Крупные штрафы ожидают операторов персональных данных за нарушения в работе с ними

С 30 мая 2025 года для операторов персональных данных начнут действовать серьёзные штрафные санкции по КоАП РФ за действия либо бездействие, приведшие к неправомерной передаче сведений о гражданах. Вводится также более жёсткая ответственность за непредоставление в Роскомнадзор установленных уведомлений.

О незаконной передаче сведений

Если будет зафиксирована утечка персональной информации в объёме от 1 тыс. до 10 тыс. человек, штраф наложат:

• на должностных лиц государственных или муниципальных структур, а также некоммерческих организаций — от 200 тыс. до 400 тыс. руб.;
• на индивидуальных предпринимателей и организации — от 3 млн до 5 млн руб.

Такие же размеры наказания предусмотрены за незаконную передачу от 10 тыс. до 100 тыс. уникальных идентификаторов граждан, содержащихся в информационных системах операторов.

При более крупных масштабах нарушений размеры штрафов будут увеличены.

Особо суровые санкции установлены за неправомерное распространение персональной информации специальных категорий:

• для должностных лиц государственных или муниципальных органов и некоммерческих структур — от 1 млн до 1,3 млн руб.;
• для индивидуальных предпринимателей и организаций — от 10 млн до 15 млн руб.

На сегодняшний день в КоАП РФ отсутствуют такие конкретные составы правонарушений. Сейчас применяется другая норма, касающаяся ответственности за отсутствие мер по защите персональных данных при их неавтоматизированной обработке, если это повлекло, например, случайное или неправомерное получение доступа к информации. Штрафные санкции по этой норме существенно ниже.

О непредоставлении уведомлений в Роскомнадзор

Если оператор персональных данных не проинформирует Роскомнадзор о факте утечки, затронувшей права граждан, будут применены следующие меры:

• к должностным лицам государственных или муниципальных учреждений, а также к представителям некоммерческих организаций — штраф от 400 тыс. до 800 тыс. руб.;
• к индивидуальным предпринимателям и компаниям — от 1 млн до 3 млн руб.

Кроме того, санкции будут наложены за отсутствие уведомления о планах по обработке персональной информации:

• для должностных лиц — от 30 тыс. до 50 тыс. руб.;
• для индивидуальных предпринимателей и компаний — от 100 тыс. до 300 тыс. руб.

Идентичные штрафные суммы установлены за опоздание с уведомлением.

На данный момент в подобных случаях может применяться общая статья КоАП РФ о непредставлении сведений, которая предусматривает либо предупреждение, либо существенно меньшие штрафы.

О защите прав потребителей

Отказ заключить, изменить, исполнить или расторгнуть договор с потребителем по причине его нежелания проходить биометрическую идентификацию повлечёт наложение штрафа:

• на любое должностное лицо и индивидуального предпринимателя — от 50 тыс. до 100 тыс. руб.;
• на организации — от 200 тыс. до 500 тыс. руб.

Данный состав станет исключением из действующего порядка. Сейчас штрафы назначаются за отказ обслужить клиента, который законно не предоставил персональные данные, но размеры санкций при этом значительно ниже.