Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

До 30 мая 2025 года штрафы за нарушения с персональными данными измерялись в основном сотнями тысяч рублей, и многие компании относились к ним как к приемлемому риску. После вступления в силу закона 420-ФЗ картина изменилась принципиально: за утечку данных юридическое лицо платит миллионы, за повторную — оборотный штраф до 500 миллионов, а за незаконный оборот данных появилась реальная уголовная статья. Разберём актуальные суммы по каждому виду нарушения, чтобы было видно, где проходит граница между неприятным и разрушительным.

Если коротко, ответственность теперь устроена в три этажа. Первый — административные штрафы по статье 13.11 КоАП за «процедурные» нарушения (нет согласия, нет уведомления, обработка не по правилам). Второй — крупные штрафы за утечки и нарушение локализации, измеряемые миллионами. Третий — уголовная ответственность по статье 272.1 УК за незаконный оборот персональных данных. Дальше по порядку.

Что изменил закон 420-ФЗ

Федеральный закон 420-ФЗ переписал статью 13.11 КоАП РФ и поднял большинство санкций. Ключевое: появился отдельный состав за утечку персональных данных с привязкой суммы к числу пострадавших, введён оборотный штраф за повторную утечку и отдельное наказание за неуведомление Роскомнадзора об инциденте. Старые статьи о суммах вроде «штраф до 150 тысяч для юрлица» с этой даты неактуальны, и ориентироваться на них опасно.

Административные штрафы по статье 13.11

Базовые составы касаются того, как организована обработка. Размер зависит от статуса нарушителя и от того, первичное это нарушение или повторное.

Нарушение (часть ст. 13.11)ГражданеДолжностные лицаЮридические лица
Обработка без основания / не по целям (ч. 1)10–15 тыс50–100 тыс150–300 тыс
То же повторно (ч. 1.1)15–30 тыс100–200 тыс300–500 тыс
Обработка без письменного согласия (ч. 2)6–10 тыс20–40 тыс30–150 тыс
Неуведомление РКН о намерении обрабатывать (ч. 10)5–10 тыс30–50 тыс100–300 тыс

Именно по части 2 наказывается обработка без согласия там, где оно обязательно, поэтому корректное согласие на обработку закрывает один из самых частых составов. А часть 10 наказывает отсутствие уведомления оператора в Роскомнадзор — формальную обязанность, о которой забывают чаще всего.

Самые дорогие нарушения: утечки

Отдельный состав за утечку — главное новшество 420-ФЗ. Размер штрафа для юридического лица зависит от числа затронутых субъектов:

За повторную утечку наказание становится оборотным: от 1 до 3 процентов совокупной годовой выручки, не менее 20–25 млн и не более 500 млн рублей. Дополнительно, если оператор не уведомил Роскомнадзор об утечке в течение 24 часов, это отдельный штраф для юрлица от 1 до 3 млн рублей.

На практике одна утечка почти никогда не оборачивается одним штрафом. Обычно к составу за саму утечку добавляются смежные: неуведомление об инциденте в срок, отсутствие части документов, иногда необеспечение мер защиты. Поэтому реальная сумма по итогам проверки складывается из нескольких составов сразу, и считать её по одной строке таблицы — ошибка. Именно поэтому защита окупается не «потому что так положено», а арифметически: предотвращённая утечка экономит на порядок больше, чем стоят меры по её предотвращению.

Нарушение локализации

Если данные россиян хранятся за пределами России в нарушение требования о локализации, это отдельный состав. Для юридических лиц первичное нарушение обойдётся в 1–6 млн рублей, повторное — уже в 6–18 млн рублей. Это самостоятельная санкция, не связанная ни с уведомлением, ни с утечкой, и она применяется даже без всякого инцидента, по самому факту хранения базы не там, где требует закон.

Уголовная ответственность

С усилением административных санкций появилась и уголовная статья 272.1 УК РФ — за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. В отличие от штрафов по КоАП, которые ложатся на компанию, уголовная ответственность персональна и грозит конкретным людям, вплоть до лишения свободы. Сюда же примыкает статья 137 УК о нарушении неприкосновенности частной жизни.

Появление статьи 272.1 — это смена логики, которую многие руководители недооценивают. Раньше «цена вопроса» была корпоративной: оштрафовали юрлицо, заложили в бюджет, забыли. Теперь за организованный слив базы или торговлю данными отвечает не абстрактная компания, а сотрудник и руководитель лично. Это меняет отношение к доступу к данным внутри организации сильнее, чем любые суммы штрафов: теперь это вопрос личного риска тех, кто с данными работает.

Как снизить риск

Большинство крупных штрафов вырастают из базовых пробелов, а не из изощрённых атак. Минимальный набор, который закрывает основную часть рисков: поданное уведомление оператора, корректные согласия там, где они нужны, политика и внутренние документы, обеспечение мер защиты соразмерно уровню системы, локализация баз на территории РФ и готовый порядок действий на случай инцидента, включая уведомление в течение 24 часов. Это не гарантия от штрафа, но именно отсутствие этого фундамента превращает любую проверку в дорогую.

Как назначается штраф

Важно понимать саму механику, потому что от неё зависит, насколько реален риск. Дела по статье 13.11 возбуждает Роскомнадзор: его инспекторы составляют протокол об административном правонарушении, а решение о штрафе по большинству составов принимает суд. Крупные суммы, особенно оборотные штрафы за повторную утечку, проходят именно через судебное рассмотрение, где оператор может представить свою позицию.

Поводом для разбирательства чаще всего служит не плановая проверка, а конкретное событие: жалоба субъекта, публикация об утечке, запрос или обращение в Роскомнадзор. Плановые проверки бизнеса сейчас ограничены мораторием, поэтому реальный сценарий — это внеплановая реакция на инцидент или жалобу. Из этого следует практический вывод: пока всё тихо, риск выглядит абстрактным, но в момент жалобы или утечки проверяющий смотрит сразу весь комплект обязанностей, и пробелы вскрываются разом.

Что влияет на размер штрафа

Внутри вилки (например, «от 150 до 300 тысяч») конкретная сумма определяется обстоятельствами. Снижают наказание смягчающие факторы: добровольное прекращение нарушения до вмешательства регулятора, устранение последствий, содействие в разбирательстве, отсутствие реального вреда субъектам. Для части нарушений у малого и среднего бизнеса при первом нарушении возможна замена штрафа предупреждением, но к серьёзным составам вроде утечки это не применяется.

Увеличивают санкцию отягчающие обстоятельства: повторность (для неё в статье выделены отдельные части с кратно большими суммами), продолжение нарушения после требования его прекратить, умышленный характер, большой объём затронутых данных. Поэтому два формально одинаковых нарушения могут привести к очень разным штрафам, и поведение оператора после выявления проблемы влияет на итог не меньше, чем сам факт нарушения.

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Какой максимальный штраф за нарушения с персональными данными?

За повторную утечку — оборотный штраф от 1 до 3 процентов годовой выручки, до 500 млн рублей. Это потолок; распространённое утверждение про «20 миллионов» устарело.

Сколько стоит утечка персональных данных для компании?

Для юрлица от 3 до 15 млн рублей в зависимости от числа пострадавших, плюс отдельный штраф до 3 млн за неуведомление Роскомнадзора об утечке в течение 24 часов.

Штрафуют ли за отсутствие уведомления в Роскомнадзор?

Да, по части 10 статьи 13.11: для ИП и юрлиц это 100–300 тыс рублей. Это отдельный состав, не связанный с утечкой.

Есть ли уголовная ответственность за персональные данные?

Да. Статья 272.1 УК РФ предусматривает ответственность за незаконный оборот данных вплоть до лишения свободы. Она персональна и применяется к конкретным лицам.

Действуют ли ещё старые суммы штрафов?

Нет. С 30 мая 2025 года применяется редакция по закону 420-ФЗ. Прежние символические суммы для юрлиц неактуальны.

Чем грозит хранение данных россиян за рубежом?

Нарушением локализации: для юрлиц 1–6 млн рублей за первичное нарушение и 6–18 млн за повторное, независимо от того, была ли утечка.

Источники