Штрафы за нарушения в работе с персональными данными
Смотреть Содержание
В настоящее время вопросы защиты личной информации и соблюдения законов, регулирующих ее использование, становятся все более актуальными. Обработка личных данных без согласия субъекта запрещена и может повлечь за собой юридическую ответственность и большие штрафы.
В статье рассмотрим, какие штрафы предусмотрены за нарушение в работе с персданными.
Общая информация о персональных данных
Основным нормативным актом, регулирующим сферу персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ. Персональными данными считается любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо. К ним относятся — ФИО, паспортные данные, номер телефона, сведения о семейном, социальном и имущественном положении и другие.
Любые действия с личными сведениями субъекта, включая сбор, систематизацию, хранение, изменение, использование, распространение и удаление, считаются их обработкой. Организации, осуществляющие обработку персданных, обязаны принимать необходимые меры для их защиты. Ст. 24 Федеральный закон от 27.07.2006 № 152-ФЗ и ст. 13.11 КоАП РФ устанавливают ответственность за нарушение требований законодательства в данной сфере.
За какие нарушения можно получить штраф
Чтобы обрабатывать персданные компания должна выполнять определенные правила:
- Разработать внутренний регламент, регулирующий работу с личной информацией: прописать методы сбора, хранения, обработки и уничтожения данных, а также определить круг лиц, обладающих правом доступа к ним.
- До начала сбора сведений направить извещение в Роскомнадзор.
- Получить согласия владельца персданных на их обработку. В некоторых случая согласие должно быть в письменной форме.
- Использовать информационные системы, которые находятся на территории РФ, для выполнения действий с данными.
- Обеспечить защиту личной информации субъекта от несанкционированного доступа и не допускать утечку.
За несоблюдение закона о персональных данных предусмотрена дисциплинарная, административная и уголовная ответственность. Она может возникнуть в случаях:
- Разглашение персданных без согласия субъекта.
- Нарушение правил обработки или незаконную обработку.
- Несанкционированный доступ к компьютерной информации, повлекший за собой уничтожение, блокировку, модификацию (изменение) или копирование информации.
- Утечку персональных данных или иное невыполнение требований по их защите.
- Нарушения при работе с биометрическими данными.
- Уклонение от исполнения обязанностей при взаимодействии с Роскомнадзором.
- Неправомерный отказ должностного лица в предоставлении гражданину документов и материалов, которые были собраны в установленном порядке и напрямую касаются прав и свобод этого гражданина.
Кроме того, нарушение законодательства в этой области влечет гражданско-правовую ответственность, включая компенсацию морального вреда, возмещение убытков и выплату неустойки, если она предусмотрена договором. Компенсация морального вреда осуществляется независимо от возмещения имущественного вреда и убытков (ч. 2 ст. 24 Закона о персональных данных). Ответственность наступает при нарушении прав субъекта, установленных законом, правил обработки и требований к защите персональных данных.
Новые требования к обработке персданных
С мая 2025 года будут введены новые требования к обработке личной информации, кроме этого увеличатся штрафные санкции. Новые требования:
👉 Информировать Роскомнадзор о любых операциях с персданными. Любой субъект, работающий с личной информацией, должен направлять уведомления об этом в Роскомнадзор.
👉 Для международной передачи персональных данных требуется получение разрешения. Если операторы, планируют передавать данные за границу, должны получить согласие Роскомнадзора.
👉 Усложнились процедуры ведения документации. Если ранее хватало согласия на обработку данных, полученных операторами из списка Роскомнадзора, то теперь необходимо подготовить расширенный пакет документов.
👉 Изменили примечания к статье 13.11 КоАП. Так, согласно примечанию, с 30 мая 2025 года за нарушения в связи с персданными по ч. 1.1, ч. 8 – 18 ст. 13.11 КоАП ИП несут такую же ответственность, как юрлица.
Размеры штрафов за нарушения по персональным данным
| Нарушение | Размер штрафа до 30 мая 2025 года, руб. | Размер штрафа после 30 мая 2025 года, руб. |
|---|---|---|
| Обработка персданных не предусмотрена по закону |
— от 2 000 до 6 000 — физлиц — от 10 000 до 20 000 — должностное лицо — от 60 000 до 100 000 — компании |
— от 10 000 до 15 000 — физлиц — от 50 000 до 100 000 — должностное лицо — от 150 000 до 300 000 — компании |
| За повторное нарушение обработки не предусмотренной по закону |
— от 4 000 до 12 000 — физлиц — от 20 000 до 50 000 — должностное лицо — от 50 000 до 100 000 — ИП — от 100 000 до 300 000 — компании |
— от 15 000 — 30 000 — физлиц — от 100 000 до 200 000 — должностное лицо — от 100 000 до 200 000 — от 300 000 до 500 000 — компании |
| Обработка без письменного согласия субъекта, когда оно необходимо |
— от 10 000 до 15 000 — физлиц — от 100 000 до 300 000 — должностное лицо — от 300 000 до 700 000 — компании |
|
| Повторное по обработке без письменного согласия субъекта, когда оно необходимо |
— от 15 000 до 30 000 — физлиц — от 300 000 до 500 000 — должностное лицо — от 500 000 до 1 млн — ИП — от 1 млн до 1,5 млн — компании |
|
| Не опубликовали политику обработки персданных |
— от 1 500 до 3 000 — физлиц — от 6 000 до 12 000 — должностное лицо — от 10 000 до 20 000 — ИП — от 30 000 до 60 000 — компании |
|
| Не предоставили субъекту информацию по его запросу |
— от 2 000 до 4 000 — физлиц — от 8 000 до 12 000 — должностное лицо — от 20 000 до 30 000 — ИП — от 40 000 до 80 000 — компании |
|
| Не выполнение в срок требования об уточнении, блокировании или уничтожении данных |
— от 2 000 до 4 000 — физлиц — от 8 000 до 20 000 — должностное лицо — от 20 000 до 40 000 — ИП — от 50 000 до 90 000 — компании |
|
| Повторное невыполнение в срок требования |
— от 20 000 до 30 000 — физлиц — от 30 000 до 50 000 — должностное лицо — от 50 000 до 100 000 — ИП — от 300 000 до 500 000 — компании |
|
| Не обеспечили сохранность данных при обработке без средств автоматизации и хранении на материальных носителях |
— от 1 500 до 4 000 — физлиц — от 8 000 до 12 000 — должностное лицо — от 20 000 до 40 000 — ИП — от 50 000 до 100 000 — компании |
|
| Невыполнение обязанности по обезличиванию персональных данных | — от 6 000 до 12 000 — должностное лицо | |
| Невыполнение оператором при сборе данных, в том числе через интернет, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения |
— от 30 000 до 50 000 — физлиц — от 100 000 до 200 000 — должностное лицо — от 1 млн до 6 млн — компании |
|
| Повторное невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения |
— от 50 000 до 100 000 — физлиц — от 500 000 до 800 000 — должностное лицо — от 6 млн до 18 млн — компании |
|
| Обработка биометрических персональные данные с нарушением правил |
— от 100 000 до 500 000 — должностное лицо — от 500 000 до 1 млн — компании |
|
Штрафы за уклонение от исполнения обязанностей от Роскомнадзором
| Нарушение | Размер штрафа, руб. |
|---|---|
| Непредоставление информацию по требованию Роскомнадзора |
— от 100 до 300 — физлиц — от 300 до 500 — должностное лицо — от 300 до 500 — ИП — от 3 000 до 5 000 — компании |
| Препятствие проверке Роскомнадзора или уклоняетесь от нее |
— от 500 до 1 000 — физлиц — от 2 000 до 4 000 — должностное лицо — от 2 000 до 4 000 — ИП — от 5 000 до 10 000 — компании |
| Препятствие Роскомнадзору завершить проверку |
— от 5 000 до 10 000 — должностное лицо — от 5 000 до 10 000 — ИП — от 20 000 до 50 000 — компании |
| Повторное препятствие Роскомнадзору завершить проверку |
— от 10 000 до 20 000 или дисквалификация от 6 мес. до 1 года — Должностное лицо — от 10 000 до 20 000 или дисквалификация от 6 мес. — ИП — от 50 000 до 100 000 — компании |
| Невыполнение в срок предписание Роскомнадзора об устранении нарушений |
— от 300 до 500 — физлиц — от 1 000 до 2 000 или дисквалификация до 3 лет — должностное лицо — от 1 000 до 2 000 или дисквалификация до 3 лет — ИП — от 10 000 до 20 000 — компании |
| Новые штрафы, начнуть действовать с 30 мая 2025 года | Новые штрафы, начнуть действовать с 30 мая 2025 года |
| Неуведомление Роскомнадзора о начале обработке персданных |
— от 5 000 до 10 000 — физлиц — от 30 000 до 50 000 — должностное лицо — от 100 000 до 300 000 — компании |
| Неоповещение Роскомнадзора об утечке персональных данных |
— от 50 000 до 100 000 — физлиц — от 400 000 до 800 000 — должностное лицо — от 1 млн до 3 млн — компании |
Штрафы за утечку персданных
С 30 мая будут изменены штрафные санкции за утечку личной информации. Если прежде максимальный штраф составлял 700 тысяч рублей, то с 30 мая 2025 года размер взыскания будут зависеть от числа пострадавших лиц и объема уникальных данных.
Первичная утечка данных
| Объем персданных | Штраф, руб. |
|---|---|
| От 1 000 до 10 000 субъектов, и/или от 10 000 до 100 000 идентификаторов |
— от 100 000 до 200 000 — физлиц — от 200 000 до 400 000 — должностное лицо — от 3 млн до 5 млн — компании |
| От 10 000 до 100 000 субъектов, и/или от 100 000 до 1 000 000 идентификаторов |
— от 200 000 до 300 000 — физлиц — от 300 000 до 500 000 — должностное лицо — от 5 млн до 10 млн — компании |
| Более 100 000 субъектов, и/или более 1 000 000 идентификаторов |
— от 300 000 до 400 000 — физлиц — от 400 000 до 600 000 — должностное лицо — от 10 млн до 15 млн — компании |
Вторичная утечка данных
Если во вторичной утечке только общие данные, штрафы составляет:
👉 для физлиц — от 400 000 до 600 000;
👉 для должностных лиц — от 800 000 до 1 млн;
👉 для компании — от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 20 млн руб. и не более 500 млн руб.
Если во вторичной утечке есть специальные и биометрический данные, то штраф может достигнуть 500 млн руб.
Другие штрафы
До 30 мая размер ответственности за общие, специальные и биометрические данные не отличается. После вступления изменений начнут действовать отдельные штрафы за утечку данных этих категорий. Штраф за утечка специальных категорий для компании составит от 10 млн руб. до 15 млн руб. А если произошла утечка биометрических данных, то компании придется заплатить от 15 млн руб. до 20 млн руб.
Президент утвердил закон, вводящий санкции за неправомерное использование, распространение, сбор и хранение цифровых данных, содержащих личную информацию, полученную незаконным способом. Предусмотрено наказание в виде штрафа от 300 000 руб. до 400 000 руб., или исправительных работ сроком до 4 лет, или лишения свободы на тот же срок.
В случае, если нарушение касается компьютерной информации, включающей особые или биометрические сведения, мера наказания становится более суровой: штраф может достигать 700 000 рублей, принудительные работы — до 5 лет или лишение свободы — до 5 лет. Если же противоправные действия повлекли за собой серьезные последствия или были совершены организованной группой, виновному грозит заключение на срок до 10 лет и штраф в размере до 3 млн руб. (ст. 272.1 УК РФ).