовная ответственность, в свою очередь, наступает для конкретного человека.

С 2024 года в Уголовном кодексе действует статья 272.1 УК РФ, устанавливающая ответственность за незаконную обработку ПДн. Под ее действие попадают сбор, хранение, использование, передача и распространение ПДн, доступ к которым получен незаконным способом.

За базовый состав предусмотрен штраф до 300 000 рублей или лишение свободы на срок до 4 лет. Если нарушение совершено с использованием служебного положения или в крупном размере, штраф возрастает до 1 000 000 рублей, а срок лишения свободы до 6 лет. За наиболее тяжкий состав, действия организованной группы или с причинением тяжелых последствий, предусмотрен штраф до 3 000 000 рублей или лишение свободы на срок до 10 лет.

Уголовное дело может быть возбуждено в отношении любого физического лица, причастного к незаконной обработке ПДн: руководителя компании, системного администратора, сотрудника отдела кадров или маркетолога, передавшего базу клиентов третьим лицам. Служебное положение при этом не смягчает, а отягчает ответственность.

Важно понимать, что уголовное и административное преследование не исключают друг друга. Оба процесса могут идти параллельно.

Что делать, чтобы избежать штрафов?

Избежать санкций позволяет не отсутствие проверок, а выстроенная система работы с ПДн. На практике это означает пять базовых шагов.

• Привести документацию в порядок. Прежде всего у оператора ПДн должны быть корректно оформленные согласия на их обработку, актуальная политика конфиденциальности на сайте, внутренние регламенты и приказ о назначении ответственного лица. Отсутствие любого из этих элементов фиксируется при проверке как самостоятельное нарушение.
• Встать на учет в Роскомнадзоре. Отсутствие в реестре операторов — первое, что фиксирует регулятор при любом поводе обратить внимание на компанию: жалобе клиента, утечке данных или плановой проверке.
• Выстроить процесс реагирования на запросы субъектов. Назначить ответственного, настроить маршрут входящих обращений, установить внутренние дедлайны, чтобы запрос на удаление или уточнение ПДн не терялся на общей почте.
• Проводить регулярный аудит. Созданные несколько лет назад и не обновляемые документы не защищают от штрафов. Законодательство и бизнес-процессы меняются, и документация должна им соответствовать. Аудит позволяет выявить расхождения до того, как их обнаружит регулятор.
• Иметь план реагирования на инциденты. Если утечка все же произошла, от скорости действий оператора зависит многое. При назначении размера штрафа суд принимает во внимание такие факторы, как поданное в течение суток уведомление в РКН, проведенное внутреннее расследование и принятые меры. Компания, которая действовала прозрачно и оперативно, имеет основания рассчитывать на смягчение санкций.

Поделиться в социальных сетях:

Андрей Лихачев

Руководитель компании

14 лет опыта

Более 400 выигранных дел

Автор статьи

121 публикация на сайте

Подробнее о специалисте