Ответственность за нарушения при обработке персональных данных в 2025 году

В июне 2025 года нас ждет существенное увеличение штрафов за нарушение законодательства о персональных данных. Нововведения в основном касаются ответственности за утечки ПДн, однако есть изменения и в части популярных нарушений.

Сейчас надзор за исполнением Федерального закона №152-ФЗ «О персональных данных» осуществляет Роскомнадзор (кратко – «РКН»). В рассылаемых требованиях об устранении нарушении по результатам проверки обычно указывается на следующие пять недостатков.

1. Отсутствие сведений о проверяемом лице в Реестре операторов ПДн.

2. Отсутствие на сайте оператора политики обработки ПДн.

3. Размещение на сайте шаблона политики, не соответствующей реальной деятельности.

4. Отсутствие письменного согласия на обработку ПДн, когда оно требуется по закону.

5. Нарушение требований об обработке ПДн в России.

Разберем каждую из типичных ошибок предпринимателей с примерами и последствиями.

1. Отсутствие сведений о проверяемом лице в Реестре операторов ПДн.

До начала обработки персональных данных необходимо уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (п.1 ст.22 ФЗ «О персональных данных»). По результатам уведомления РКН вносит сведения о заявителе в Реестр операторов ПДн.

Причин для отказа может быть несколько. Обычно считают, что обрабатываемые сведения не относятся к ПДн либо цели обработки не требуют регистрации в качестве оператора ПДн.

В первом случае ссылаются на то, что номер телефона или адрес электронной почты сами по себе не позволяют идентифицировать физическое лицо. Однако при этом забывают, что в совокупности с другими сведениями они могут относиться к персональным данным. Например, на сайте размещена форма обратной связи с полями для указания имени наряду с номером и email. Уже этого достаточно, чтобы суд посчитал такие сведения по совокупности персональными данными. Тем более пользователь может указать в поле имени свое отчество и фамилию.

Во втором случае вспоминают, что обработка ПДн в соответствии с трудовым законодательством или в связи с заключением договора не требовала уведомления РКН. Однако так было до сентября 2022 года. Федеральный закон изменился и уже несколько лет такие отговорки не работают.

Чем грозит отсутствие сведений в реестре операторов ПДн? Сейчас штраф за непредоставление сведений в РКН для организаций не превышает 5000 руб. (ст.19.7 КоАП РФ), но это только начало.

С июня 2025 г., статья дополнится новыми составами правонарушений.

За непредоставление или несвоевременную подачу уведомления грозит штраф в размере: для должностных лиц (включая ИП) - от 30 000 до 50 000 рублей; для юридических лиц - от 100000 до 300 000 рублей

Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, дополнительно повлечет наложение административного штрафа на на должностных лиц - от 400 000 до 800 000 рублей; на юридических лиц - от 1 млн. до 3 млн. рублей.

2. Отсутствие на сайте оператора политики обработки ПДн.

Закон возлагает на организацию – оператора ПДн обязанность опубликовать политику обработки персональных данных на сайте, с использованием которого осуществляется их сбор (п.2 ст.18.1 ФЗ 152).

Обычно политика обработки ПДн наряду с правилами автоматического сбора информации (cookie и проч.) включаются в размещаемую на сайте Политику конфиденциальности.

Нарушение обязанности по публикации Политики влечет штраф на должностных лиц - от 6000 тысяч до 20 000 рублей; на ИП - от 10 000 до 20 000 тысяч рублей; на юридических лиц - от 30 000 до 60 000 рублей (ч.3 ст.13.11 КоАП РФ).

3. Размещение на сайте шаблона политики, не соответствующей реальной деятельности.

Обработка ПДн должна осуществляться оператором строго в соответствии с принципами, установленными в ст.5 ФЗ-152. В частности, обработка персональных данных должна осуществляться не только на законной, но и справедливой основе, что дает возможность гражданину заявлять об ущемлении его прав в случае принятия явно кабальных условий Политики.

Далее, обработка ПДн субъекта должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Поэтому фактическое использование ПДн в целях, которые не были явно заявлены в Политике или не соответствуют заявленным целям, нарушает закон.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Вследствие этого в Политику нельзя включать максимально широкий перечень ПДн и целей их обработки. Данные условия должны полностью соответствовать фактическим потребностям оператора.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. Поэтому раз данное согласие на обработку ПДн нельзя воспринимать как бессрочное.

Игнорирование указанных принципов обработки ПДн является наиболее распространенным в судебной практике видом нарушения в отношении ПДн.

По ч.1 ст.13.11 КоАП РФ, обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния, - влечет наложение административного штрафа на должностных лиц (включая ИП) - от 10 000 до 20 000 рублей; на юридических лиц - от 60 000 до 100 000 рублей.
Повторное нарушение указанных правил влечет штраф на должностных лиц - от 20 000 до 50 000 рублей; на индивидуальных предпринимателей - от 50 000 до 100 000 рублей; на юридических лиц - от 100 000 до 300 000 рублей (ч.1.1. ст.13.11 КоАП РФ).

С июня 2025 г. штрафы увеличатся для должностных лиц (ИП) - от 50 000 до 100 000 рублей; для юридических лиц - от 150 000 до 300 000 рублей. Повторное нарушение повлечет штраф для должностных лиц - от 100 000 до 200 000 рублей; для юридических лиц - от 300 000 до 500 000 рублей.

Как вам такая дыра в бюджете?! Использование шаблонных форм политики обработки ПДн никоим образом не устраняет от ответственности за нарушение законодательства и даже напротив этому способствует.

4. Отсутствие письменного согласия на обработку ПДн, когда оно требуется по закону.

Перед началом обработки ПДн необходимо получить письменное согласие субъекта по строго установленной форме. Для сбора ПДн в Интернете это не реально. Однако есть ряд исключений из данного правила.

Обработка ПДн без письменного согласия допускается в целях заключения или исполнения договора, стороной или выгодоприобретателем по которому является субъект ПДн. С этой целью на сайте размещаются Пользовательское соглашение, которое предусматривает заключение договора на его использование.

По ч.2 ст.13.11 КоАП РФ, обработка персональных данных без согласия в письменной форме субъекта персональных данных влечет наложение административного штрафа должностных лиц (включая ИП) - от 100 000 до 300 000 рублей; на юридических лиц - от 300 000 до 700 000 рублей.

Повторное нарушение повлечет штраф на должностных лиц - от 300 000 до 500 000 рублей; на индивидуальных предпринимателей - от 500 000 до 1 млн. рублей; на юридических лиц - от 1 млн. до 1,5 млн. рублей (ч.2.1. ст.13.11 КоАП РФ).

5. Нарушение требований об обработке ПДн в России.

Пятерку типичных нарушений замыкает наиболее тяжкое по последствиям. Если вы разместили сайт или свою информационную систему персональных данных на зарубежном хостинге, необходимо как минимум сделать копию базы данных для хранения и доступа на российском сервере.

Отсутствие локальной базы данных с ПДн на территории России влечет наложение административного штрафа на должностных лиц - от 100 00 до 200 000 рублей; на юридических лиц - от 1 млн. до 6 млн. рублей (ч.8 ст.13.11 КоАП РФ).

Повторное совершение данного правонарушения влечет наложение административного штрафа на должностных лиц - от 500 000 до 800 000 рублей; на юридических лиц - от 6 млн. до 18 млн. рублей (ч.9 ст.13.11 КоАП РФ).

При этом не забудьте получить согласие субъекта на трансграничную передачу его ПДн, иначе вас привлекут дополнительно по ч.1 ст.13.11 КоАП РФ.

В дополнение ко всему перечисленному РКН запрашивает комплект локальных документов по защите ПДн, который должна издать каждая организация в соответствии с требованиями ФЗ 152 и ряда подзаконных актов по информационной безопасности.

Виталий Селиванов, 2025

Персональные данные Обучение