С 30 мая 2025 года вступили в силу важные изменения в Кодекс об административных правонарушениях (КоАП) Российской Федерации, касающиеся защиты персональных данных. Эти поправки направлены на усиление контроля за обработкой персональной информации и ужесточение ответственности для организаций и индивидуальных предпринимателей.
Теперь размеры штрафов за неправомерную обработку персональных данных, не соответствующую законодательству, значительно увеличены. Это означает, что компании и лица, занимающиеся сбором и обработкой данных, должны быть особенно внимательны к соблюдению норм закона, чтобы избежать серьезных финансовых последствий.
В нашей статье мы подробно рассмотрим новые размеры штрафов, последствия для бизнеса и важность соблюдения законодательства в сфере защиты персональных данных. Не упустите возможность узнать, как изменения могут повлиять на вашу деятельность и какие меры предосторожности стоит предпринять уже сегодня!
Разобраться в теме помог директор института информационной и медиабезопасности Университета имени О.Е. Кутафина (МГЮА) Владимир Никишин.
Какие штрафы и где они предусмотрены?
В частности, предусмотрено увеличение размеров штрафов за обработку персональных данных случаях, не предусмотренных законодательством (ч. 1 ст. 13.11 КоАП РФ). Так, штрафы составят:
- от 10 тысяч до 15 тысяч рублей для ФЛ, в случае повторного нарушения от 15 тысяч до 30 тысяч рублей;
- от 50 тысяч до 100 тысяч рублей для должностных лиц, в случае повторного нарушения от 100 тысяч до 200 тысяч рублей;
- от 150 тысяч до 300 тысяч рублей для ЮЛ, в случае повторного нарушения от 300 тысяч до 500 тысяч рублей.
Какие типичные случаи привлечения операторов персональных данных к административной ответственности по ч. 1 ст. 13.11 КоАП?
1. осуществление рекламных рассылок/звонков субъекту с использованием персональных данных в отсутствие правовых оснований;
2. неправомерная обработка персональных данных субъекта в сети Интернет;
3. неправомерная обработка персональных субъекта в общественных местах (подъезды жилых домов, доски объявлений СНТ и т.п.);
4. несоблюдение процедуры легитимации обработки персональных данных и др.
Какая еще ответственность может наступить?
1. Отсутствие уведомления или несвоевременное уведомлениеРоскомнадзора о намерении осуществить обработку персональных данных – от 5 до 10 тысяч рублей для ФЛ, от 30 тысяч до 50 тысяч рублей для должностных лиц, от 100 тысяч до 300 тысяч рублей для ЮЛ;
2. Отсутствие уведомления или несвоевременное уведомлениеРоскомнадзора о случае утечке персональных данных – от 50 тысяч до 100 тысяч рублей для ФЛ, от 400 тысяч до 800 тысяч рублей для должностных лиц, от 1 миллиона до 3 миллионов рублей для ЮЛ;
3. Действия (бездействия), повлекшие утечку персональных данных: от 1 тысячи до 10 тысяч субъектов персональных данных (физических лиц) или до 100 тысяч идентификаторов (сведения о физическом лице: серия и номер паспорта, СНИЛС, адреса электронной почты, IP-адреса, номера банковских карт и т.д.) – от 100 тысяч до 200 тысяч рублей для ФЛ, от 200 тысяч до 400 тысяч рублей для должностных лиц, от 3 миллионов до 5 миллионов рублей для ЮЛ;
4. Действия (бездействия), повлекшие утечку персональных данных: от 10 тысяч до 100 тысяч субъектов персональных данных (физических лиц) или до 1 миллиона идентификаторов – от 200 тысяч до 300 тысяч рублей для ФЛ, от 300 тысяч до 500 тысяч рублей для должностных лиц, от 5 миллионов до 10 миллионов рублей для ЮЛ;
5. Действия (бездействия) повлекшие утечку персональных данных: более 100 тысяч субъектов персональных данных (физических лиц) или более 1 миллиона идентификаторов – от 300 тысяч до 400 тысяч рублей для ФЛ, от 400 тысяч до 600 тысяч рублей для должностных лиц, от 10 миллионов до 15 миллионов рублей для ЮЛ;
6. Действия (бездействия), повлекшие утечку персональных данных специальной категории: расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, данные об интимной жизни – от 300 тысяч до 400 тысяч рублей для ФЛ, от 1 миллиона до 1,3 миллиона рублей для должностных лиц, от 10 миллионов до 15 миллионов рублей для ЮЛ;
7. Действия (бездействия), повлекшие утечку биометрических данных – от 400 тысяч до 500 тысяч рублей для ФЛ, от 1,3 миллиона до 1,5 миллиона рублей для должностных лиц, от 15 миллионов до 20 миллионов рублей для ЮЛ;
Отдельно отметим увеличение ответственности за повторное административное правонарушение. Штрафы для граждан составят от 500 тысяч до 800 тысяч рублей, для должностных лиц от 1,5 миллиона до 2 миллионов рублей.
В случае повторного административного правонарушения, совершенного юридическим лицом, придется выплатить штраф в размере от 1% до 3% годовой выручки.
Для кредитных организаций штраф рассчитывается из размера собственных средств (капитала) на дату совершения правонарушения.
А что с биометрическими персональными данными?
Дополнения коснулись и ст. 13.11.3 КоАП, связанной с обработкой биометрических персональных данных. Был расширен перечень составов, а именно:
• нарушение порядка обработки биометрических персональных данных;
• непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных;
• обработка биометрических персональных данных без аккредитации либо при прекращённой (приостановленной) аккредитации.
Максимальный штраф по данным составам составляет до 2 миллионов рублей для ЮЛ.
Поправки в КоАП затрагивают и обеспечение прав потребителей. Так, до 30.05.2025 в соответствии с ч. 7 ст. 14.8 КоАП существовал запрет отказа в предоставлении услуг потребителям в случае, если потребитель отказался предоставить свои персональные данные. С 30.05.2025 данный состав дополняется ч. 8, включающим запрет отказа в оказании услуг потребителю в случае отказа потребителя предоставить свои биометрические персональные данные.
Хочешь разобраться в тонкостях законодательства в сфере персональных данных?
Приглашаем на повышение квалификации «Правовое регулирование персональных данных», которое реализуется совместно с Роскомнадзором ведущими экспертами в области права и защиты персональных данных.
Программа охватывает следующие аспекты: правовое регулирование, безопасность, трансграничная передача, судебная практика, ответственность. Помогает специалистам и организациям минимизировать риски и соответствовать требованиям законодательства по управлению процессами обработки персональных данных в любой сфере деятельности.