С 30 мая 2025 года штрафы для операторов персональных данных вырастут, введут новые составы правонарушений, штрафы за повторные утечки персональных данных будут зависеть от размера выручки (Федеральный закон от 30.11.2024 N 420-ФЗ). Подробно об этом можно узнать в обзоре на нашем сайте.
Опишем новшества в таблице.
|
Норма КоАП РФ |
Описание нарушения |
Примеры нарушения |
Административное наказание |
Примечание |
|
Обработка персональных данных в случаях, которые не предусмотрены законом.
Обработка персональных данных, которая несовместима с целями их сбора |
Вы обрабатываете данные, полученные из соцсетей (например, ВКонтакте), считая их общедоступными |
Для организации 1 – штраф 60 000 – 100 000 руб.; для должностного лица/ИП 2 – штраф 10 000 – 20 000 руб. Повторное совершение правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, повлечет для организации 3 штраф 100 000 – 300 000 руб.; для должностного лица – штраф 20 000 – 50 000 руб.; для ИП – штраф 50 000 – 100 000 руб. (ч. 1.1 ст. 13.11 КоАП РФ). для организации – штраф 150 000 – 300 000 руб.; для должностного лица, ИП 2 – штраф 50 000 – 100 000 руб. За повторное нарушение для организации, ИП – 300 000 – 500 000 руб.; для должностного лица – 100 000 – 200 000 руб. (ч. 1, 1.1 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 N 420-ФЗ) |
Ответственность по данной норме возможна, если нарушение не связано с обработкой данных без согласия физлица либо с тем, что согласие оформлено ненадлежащим образом. В этих случаях привлекают к ответственности по ч. 2 ст. 13.11 КоАП РФ. Для физлиц дополнительно: не должно быть состава преступления в соответствии с УК РФ. С 30 мая 2025 года к ответственности по этой норме не привлекут и в случаях, предусмотренных ч. 11–18 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 N 420-ФЗ (ч. 1 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 N 420-ФЗ) |
1. Если организация является СОНКО или малым предприятием, в том числе микропредприятием, и включена в соответствующий реестр по состоянию на момент совершения правонарушения, то штраф назначается в размере от половины минимальной величины до половины максимальной величины штрафа, предусмотренного данной нормой для организации, либо в размере половины такого штрафа, если его величина фиксированная. При этом штраф не может быть меньше минимального размера штрафа, установленного нормой для должностного лица (ч. 2, 3 ст. 4.1.2 КоАП РФ).
2. ИП несут ответственность как должностные лица, если КоАП РФ для них не предусмотрено иное наказание (примечание к ст. 2.4 КоАП РФ).
3. Если организация является СОНКО или малым предприятием, в том числе микропредприятием, и включена в соответствующий реестр по состоянию на момент совершения правонарушения, то штраф назначается в размере, предусмотренном данной нормой для ИП (ч. 1 ст. 4.1.2 КоАП РФ).
С 30 мая 2025 года появятся специальные составы нарушений:
|
Норма КоАП РФ |
Описание нарушения |
Примеры нарушения |
Административное наказание |
|
Часть 12 ст. 13.11 КоАП РФ, |
Действия (бездействие) повлекли неправомерную передачу (предоставление, распространение, доступ): – персональных данных от 1 тыс. до 10 тыс. субъектов и (или) от 10 тыс. до 100 тыс. идентификаторов; |
Вы допустили утечку персональных данных ваших клиентов от 1 тыс. человек |
Для организации, ИП – штраф 3 000 000 – 5 000 000 руб.; для должностного лица – штраф 200 000 – 400 000 руб. |
|
Часть 13 ст. 13.11 КоАП РФ, |
– персональных данных от 10 тыс. до 100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов; |
Для организации, ИП – штраф 5 000 000 – 10 000 000 руб.; для должностного лица – штраф 300 000 – 500 000 руб. |
|
|
Часть 14 ст. 13.11 КоАП РФ |
– персональных данных более 100 тыс. субъектов и (или) более 1 млн идентификаторов |
Для организации, ИП – штраф 10 000 000 – 15 000 000 руб.; для должностного лица штраф 400 000 – 600 000 руб. |
|
|
Часть 16 ст. 13.11 КоАП РФ |
Действия (бездействие) повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных спецкатегорий |
Вы допустили утечку персональных данных спецкатегорий |
Для организации, ИП – штраф 10 000 000 – 15 000 000 руб.; для должностного лица – штраф 1 000 000 – 1 300 000 руб. |
|
Часть 17 ст. 13.11 КоАП РФ |
Действия (бездействие) повлекли неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных |
Вы допустили утечку биометрических персональных данных |
Для организации, ИП – штраф 15 000 000 – 20 000 000 руб.; для должностного лица – штраф 1 300 000 – 1 500 000 руб. |
|
Часть 15 ст. 13.11 КоАП РФ |
Действия (бездействие) повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных от 1 тыс. субъектов и (или) от 10 тыс. идентификаторов (кроме данных спецкатегории или биометрических персональных данных) лицом, которое уже было наказано за утечку персональных данных |
Вы допустили утечку персональных данных (кроме данных спецкатегории, биометрических персональных данных) от 1 тыс. человек и ранее были наказаны за утечку персональных данных |
Для организации, ИП – штраф 1%–3% от выручки (размера собственных средств (капитала) кредитной организации), рассчитанной по установленным правилам, но не менее 20 000 000 руб. и не более 500 000 000 руб.; для должностного лица – штраф 800 000 – 1 200 000 руб. |
|
Часть 18 ст. 13.11 КоАП РФ |
Действия (бездействие) повлекли неправомерную передачу (предоставление, распространение, доступ) данных спецкатегории или биометрических персональных данных лицом, которое уже было наказано за утечку персональных данных |
Вы допустили утечку персональных данных спецкатегории или биометрических персональных данных и ранее были наказаны за утечку персональных данных |
Для организации, ИП – штраф 1–3% от выручки (размера собственных средств (капитала) кредитной организации), рассчитанной по установленным правилам, но не менее 25 000 000 руб. и не более 500 000 000 руб.; для должностного лица – штраф 1 500 000 – 2 000 000 руб. |
|
Часть 2 ст. 13.11.3 КоАП РФ |
1. Нарушен Порядок обработки биометрических персональных данных в ЕБС. 2. Нарушен Порядок обработки биометрических персональных данных, векторов ЕБС в информсистемах госорганов, Банка России, организаций. 3. Нарушены Требования к информационным технологиям и техническим средствам, которые предназначены для обработки биометрических персональных данных, векторов ЕБС в целях проведения идентификации и (или) аутентификации |
Вы незаконно храните биометрические персональные данные в информсистеме |
Для организаций – штраф 500 000 – 1 000 000 руб.; для должностных лиц, ИП 2 – штраф 100 000 – 300 000 руб. |
|
Часть 3 ст. 13.11.3 КоАП РФ |
Не приняты организационные и технические меры по обеспечению безопасности биометрических персональных данных:
|
Вы обрабатываете биометрические персональные данные в информсистеме и для обеспечения их безопасности не приняли меры, например, по антивирусной защите данных |
Для организаций – штраф 1 000 000 – 1 500 000 руб.; для должностных лиц, ИП 2 – штраф 300 000 – 500 000 руб. |
|
Часть 4 ст. 13.11.3 КоАП РФ |
Обработка биометрических персональных данных, векторов ЕБС для аутентификации физлиц в информсистемах госорганов, организаций, Банка России, когда аккредитации нет либо она приостановлена или прекращена |
Вы обрабатываете биометрические персональные данные в специальной информсистеме организации, не имея аккредитации |
Для организаций – штраф 1 000 000 – 2 000 000 руб.; для должностных лиц, ИП 2 – штраф 500 000 – 1 000 000 руб. |
Помимо ответственности за нарушения требований в сфере персональных данных, предусмотрена и ответственность за невыполнение обязанностей при взаимодействии с Роскомнадзором (его должностными лицами).
С 30 мая 2025 года появятся специальные составы нарушений.
|
Норма КоАП РФ |
Описание нарушения |
Примеры нарушения |
Административное наказание |
|
Часть 10 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 N 420-ФЗ |
Неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку персональных данных |
Вы не сообщили Роскомнадзору о намерении осуществлять обработку персональных данных |
Для организации, ИП – штраф 100 000 – 300 000 руб.; для должностного лица – штраф 30 000 – 50 000 руб. |
|
Часть 11 ст. 13.11 КоАП РФ в ред. Федерального закона от 30.11.2024 N 420-ФЗ |
Неуведомление (несвоевременное уведомление) Роскомнадзора о неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, которая нарушает права субъектов этих данных |
Вы не сообщили Роскомнадзору об утечке персональных данных |
Для организации, ИП – штраф 1 000 000 – 3 000 000 руб.; для должностного лица – штраф 400 000 – 800 000 руб. |
На заметку: организовать работу с персональными данными с учетом новшеств поможет алгоритм клиентского опыта «Безопасная работа с персональными данными в 2025 году» на нашем сайте.
Читайте подробнее
Бухгалтерам
Кадровикам
