Ответственность и штрафы за нарушение 152‑ФЗ

Table of contents

• Что регулирует 152‑ФЗ и кто несет ответственность
• Нормативная база: где прописаны штрафы
• Типовые нарушения при обработке персональных данных
• Виды ответственности: административная, гражданская, дисциплинарная, уголовная
• Штрафы по ст. 13.11 КоАП РФ: за что и сколько
• Проверки персональных данных Роскомнадзором
• Как снизить риски и подготовиться к проверке
• Что делать при утечке ПД: алгоритм действий
• FAQ: коротко о важном
• Вывод и следующий шаг

Что регулирует 152‑ФЗ и кто несет ответственность

Федеральный закон № 152‑ФЗ «О персональных данных» устанавливает правила сбора, хранения, использования и передачи персональных данных граждан РФ. Ответственность по 152‑ФЗ несут все операторы персональных данных: компании, ИП, НКО, госорганы и даже физлица, если они организуют обработку ПД.

Чтобы понять, какие действия закон разрешает, а какие приводят к штрафам 152‑ФЗ, изучите базовые разделы:

• Принципы и условия обработки
• Права субъектов персональных данных
• Обязанности оператора
• Согласие на обработку персональных данных

Нормативная база: где прописаны штрафы

Штрафы Роскомнадзора за нарушение 152‑ФЗ назначаются по нормам Кодекса об административных правонарушениях. Ключевая статья — ст. 13.11 КоАП РФ («Нарушение законодательства в области персональных данных»). Она охватывает широкий перечень составов: от отсутствия правового основания обработки до нарушений локализации баз данных.

Помимо КоАП, на практику влияют:

• сам Федеральный закон № 152‑ФЗ, его структура и статьи;
• разъяснения и приказы Роскомнадзора, ФСТЭК, ФСБ по безопасности ПД;
• при повторных и грубых нарушениях — нормы УК РФ (например, ст. 137 УК РФ о неприкосновенности частной жизни);
• гражданско-правовые механизмы компенсации вреда.

О контроле и реестрах подробнее — в разделе «Роскомнадзор: контроль и реестры».

Типовые нарушения при обработке персональных данных

Чаще всего операторы привлекаются к ответственности за:

• отсутствие или некорректность правового основания обработки (нет согласия там, где оно обязательно; согласие не соответствует требованиям 152‑ФЗ);
• несоблюдение принципов минимизации, ограничение цели и срока хранения;
• отсутствие публичной политики в отношении ПД на сайте и сведений об обработке;
• неисполнение прав субъекта: не отвечают в срок на запрос, не блокируют/не уничтожают данные по требованию;
• нарушение требований к трансграничной передаче ПД и передачи по поручению третьим лицам без договора-поручения;
• отсутствие уведомления Роскомнадзора об обработке ПД или неактуальные сведения в реестре;
• нарушения требований локализации (базы первичного учета ПД граждан РФ за пределами РФ);
• непроведение мероприятий по безопасности ПД, что приводит к утечкам и несанкционированному доступу;
• сбор лишних данных в веб-формах, некорректная cookie-практика;
• видеонаблюдение без информирования и правового основания.

Подробнее о том, что считается персональными данными и как их законно обрабатывать, читайте в материале «О персональных данных по 152‑ФЗ».

Виды ответственности: административная, гражданская, дисциплинарная, уголовная

• Административная. Основной инструмент — ст. 13.11 КоАП РФ. Штрафы 152‑ФЗ накладываются на граждан, должностных и юридических лиц. Возможны также предупреждения и предписания об устранении нарушений.
• Гражданско-правовая. Субъект ПД вправе потребовать компенсации морального вреда и возмещения убытков, а также удаления/уточнения информации.
• Дисциплинарная. Работники, по чьей вине произошла утечка или иное нарушение, могут быть привлечены к взысканию вплоть до увольнения.
• Уголовная. В отдельных случаях (например, незаконный сбор и распространение сведений о частной жизни) возможно привлечение по УК РФ.

Штрафы по ст. 13.11 КоАП РФ: за что и сколько

Статья 13.11 КоАП РФ включает несколько частей, каждая из которых описывает конкретный тип нарушения. Размеры санкций различаются для граждан, должностных и юридических лиц и зависят от тяжести последствий и повторности. Ниже — типовые основания и ориентиры.

Важно: точные размеры и редакции санкций уточняйте в действующей версии КоАП РФ. На практике штрафы для юрлиц варьируются от десятков тысяч рублей до миллионов, а при повторных нарушениях — кратно выше.

Нарушение	Норма КоАП	Ориентиры ответственности
Обработка ПД без законного основания, в т.ч. без обязательного согласия	ст. 13.11 (общие составы)	Штрафы для юрлиц — как правило, от десятков до сотен тысяч рублей; для должностных лиц — до десятков тысяч
Нарушение принципов: избыточность, несоответствие цели, отсутствие сроков хранения	ст. 13.11	Аналогичные диапазоны; при массовом характере — выше
Неисполнение прав субъекта (нет ответа в срок, отказ в уничтожении/блокировке)	ст. 13.11	Штраф на должностных лиц и юрлиц; возможно предписание об устранении
Отсутствие публичной политики в отношении ПД, недоступность сведений	ст. 13.11	Штрафы на должностных и юрлиц; часто назначают предписание
Неуведомление Роскомнадзора об обработке ПД или несвоевременное обновление сведений	ст. 13.11	Штрафы обычно от десятков до сотен тысяч для юрлиц
Нарушение локализации баз (первичная запись ПД граждан РФ вне РФ)	ст. 13.11 (локализация)	Для юрлиц — значительные штрафы: до миллионов рублей; при повторном нарушении — до нескольких десятков миллионов, возможна блокировка ресурса по решению суда
Необеспечение безопасности ПД (утечка, несанкционированный доступ)	ст. 13.11	Штрафы + обязательные предписания по безопасности
Трансграничная передача с нарушением требований	ст. 13.11	Штрафы для должностных и юрлиц; риски блокировок отдельных сервисов

Отдельно обратите внимание на повторность. Повторное совершение однотипного нарушения влечет кратное увеличение штрафа. По практике, «локализация» — один из самых чувствительных составов: первичное нарушение — крупный штраф, повтор — очень крупный штраф и риски ограничения доступа к сервису.

Проверки персональных данных Роскомнадзором

Проверки персональных данных бывают плановыми и внеплановыми (по жалобе гражданина, информации об утечке, по результатам мониторинга сайта).

Типичный ход проверки:

![Схема процесса проверки Роскомнадзором: запрос документов → анализ → акт и предписание → протокол и штраф]

1. Запрос документов: политика ПД, уведомление в реестр операторов, реестр процессов обработки, образцы согласий, договоры с порученными обработчиками, документы по безопасности (модели угроз, уровни защищенности, приказы, журналы), регламенты работы с обращениями субъектов и инцидентами.
2. Анализ веб-ресурса: формы, cookies, аналитика/пиксели, наличие политики, корректность согласий на сайте.
3. Акт проверки: перечисление нарушений, предписание об устранении с сроками.
4. Протокол об административном правонарушении и постановление о штрафе (штрафы Роскомнадзора назначаются в пределах ст. 13.11 КоАП РФ).

Что учитывают при назначении наказания:

• наличие последствий (утечка, массовость);
• добровольное уведомление, сотрудничество, быстрое устранение нарушений;
• повторность и системность.

Подробнее о полномочиях регулятора и реестрах см. «Роскомнадзор: контроль и реестры».

Как снизить риски и подготовиться к проверке

Постройте систему комплаенса по 152‑ФЗ пошагово:

• Картирование данных и оснований: какие ПД, от кого, для каких целей и на каком основании собираете. Сверьте с принципами и условиями обработки.
• Документы и витрины: публичная политика ПД на сайте, уведомления о cookies, формы согласий, внутренние положения и регламенты. Подробности о согласии — в разделе «Согласие на обработку ПД».
• Уведомление Роскомнадзора: проверьте наличие и актуальность записи в реестре операторов.
• Договоры с подрядчиками: оформите поручение обработки с прописанием мер безопасности и ответственности.
• Локализация данных: обеспечьте первичный сбор и хранение ПД граждан РФ на серверах в России.
• Права субъектов: настройте процесс приема запросов, идентификации заявителя, блокирования, уничтожения, исправления данных. Подробнее — права субъектов.
• Безопасность ПД: определите уровень защищенности, примените меры (организационные и технические), проведите аттестацию/оценку, настройте журналирование и управление инцидентами. Смотрите материал «Безопасность и защита ПД».
• Трансграничная передача: оцените достаточность защиты в стране-получателе и соблюдайте порядок — трансграничная передача ПД.

Что делать при утечке ПД: алгоритм действий

Изменения 152‑ФЗ ужесточили требования к реагированию на инциденты. Рекомендуемый порядок:

1. Немедленно локализовать инцидент: ограничить доступ, заменить пароли/ключи, отключить уязвимые интеграции, зафиксировать логи.
2. Оценить масштаб и состав затронутых ПД, риски для субъектов.
3. В течение короткого срока (обычно до 24 часов после обнаружения) уведомить Роскомнадзор о факте инцидента, а затем направить развернутую информацию в установленный срок (на практике — до 72 часов). Соблюдайте формы и каналы, которые определяет регулятор.
4. Проинформировать затронутых субъектов ПД, если это необходимо для снижения рисков мошенничества и ущерба.
5. Реализовать корректирующие меры и обновить документы по безопасности.
6. Хранить доказательства и взаимодействовать с регулятором до закрытия инцидента.

![Блок-схема реагирования на утечку ПД: обнаружение → локализация → уведомление РКН → информирование субъектов → устранение → отчёт]

FAQ: коротко о важном

• Нужно ли согласие для рассылки рекламы по email/телефону? Да, за исключением узких случаев, когда действует иное законное основание. Непрошенная реклама — частая причина жалоб и штрафов по ст. 13.11 КоАП РФ.
• Обязательна ли политика ПД на сайте? Да, если вы собираете ПД через сайт (формы, cookies, виджеты) — политика и уведомления должны быть доступны и понятны.
• Может ли Роскомнадзор заблокировать сайт за нарушение 152‑ФЗ? В отдельных случаях (например, нарушение локализации и неисполнение предписаний) — по решению суда возможна ограничительная мера.
• Достаточно ли просто «перепоручить» обработку подрядчику? Нет. Оператор сохраняет ответственность; нужен договор поручения с мерами безопасности и контролем.
• Сколько хранить персональные данные? Только столько, сколько нужно для заявленных целей и сроков. Избыточное хранение ведет к нарушениям и повышает риск утечек.

Вывод и следующий шаг

Ответственность по 152‑ФЗ — это не только штрафы, но и репутационные потери, предписания, риски блокировок и судебные иски. Чтобы избежать санкций по ст. 13.11 КоАП РФ, выстраивайте системный комплаенс: корректные основания, прозрачные процессы, безопасность и быстрая реакция на инциденты.

Начните с аудита: сопоставьте свои процессы с требованиями закона № 152‑ФЗ, обновите документы, проверьте локализацию и уведомление РКН. Чтобы глубже понять контекст и последние изменения, загляните в историю и изменения 152‑ФЗ.

Нужна структурированная помощь? Используйте наши тематические разделы и чек-листы, чтобы подготовиться к проверкам персональных данных и избежать штрафов 152‑ФЗ.