1. За что и как накажут бизнес, если работа с персональными данными в компании не налажена и как надо не оформлена?

Большинство неправильных действий с персональными данными наказываются в административном порядке, для этого в Кодекс об административных правонарушениях РФ ввели статью 13.11 под названием «Нарушение законодательства Российской Федерации в области персональных данных». Статья в последние годы часто изменяется, поэтому за ней нужно внимательно следить. Последние изменения действуют с 30 мая 2025 г.

Большие штрафы для ИП и организаций в размере от 1 000 000 до 18 000 000 рублейпредусмотрены за нарушение требования о том, что запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данныхроссийских граждан должны проводиться только с использованием баз данных, находящихся на территории России.

Не выполнили требование гражданина об уточнении его персональных данных? Или другое требование, например о блокировании или уничтожении данных? Гражданин может предъявить любое такое требование оператору, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или если данных оказалось у оператора слишком много, сверх необходимого для заявленной цели обработки. За игнор ожидайте штрафов. ИП накажут на сумму от 20 000 до 40 000 рублей, организацию обяжут заплатить от 50 000 до 90 000 рублей.

Забыли разместить в открытом доступе Политику конфиденциальности? Если вы ИП, придется заплатить от 10 000 до 20 000 рублей. Организация заплатит штраф от 30 000 до 60 000 тысяч рублей.

Не получили согласия на обработку ПД? За это нарушение от 100 000 до 300 000 рублейзаплатит ИП и от 300 000 до 700 000 рублей заплатит юридическое лицо.

С 30 мая 2025 г. в статью 13.11 КоАП РФ вводятся многочисленные изменения и дополнения.

2. Какие изменения и дополнения вводятся в статью 13.11 КоАП РФ с 30 мая 2025 г.?

Если ваш бизнес использует персональные данные, хотя бы сведения о работниках, не уведомляя об этом в Роскомнадзор, то независимо от того, ИП вы или юридическое лицо, придется отдать государству штраф от 100 000 до 300 000 рублей.

Не уведомили Роскомнадзор об утечке персональных данных? Будете оштрафованы на сумму от 1 000 000 до 3 000 000 рублей. Ответственность за молчание — далеко не всё, что может «прилететь» по статье 13.11 КоАП РФ. Разумеется, накажут и самого оператора ПД, который такое допустил. Напомним, «оператор» на юридическом языке — это та фирма, компания, ИП, которые используют персональные данные, а «субъект персональных данных» — это гражданин, Ф.И.О, телефон, адрес и другие личные сведения о котором оператор получает, хранит, передает или использует любым иным способом.

Так вот, если «утекли» персональные данные от 1 000 до 10 000 субъектов персональных данных или от 10 000 до 100 000 идентификаторов, то «вилка» штрафа составит от3 000 000 до 5 000 000 рублей. 

Если пострадало от 10 000 до 100 000 субъектов персональных данных или от 100 000 до 1 000 000 идентификаторов, то штраф будет от 5 000 000 до 10 000 000 рублей.

Если субъектов персональных данных и идентификаторов пострадает еще больше, то «вилка» административного штрафа составит от 10 000 000 до 15 000 000 рублей.

Огромные суммы штрафов предусмотрены за повторные нарушения. Штрафы в этом случае рассчитываются по отдельной формуле, но с условием, что заплатить придется не менее 20 000 000 рублей и не более 500 000 000 рублей.

Утекли специальные категории ПД — будет штраф от 10 000 000 до 15 000 000 рублей.

Упустили биометрию — заплатить придется еще больше: от 15 000 000 до 20 000 000 рублей.

3. Существует ли уголовная ответственность за незаконные действия сперсональными данными?

Если вы руководитель организации – юридического лица, то максимум, что грозит самой компании-нарушителю законодательства о ПД — это административная ответственность и гражданские иски. 

Однако в УК РФ хватает статей, по которым могут привлечь и наказать руководителей, других сотрудников компаний, прочих граждан за противоправные действия с персональными данными. 

Таких статей сейчас в кодексе как минимум три: 

Статья 137 — «Нарушение неприкосновенности частной жизни», самое мягкое наказание за это преступление — до 200 000 рублей штрафа, а самое жесткое — до 5 лет лишения свободы.

Статья 140 — «Отказ в предоставлении гражданину информации». Свободы по этой статьене лишают. Предусмотрено до 200 000 рублей штрафа или лишение права занимать определенные должности или заниматься определенной деятельностью сроком от 2 до 5лет.

Статья 272.1 — «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения». Новая и самая серьезная статья УК о персональных данных, наказания по ней начинаются со штрафа в размере до 300 000 рублей и могут достигать 10 лет лишения свободы со штрафом в размере до 3 000 000 рублей.

4. За какие действия с персональными данными привлекают к уголовной ответственности?

Многие незаконные действия в отношении персональных данных могут оказаться уголовно наказуемыми. Например, любое незаконное и без получения согласия гражданинасобирание информации о нем, может тянуть на «статью». Если вы шпионите за кем-то, собираете досье, или организуете это, не имея законных полномочий, вы становитесь преступником.

Работник запросил у вас информацию, содержащую его персональные данные, а вы отказали в ее предоставлении — ждите проверки на наличие в факте отказа признаков преступления.

Продали или купили чужую базу с персональными данными, передали ее за рубеж или пользуетесь в России — неважно, уже есть повод провести в отношении вас доследственную проверку.

На крючке уголовной ответственности разработчики и владельцы мобильных приложений, ботов и сайтов, позволяющих получать личную информацию о гражданах.

Уголовный закон устроен так, что чем организованнее ваша незаконная деятельность, чем шире ее охват и тяжелее последствия от незаконных действий в отношении ПД, тем строже наказание.

5. Как владельцу бизнеса и руководителю избежать ответственности за нарушение законодательства о персональных данных?

1. Чтите Уголовный кодекс, Кодекс об административных правонарушениях, следите за состоянием главы 14 Трудового кодекса, которая называется «Защита персональных данных работника» и Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», который тоже не стоит на месте.

2. Если у вас юридическое лицо, назначьте кого-то из сотрудников ответственным за организацию обработки персональных данных.

3. Подготовьте пакет документов, в соответствии с которым будет вестись работа с персональными данными.

4. Уведомите Роскомнадзор о том, что планируете обрабатывать ПД. Сделайте это сразу, в самом начале осуществления деятельности.

5. Храните персональные данные только в России.

6. Сделайте всё возможное, чтобы не допустить утечек. Позаботьтесь не только о чистоте и комплектности юридических документов. Привлеките IT-специалистов, приобретите оборудование и программное обеспечение, создайте комплексную систему защиты данных.

7. В любой непонятной ситуации консультируйтесь с юристами и другими специалистами в области защиты персональных данных.