Подробная информация и пояснения

  2. >
  3. Информация
  4. Подробная информация и пояснения
  5. Штрафы по закону о персональных данных в 2025 году
Просмотров: 4937
Rating:

Штрафы по закону о персональных данных в 2025 году

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

С 30 мая 2025 действуют новые штрафы за нарушения в работе с Персональными данными (смотрите ниже в тексте) 

C 1 июля 2017 года действуют  поправки, которые ужесточают регламенты накопления, обработки и хранения персональных данных и увеличивают штрафы.

Номер статьи и текст

Сумма штрафа

В каких случаях накладывается штраф

ч.1 ст.13.11. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно-наказуемого деяния

От 30 000 рублей до 50 000 рублей на юридических лиц

1. Когда через сайт собираются сканы паспортов и иных документов. Сканы документов являются избыточной информацией.

2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)

ч.2 ст.13.11. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных

От 15 000 рублей до 75 000 рублей на юридических лиц

1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т.д.) на сайте без явного согласия на обработку таких данных.

2. Проведение онлайн-скоринга данных пользователя (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга.

3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные.

4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ.

ч.3 ст.13.11. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

От 15 000 рублей до 30 000 рублей на юридических лиц

1. Отсутствие на сайте общедоступной ссылки на Политику организации в отношении обработки персональных данных.

ч.4 ст.13.11. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

От 20 000 рублей до 40 000 рублей на юридических лиц

1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.

2. Ответ на запрос в сроки, превышающие установленные законом.

3. Предоставление ложной информации.

ч.5 ст.13.11. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

От 25 000 рублей до 45 000 рублей на юридических лиц

1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении

2. Нарушение сроков предоставления ответов на поступившие запросы

ч.6 ст.13.11. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

От 25 000 рублей до 50 000 рублей на юридических лиц

1. Отсутствие списка лиц, допущенных к обработке персональных данных

2. Отсутствие раздельного хранения данных

Возбуждать дела об административных правонарушениях теперь могут органы Роскомнадзора, а не прокуратура, как это было прежде. Понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. Штрафы при этом складываются.

 

 

Изменения в законе о персональных данных  с 30 мая 2025

Повышение штрафов по уже существующим пунктам Закона

 

Если раньше за обработку ПД «не по правилам» можно было отделаться 60 — 100 тыс. рублей (для юр. лиц), то теперь:

  1. за первое нарушение — от 150 000 до 300 000 ₽;
  2. за повторное — до 500 000 ₽;
  3. для ИП — также до 500 000 ₽;
  4. для должностных лиц — до 200 000 ₽.

Речь идёт о случаях, когда:

  • нет согласия на обработку ПД;
  • цель обработки не соответствует заявленной;
  • нет политики конфиденциальности в открытом доступе;
  • нарушены сроки реагирования на запрос пользователя о блокировке или удалении его данных.


Многие компании до сих пор не публикуют политику на сайте или копируют чужую, не соответствующую их целям — за это теперь можно получить до 300 000 рублей штрафа.

Новые штрафы за утечки Персональных данных

Ранее ответственность за утечку ПД в Кодексе об административных правонарушениях (КоАП) почти не регулировалась. Теперь появилось 6 новых составов нарушений, связанных с масштабом утечки:

  • Утекли данные от 1 000 до 10 000 человек или до 100 000 идентификаторов (например, имя, email, телефон) — до 5 млн ₽.
  • Утечка от 10 000 до 100 000 человек или до 1 млн идентификаторов — до 10 млн ₽.
  • Утеря данных более 100 000 человек или более 1 млн идентификаторов — до 15 млн ₽.


Пример: если у вас CRM на 5 000 клиентов, и кто-то похитил данные через плохо настроенный API, последствия — до 5 млн рублей штрафа.

Штраф за повторную утечку ПД — до 3% от годовой выручки

Если вы уже были оштрафованы за утерю данных, и ситуация повторится — штраф может составить:

от 20 до 500 млн ₽, или
от 1 до 3% от всей выручки компании за прошлый год
Да, от выручки (валового дохода). Даже если у вас нет прибыли, и всё съели расходы.

Особые категории персональных данных под пристальным вниманием проверяющих.

Штрафы сильно увеличены, если «утекла» чувствительная информация:

Специальные ПД: здоровье, политические взгляды, религия, судимость — до 15 млн ₽.
Биометрия: фото для пропуска, отпечатки пальцев, голос, сетчатка — до 20 млн ₽.
Даже если фото «утекло» случайно — это всё равно нарушение.

Обязанность уведомлять Роскомнадзор.

Если у вас случилась утечка ПД, вы обязаны сообщить об этом в Роскомнадзор. Не сообщили — штраф для юридических лиц и ИП до 3 млн ₽.

Также нужно заранее подавать уведомление о намерении обрабатывать ПД. Многие это игнорируют — теперь за это тоже штраф до 300 000 ₽.

Выпадающее меню