Штрафы за персональные данные

С 30 мая 2025 г. вступили в силу самые крупные многомиллионные штрафы (в т.ч. % с годовой выручки) за нарушения в работе с персональными данными. В табличной форме показываем все виды нарушений в этой сфере и наказаний за них, которые действуют на данный момент в административном и уголовном кодексах. Комментируем самые примечательные моменты. Например, за что и в каких организациях оштрафуют только должностное лицо, а в каких только само юрлицо, каким организациям штраф уменьшат в 2 раза или взыщут как с ИП.

В последний раз ужесточение санкций на нарушения в работе с персональными данными было сделано 30.11.2024 в Уголовном и Административном кодексах РФ (двумя федеральными законами № 420-ФЗ и № 421-ФЗ). Какие-то положения вскоре вступили в силу – с 11.12.2024, а самые жесткие по КоАП РФ отложили до 30.05.2025, т.е. теперь заработал весь «пакет санкций». Чтобы вам легче было ориентироваться, приведем его в виде таблиц.

Отсрочка дала возможность организациям подготовиться – 30.05.2025 в КоАП РФ вступили в силу:

1) части 10–18 ст. 13.11 (см. Таблицу 1) с самыми крупными штрафами:

за неуведомление Роскомнадзора;
за массовую утечку персданных (чем больше «потеряли», тем дороже это обойдется) и утерю специальных и биометрических персданных – тут штрафы исчисляются миллионами. А за повторные нарушения переходят уже к оборотным штрафам – от 1% до 3% от выручки за предыдущий календарный год, но не менее 20 000 000 рублей и не более 500 000 000 рублей;

2) повышение в 3–5 раз штрафов за обработку персданных не в заявленных целях либо когда они не предусмотрены законодательством. В ч. 1 ст. 13.11:

для организаций штраф раньше был от 60 000 до 100 000, стал от 150 000 до 300 000 рублей;
для должностных лиц был от 10 000 до 20 000, стал от 50 000 до 100 000 рублей;

3) части 2–4 ст. 13.11.3, более детально разграничивающие варианты нарушений в работе с биометрическими персданными и штрафы за них.

Распространенным нарушением является обработка персданных без надлежащего письменного согласия человека (его вовсе нет либо в нем не отражены сведения, которые фактически обрабатываются) – штраф за это повысили в прошлый раз: 23.12.2023 «вилка» для организаций резко подпрыгнула с 30 000–150 000 до 300 000–700 000 рублей и в последней партии изменений, принятой 30.11.2024, ее повышать дальше уже не стали.

Таблица 1. Санкции по ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ

Состав нарушения (с указанием номера части статьи)	Размер штрафа
Состав нарушения (с указанием номера части статьи)	для граждан	для ИП	для должностных лиц	для организаций
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо несовместимая с заявленными целями	от 10 000 до 15 000 рублей	–––	от 50 000 до 100 000 рублей	от 150 000 до 300 000 рублей
1.1. Повторное нарушение ч. 1 ст. 13.11	от 15 000 до 30 000 рублей	от 300 000 до 500 000 рублей	от 100 000 до 200 000 рублей	от 300 000 до 500 000 рублей
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено, либо с нарушением состава сведений, включаемых в такое согласие	от 10 000 до 15 000 рублей	–––	от 100 000 до 300 000 рублей	от 300 000 до 700 000 рублей
2.1. Повторное нарушение ч. 2 ст. 13.11	от 15 000 до 30 000 рублей	от 500 000 до 1 000 000 рублей	от 300 000 до 500 000 рублей	от 1 000 000 до 1 500 000 рублей
3. Отсутствие публикации (или иного всеобщего способа доступа) политики обработки (и защиты) персональных данных	от 1 500 до 3 000 рублей	от 10 000 до 20 000 рублей	от 6 000 до 12 000 рублей	от 30 000 до 60 000 рублей
4. Непредоставление человеку информации, касающейся обработки его персональных данных	от 2 000 до 4 000 рублей	от 20 000 до 30 000 рублей	от 8 000 до 12 000 рублей	от 40 000 до 80 000 рублей
5. Невыполнение в срок требования об уточнении, блокировке или уничтожении персональных данных (если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки)	от 2 000 до 4 000 рублей	от 20 000 до 40 000 рублей	от 8 000 до 12 000 рублей	от 50 000 до 90 000 рублей
5.1. Повторное нарушение ч. 5 ст. 13.11	от 20 000 до 30 000 рублей	от 50 000 до 100 000 рублей	от 30 000 до 50 000 рублей	от 300 000 до 500 000 рублей
6. Неправомерный или случайный доступ к персональным данным на материальных носителях (обрабатываемых без средств автоматизации), их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия, вызванные невыполнением установленных законом обязанностей	от 1 500 до 4 000 рублей	от 20 000 до 40 000 рублей	от 8 000 до 20 000 рублей	от 50 000 до 100 000 рублей
7. Невыполнение государственным, муниципальным органом обязанности или несоблюдение методов обезличивания персональных данных	–––	–––	от 6 000 до 12 000 рублей	–––
8. Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ	от 30 000 до 50 000 рублей	от 1 000 000 до 6 000 000 рублей	от 100 000 до 200 000 рублей	от 1 000 000 до 6 000 000 рублей
9. Повторное нарушение ч. 8 ст. 13.11	от 50 000 до 100 000 рублей	от 6 000 000 до 18 000 000 рублей	от 500 000 до 800 000 рублей	от 6 000 000 до 18 000 000 рублей
Отсутствие или просрочка уведомления Роскомнадзора:
10. о намерении осуществлять обработку персональных данных	от 5 000 до 10 000 рублей	от 100 000 до 300 000 рублей	от 30 000 до 50 000 рублей	от 100 000 до 300 000 рублей
11. о неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных	от 50 000 до 100 000 рублей	от 1 000 000 до 3 000 000 рублей	от 400 000 до 800 000 рублей	от 1 000 000 до 3 000 000 рублей
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, в зависимости от их количества:
12. от 1 000 до 10 000 субъектов персональных данных и (или) от 10 000 до 100 000 идентификаторов¹	от 100 000 до 200 000 рублей	от 3 000 000 до 5 000 000 рублей	от 200 000 до 400 000 рублей	от 3 000 000 до 5 000 000 рублей
13. от 10 000 до 100 000 субъектов персональных данных и (или) от 100 000 до 1 000 000 идентификаторов	от 200 000 до 300 000 рублей	от 5 000 000 до 10 000 000 рублей	от 300 000 до 500 000 рублей	от 5 000 000 до 10 000 000 рублей
14. более 100 000 субъектов персональных данных и (или) более 1 000 000 идентификаторов	от 300 000 до 400 000 рублей	от 10 000 000 до 15 000 000 рублей	от 400 000 до 600 000 рублей	от 10 000 000 до 15 000 000 рублей
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, в зависимости от их категории:
16. специальная категория	от 300 000 до 400 000 рублей	от 10 000 000 до 15 000 000 рублей	от 1 000 000 до 1 300 000 рублей	от 10 000 000 до 15 000 000 рублей
17. биометрические данные	от 400 000 до 500 000 рублей	от 15 000 000 до 20 000 000 рублей	от 1 300 000 до 1 500 000 рублей	от 15 000 000 до 20 000 000 рублей
15. Нарушение ч. 12–14 лицом, ранее наказанным за нарушение ч. 12–18 ст. 13.11	от 400 000 до 600 000 рублей	от 1% до 3% от выручки за предыдущий календ. год², но не менее 20 000 000 рублей и не более 500 000 000 рублей	от 800 000 до 1 200 000 рублей	от 1% до 3% от выручки за предыдущий календ. год³, но не менее 20 000 000 рублей и не более 500 000 000 рублей
18. Совершение административного правонарушения по ч. 16 или 17 ст. 13.11 лицом, подвергнутым наказанию по ч. 12–17 ст. 13.11	от 500 000 до 800 000 рублей	от 1% до 3% от выручки за предыдущий календ. год⁴, но не менее 25 000 000 рублей и не более 500 000 000 рублей	от 1 500 000 до 2 000 000 рублей	от 1% до 3% от выручки за предыдущий календ. год⁵, но не менее 25 000 000 рублей и не более 500 000 000 рублей

Примечательно, что в КоАП РФ за нарушения по ч. 10–18 ст. 13.11 штрафы не накладываются одновременно на организацию и ее должностное лицо:

в государственных, муниципальных органах, некоммерческих организациях наказываются только должностные лица, но не сами организации,
а остальные организации полноценно подпадают под прессинг жестких санкций, предусмотренных для юрлиц, однако их должностные лица к ответственности не привлекаются.

Размер санкций для индивидуальных предпринимателей (ИП) такой же как и для организаций за нарушения по частям 1.1, 8–18 ст. 13.11. В остальных случаях по этой статье для ИП санции ниже либо отсутствуют.

Тут важно вспомнить общее правило применения штрафов из раздела II КоАП РФ, в который входят и рассматриваемые нами санкции за ошибки в работе с персональными данными. Статья 4.1.2 КоАП РФ предусматривает существенное уменьшение размера штрафа, указанного в разделе II КоАП РФ, для определенных организаций, назовем их «льготниками»:

юрлиц, которые являются субъектами малого и среднего предпринимательства, в т.ч. отнесенными к микропредприятиям, при условии их включения в Единый реестр субъектов малого и среднего предпринимательства на момент совершения административного правонарушения;
социально ориентированных некоммерческих организаций, включенных в Реестр социально ориентированных некоммерческих организаций – получателей поддержки на момент совершения административного правонарушения.

Теперь разберемся, как именно уменьшаются штрафы для таких организаций (причем к первой группе относится достаточно много юрлиц и для них это важно знать):

общее правило: штраф для «организации-льготника» равен штрафу, предусмотренному для ИП. Есть нарушения, за которые штраф для ИП и организаций предусмотрен в одинаковом размере, тогда он действует и для «организаций-льготников», не уменьшаясь;
если за нарушение, которому посвящена часть статьи, не предусмотрен штраф для ИП, но есть штраф для организации, то он уменьшается наполовину:

если штраф установлен в виде «вилки», то «уполовинивается» ее нижняя и верхняя границы;
если норма КоАП РФ предусматривает безвариантный штраф в виде конкретной суммы, то она просто уменьшается в 2 раза.

Однако по результатам такого уменьшения сумма штрафа для «организации-льготника» не может быть менее минимальной планки штрафа должностного лица за то же нарушение.

Пример 1. Расчет уменьшенного штрафа для малого предприятия

За обработку персональных данных в целях, не указанных в согласии на их обработку, полагается штраф по ч. 1 ст. 13.11 КоАП РФ. Там нет штрафов для ИП, поэтому смотрим на штраф для организаций и уменьшаем его «вилку» в 2 раза:

написано от 150 000 до 300 000 рублей,
значит, для «организации-льготника» он будет в пределах 75 000–150 000 рублей.

После этого смотрим на штраф для должностных лиц за это нарушение – видим там 50 000–100 000 рублей, т.е. нижний предел в 50 000 рублей и так меньше 75 000 рублей, нижней планки «льготной вилки» штрафа, поэтому она никак не корректируется и остается в пределах 75 000–150 000 рублей.

В частях 15 и 18 ст. 13.11 фактически предусмотрено ужесточение наказания за повторные утечки персональных данных. Отягчающими обстоятельствами при этом будут: продолжение противоправного поведения, несмотря на требование уполномоченных лиц прекратить его (п. 1 ч. 1 ст. 4.3 КоАП РФ), ранее совершенные нарушения по ч. 1–11 ст. 13.11, или по ст. 13.6 (использование ненадлежащих средств связи или шифрования), или ст. 13.12 (нарушение правил защиты информации) КоАП РФ. За каждое нарушение предусмотрена достаточно большая «вилка» наказания, а наличие отягчающих обстоятельств позволит суду назначить штраф по максимуму.

В ч. 1, 2, 6, 12–14 ст. 13.11 КоАП РФ есть оговорка, что они применяются, если данное деяние не подпадает под уголовное законодательство. С 11.12.2024 в УК РФ появилась ст. 272.1, которая устанавливает уголовное наказание только для физлиц – см. Таблицу 3. Поплатиться можно не только деньгами, но и правом занимать определенные должности и даже лишением свободы. В примечании к этой статье сделана разумная оговорка, что она не распространяется на обработку персданных физлицами исключительно для личных и семейных нужд.

Таблица 2. Санкции по ст. 13.11.3 «Нарушение требований в области размещения и обработки биометрических персональных данных в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», иных информационных системах, обеспечивающих аутентификацию на основе биометрических персональных данных физических лиц» КоАП РФ

Состав нарушения (с указанием номера части статьи)	Размер штрафа
Состав нарушения (с указанием номера части статьи)	для должностных лиц	для организаций
1. Нарушение требований при размещении и обновлении биометрических персональных данных в ГИС «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» (далее – ГИС) банками, МФЦ и др. организациями	от 100 000 до 300 000 рублей	от 500 000 до 1 000 000 рублей
2. Нарушение порядка обработки биометрических персональных данных в ГИС и ИС госорганов, ЦБ РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию физлиц на основе их биометрических данных, либо требований к технологиям и техсредствам обработки биометрических данных для идентификации и (или) аутентификации физлиц	от 100 000 до 300 000 рублей	от 500 000 до 1 000 000 рублей
3. Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в ГИС и других ИС	от 300 000 до 500 000 рублей	от 1 000 000 до 1 500 000 рублей
4. Обработка биометрических персональных данных, векторов ГИС для аутентификации физлиц без аккредитации либо в случае, если аккредитация приостановлена или прекращена	от 500 000 до 1 000 000 рублей	от 1 000 000 до 2 000 000 рублей

Таблица 3. Наказание по ст. 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения» УК РФ

Состав нарушения (с указанием номера части статьи)	Наказание
1. Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа	штраф до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года, либо принудительные работы на срок до 4 лет, либо лишение свободы на срок до 4 лет
2. Деяния из ч. 1 ст. 272.1 в отношении: – персданных несовершеннолетних, – специальных категорий и (или) – биометрических персданных	штраф до 700 000 рублей или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо принудительные работы на срок до 5 лет, либо лишение свободы до 5 лет
3. Деяния из ч. 1 или 2 ст. 272.1, совершенные: – из корыстной заинтересованности; – с причинением крупного ущерба; – группой лиц по предварительному сговору; – с использованием своего служебного положения	штраф до 1 000 000 рублей или в размере зарплаты или иного дохода за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо принудительные работы на срок до 5 лет со штрафом до 1 000 000 рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишение свободы до 6 лет со штрафом в размере до 1 000 000 рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового
4. Деяния из ч. 1, 2 или 3 ст. 272.1, сопряженные с трансграничной передачей (т.е. с пересечением границы России): – компьютерной информации с перс- данными и (или) – носителей с ними	лишение свободы до 8 лет со штрафом в размере до 2 000 000 или зарплаты или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового
5. Деяния из ч. 1, 2, 3 или 4 ст. 272.1, если они повлекли тяжкие последствия либо совершены организованной группой	лишение свободы до 10 лет со штрафом в размере до 3 000 000 рублей или зарплаты или иного дохода за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового
6. Создание и (или) обеспечение функционирования сайта в Интернет и (или) страницы сайта, информационной системы, программы, заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем	штраф в размере до 700 000 рублей или зарплаты или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо принудительные работы до 5 лет со штрафом в размере до 700 000 рублей или иного дохода за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо лишение свободы до 5 лет со штрафом в размере до 700 000 рублей или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового