Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (ст. 24) лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ, а именно: гражданско-правовую, уголовную, административную, дисциплинарную и иную ответственность. Размер и характер санкций приведен в таблице ниже.
В таблице размер штрафов указан с учетом последних изменений.
| НПА | Статья |
Тип нарушения |
Наказание |
|||
|
граждане |
должностное лицо |
ИП |
юридическое лицо |
|||
|
Гражданско-правовая ответственность |
||||||
|
ГК РФ |
15 |
Причинение лицу убытков в результате нарушения правил обработки его персональных данных (далее – ПДн). Под убытками при этом понимаются:
|
Возмещение убытков. |
|||
|
152-ФЗ, ГК РФ |
24, 151 |
Причинение гражданину морального вреда в результате нарушения правил обработки ПДн. |
Компенсация морального вреда (физические или нравственные страдания) независимо от возмещения имущественного вреда понесенных субъектом убытков. |
|||
|
Уголовная ответственность |
||||||
|
УК РФ |
137 (ч.1, 2) |
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, за исключением случаев, предусмотренных статьей 272.1 УК РФ. |
|
|
– | – |
|
137 (ч.3) |
Незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, Либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия. |
|
– | – | – | |
|
138 |
Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. |
|
|
– | – | |
|
140 |
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. |
|
– | – | – | |
|
272 (ч.1) |
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, за исключением случаев, предусмотренных статьей 272.1 УК РФ. |
|
– | – | – | |
|
272 (ч.2) |
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние причинило крупный ущерб (сумма которого превышает 1 000 000 рублей) или было совершено из корыстной заинтересованности. |
|
– | – | – | |
|
272 (ч.3) |
Деяния, предусмотренные ч.1 или ч.2 ст. 272 УК РФ, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения. |
|
|
– | – | |
|
272 (ч.4) |
Деяния, предусмотренные ч. 1-3 ст. 272, если они повлекли тяжкие последствия или создали угрозу их наступления. |
|
|
– | – | |
|
272.1 (ч.1) |
Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, за исключением деяний, совершенных в отношении компьютерной информации, содержащей персональные данные, предусмотренные частью 2 статьи 272.1 УК РФ. |
|
– |
– |
– |
|
|
272.1 (ч.2) |
Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальные категории персональных данных и (или) биометрические персональные данные. |
|
– |
– |
– |
|
|
272.1 (ч.3) |
|
|
– |
– | – | |
|
272.1 (ч.4) |
Деяния, предусмотренные ч.1-3 ст. 272.1, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные. |
Лишение свободы на срок до 8 лет со штрафом в размере до 2 000 000 рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового. |
– |
– | – | |
|
272.1 (ч.5) |
Деяния, предусмотренные ч.1-4 ст. 272.1, если они повлекли тяжкие последствия либо совершены организованной группой. |
Лишение свободы на срок до 10 лет со штрафом в размере до 3 000 000 рублей или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового. |
– |
– | – | |
|
272.1 (ч.6) |
Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем. |
|
– |
– | – | |
|
274 (ч.1) |
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб. |
|
– | – | – | |
|
274 (ч.2) |
Деяние, предусмотренное ч.1 ст. 274, если оно повлекло тяжкие последствия или создало угрозу их наступления. |
|
– | – | – | |
|
Административная ответственность |
||||||
|
КоАП РФ |
5.39 |
Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации. |
– |
Штраф от 5 000 до 10 000 рублей. |
– |
– |
|
13.11 (ч.1) (вступит в силу с 30.05.2025) |
Обработка данных в случаях, не предусмотренных законодательством. |
Штраф от 10 000 до 15 000 рублей. За повторное нарушение – от 15 000 до 30 000 рублей. |
Штраф от 50 000 до 100 000 рублей. За повторное нарушение – 100 000 до 200 000 рублей. |
Как на юридических лиц. |
Штраф от 150 000 до За повторное нарушение – от 300 000 до 500 000 рублей. |
|
|
13.11 (ч.2) |
Обработка ПДн без письменного согласия субъекта. |
Штраф от 10 000 до 15 000 рублей. За повторное нарушение – от 15 000 до 30 000 рублей. |
Штраф от 100 000 до 300 000 рублей. За повторное нарушение – от 300 000 до 500 000 рублей. |
За повторное нарушение – штраф от 500 000 до |
Штраф от 300 000 до За повторное нарушение – от 1 000 000 до 1 500 000 рублей. |
|
|
13.11 (ч.3) |
Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн. |
Штраф от 1 500 до 3 000 рублей. |
Штраф от 6 000 до 12 000 рублей. |
Штраф от 10 000 до 20 000 рублей. |
Штраф от 30 000 до |
|
|
13.11 (ч.4) |
Невыполнение обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн. |
Штраф от 2 000 до 4 000 рублей. |
Штраф от 8 000 до 12 000 рублей. |
Штраф от 20 000 до 30 000 рублей. |
Штраф от 40 000 до |
|
|
13.11 (ч.5) |
Невыполнение оператором в сроки, установленные законодательством, требования об уточнении ПДн, их блокировании или уничтожении. |
Штраф от 2 000 до За повторное нарушение – от 20 000 до 30 000 рублей. |
Штраф от 8 000 до За повторное нарушение – от 30 000 до 50 000 рублей. |
Штраф от 20 000 до 40 000 рублей. За повторное нарушение – от 50 000 до 100 000 рублей. |
Штраф от 50 000 до За повторное нарушение – от 300 000 до 500 000 рублей. |
|
|
13.11 (ч.6) |
Невыполнение при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ. |
Штраф от 1 500 до |
Штраф от 8 000 до |
Штраф от 20 000 до 40 000 рублей. |
Штраф от 50 000 до |
|
|
13.11 (ч.7) |
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн. |
– |
Штраф от 6 000 до 12 000 рублей. |
– |
– |
|
|
13.11 (ч.8) |
Невыполнение оператором при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством РФ в области ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ. |
Штраф от 30 000 до 50 000 рублей. За повторное нарушение – от 50 000 до 100 000 рублей. |
Штраф от 100 000 до 200 000 рублей. За повторное нарушение – от 500 000 до 800 000 рублей. |
Как на юридических лиц. |
Штраф от 1 000 000 до 6 000 000 рублей. За повторное нарушение – штраф от 6 000 000 до 18 000 000 рублей. |
|
|
13.11 (ч.10) (вступит в силу с 30.05.2025)
|
Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных. |
Штраф от 5 000 до |
Штраф от 30 000 до |
Как на юридических лиц. |
Штраф от 100 000 до |
|
|
13.11 (ч.11) (вступит в силу с 30.05.2025) |
Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных. |
Штраф от 50 000 до |
Штраф от 400 000 до |
Как на юридических лиц. |
Штраф от 1 000 000 до 3 000 000 рублей. |
|
|
13.11 (ч.12) (вступит в силу с 30.05.2025) |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные:
если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. |
Штраф от 100 000 до |
Штраф от 200 000 до |
Как на юридических лиц. |
Штраф от 3 000 000 до 5 000 000 рублей. |
|
|
13.11 (ч.13) (вступит в силу с 30.05.2025) |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные:
если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. |
Штраф от 200 000 до |
Штраф от 300 000 до |
Как на юридических лиц. |
Штраф от 5 000 000 до 10 000 000 рублей. |
|
|
13.11 (ч.14) (вступит в силу с 30.05.2025) |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные:
если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. |
Штраф от 300 000 до |
Штраф от 400 000 до |
Как на юридических лиц. |
Штраф от 10 000 000 до 15 000 000 рублей. |
|
|
13.11 (ч.15) (вступит в силу с 30.05.2025) |
Совершение административного правонарушения, предусмотренного частями 12-14 статьи 13.11, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12-14, 16-18 статьи 13.11 и настоящей частью. |
Штраф от 400 000 до |
Штраф от 800 000 до 1 200 000 рублей. |
Как на юридических лиц. |
Штраф от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 20 000 000 рублей и не более 500 000 000 рублей. |
|
|
13.11 (ч.16) (вступит в силу с 30.05.2025) |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных. |
Штраф от 300 000 до |
Штраф от 1 000 000 до |
Как на юридических лиц. |
Штраф от 10 000 000 до 15 000 000 рублей. |
|
|
13.11 (ч.17) (вступит в силу с 30.05.2025) |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 КоАП РФ. |
Штраф от 400 000 до |
Штраф от 1 300 000 до |
Как на юридических лиц. |
Штраф от 15 000 000 до 20 000 000 рублей. |
|
|
13.11 (ч.18) (вступит в силу с 30.05.2025) |
Совершение административного правонарушения, предусмотренного частью 16 или 17 статьи 13.11, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12-17 статьи 13.11 и настоящей частью. |
Штраф от 500 000 до |
Штраф от 1 500 000 до |
Как на юридических лиц. |
Штраф от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 25 000 000 рублей и не более 500 000 000 рублей. |
|
|
13.11.2 |
Незаконное использование в случаях, предусмотренных ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети «Интернет» общедоступной информации в сети «Интернет» либо подключение к этим информационным системам и (или) программам для электронных вычислительных машин иных информационных систем в случаях, предусмотренных законодательством Российской Федерации об информации, информационных технологиях и о защите информации (вероятно, в первую очередь это касается госслужащих, работников организаций с государственными участием и финансовых организаций, осуществляющих передачу ПДн посредством мессенджеров из следующего перечня). |
– |
Штраф от 30 000 до 50 000 рублей. |
– |
Штраф от 100 000 до 700 000 рублей. |
|
|
13.11.3 (ч.1) |
Размещение и обновление банками, многофункциональными центрами предоставления государственных и муниципальных услуг, иными организациями в случаях, определенных федеральными законами, биометрических персональных данных субъекта персональных данных в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (далее – единая биометрическая система) с нарушением установленных законодательством Российской Федерации требований. |
– |
Штраф от 100 000 до 300 000 рублей. |
– |
Штраф от 500 000 до 1 000 000 рублей. |
|
|
13.11.3 (ч.2) (вступит в силу с 30.05.2025) |
Нарушение порядка обработки биометрических персональных данных в единой биометрической системе, порядка обработки биометрических персональных данных, векторов единой биометрической системы в информационных системах государственных органов, Центрального банка Российской Федерации, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации. |
– |
Штраф от 100 000 до 300 000 рублей. |
– |
Штраф от 500 000 до 1 000 000 рублей. |
|
|
13.11.3 (ч.3) (вступит в силу с 30.05.2025) |
Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в единой биометрической системе, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических персональных данных физических лиц, в том числе в информационных системах аккредитованных государственных органов. |
– |
Штраф от 300 000 до 500 000 рублей. |
– |
Штраф от 1 000 000 до 1 500 000 рублей. |
|
|
13.11.3 (ч.4) (вступит в силу с 30.05.2025) |
Обработка биометрических персональных данных, векторов единой биометрической системы для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Центрального банка Российской Федерации без аккредитации либо в случае, если аккредитация приостановлена или прекращена. |
– |
Штраф от 500 000 до 1 000 000 рублей. |
– |
Штраф от 1 000 000 до 2 000 000 рублей. |
|
|
13.14 |
Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. |
Штраф от 5 000 до 10 000 рублей. |
Штраф от 40 000 до 50 000 рублей или дисквалификация на срок до 3 лет. Примечание. Адвокаты, совершившие административное правонарушение, предусмотренное статьей 13.14 КОАП РФ, несут административную ответственность как должностные лица. |
– |
Штраф от 100 000 до 200 000 рублей. |
|
|
13.14.1 |
Незаконное получение информации с ограниченным доступом. |
Штраф от 5 000 до 10 000 рублей. |
Штраф от 40 000 до 50 000 рублей или дисквалификация на срок до 3 лет. |
– |
Штраф от 100 000 до 200 000 рублей. |
|
|
17.13 (ч.1) |
Нарушение предусмотренных законодательством Российской Федерации о государственной защите требований по обеспечению конфиденциальности сведений о защищаемых лицах и об их имуществе, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. |
Штраф от 50 000 до 70 000 рублей. |
Штраф от 100 000 до 300 000 рублей или дисквалификация на срок до 3 лет. |
– |
Штраф от 300 000 до 500 000 рублей. |
|
|
17.13 (ч.2) |
Сбор, передача (распространение, предоставление, доступ) персональных данных судей, прокурорских работников, следователей, лиц, производящих дознание, сотрудников органов внутренних дел, военнослужащих, сотрудников органов федеральной службы безопасности, сотрудников органов государственной охраны, сотрудников органов внешней разведки Российской Федерации, сотрудников Следственного комитета Российской Федерации, сотрудников войск национальной гвардии Российской Федерации, сотрудников органов или учреждений уголовно-исполнительной системы, сотрудников таможенных органов или сотрудников органов принудительного исполнения Российской Федерации в связи с осуществлением ими служебной деятельности или выполнением такими лицами общественного долга либо персональных данных близких таких лиц, совершенные с нарушением требований законодательства Российской Федерации в области персональных данных, за исключением случаев, предусмотренных частью 1 статьи 17.13 КОАП РФ, если эти действия не содержат признаков уголовно наказуемого деяния. |
Штраф от 20 000 до 40 000 рублей. |
Штраф от 50 000 до 100 000 рублей или дисквалификация до 3 лет. |
Штраф от 100 000 до 200 000 рублей. |
Штраф от 200 000 до 300 000 рублей. |
|
|
19.4 |
Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа, осуществляющего муниципальный контроль. |
Предупреждение или штраф от 500 до 1 000 рублей. |
Штраф от 2 000 до 4 000 рублей. |
– |
– |
|
|
19.4.1 (ч.1) |
Воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора), должностного лица организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора, должностного лица органа муниципального контроля по проведению проверок или уклонение от таких проверок. |
Штраф от 500 до 1 000 рублей. |
Штраф от 2 000 до 4 000 рублей. |
– |
Штраф от 5 000 до 10 000 рублей. |
|
|
19.4.1 (ч.2) |
Действия (бездействие), предусмотренные ч.1 ст. 19.4.1, повлекшие невозможность проведения или завершения проверки. |
– |
Штраф от 5 000 до 10 000 рублей. |
– |
Штраф от 20 000 до 50 000 рублей. |
|
|
19.4.1 (ч.3) |
Повторное совершение административного правонарушения, предусмотренного ч.2 ст. 19.4.1. |
– |
Штраф от 10 000 до 20 000 рублей или дисквалификация на срок от 6 месяцев до 1 года. |
– |
Штраф от 50 000 до 100 000 рублей. |
|
|
19.5 |
Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль. |
Штраф от 300 до 500 рублей. |
Штраф от 1 000 до 2 000 рублей или дисквалификация на срок до 3 лет. |
– |
Штраф от 10 000 до 20 000 рублей. |
|
|
19.7 |
Непредставление, несвоевременное представление или предоставление в неполном объеме/искаженном виде в государственный орган, осуществляющий государственный контроль (надзор), сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. |
Предупреждение или штраф от 100 до 300 рублей. |
Штраф от 300 до 500 рублей. |
– |
Штраф от 3 000 до 5 000 рублей. |
|
|
Дисциплинарная и материальная ответственность |
||||||
|
ТК РФ |
81 (ч.6 п.в), 193 |
Разглашение ПДн, ставших известными работнику в связи с исполнением им трудовых обязанностей. |
Увольнение. |
– |
– |
– |
|
90, 193 |
Ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника. |
|
– |
– |
– |
|
|
243 (ч.7) |
Разглашение сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных настоящим Кодексом, другими федеральными законами. |
Материальная ответственность в пределах среднего месячного заработка работника, если иное не предусмотрено ТК РФ или иными федеральными законами. |
– |
– |
– |
|
В случае, если у Вас возникли вопросы, обратитесь в службу поддержки по всем доступным каналам связи:
- через Онлайн-Консультант (в правом нижнем углу экрана);
- по номеру горячей линии - 8 800 500-52-33;
- или напишите письмо на адрес alfa@npc-ksb.ru.