Про персональные данные (ПД) в последнее время не пишет только ленивый. К сожалению, большинство авторов пугающих постов, которые потом разлетаются по сети, знакомы с предметом на уровне «слышал звон». Чем меньше автор разбирается в законе и практике его применения, тем более апокалиптические картины он рисует.
Я профессиональный юрист и DPO (тот человек, который отвечает за законность обработки персональных данных на уровне компании), я каждый день имею дело с разными аспектами обработки перс.данных, в том числе с запросами Роскомнадзора (контролирующий орган в сфере ПД), которые — теоретически — могут привести мои компании к штрафам. А еще я регулярно мониторю судебную практику, чтобы знать, какие нарушения действительно опасны, а какие, скорее всего, сойдут с рук.
Для начала определимся с терминами.
Персональные данные (ПД) — это любая (действительно любая) информация о человеке. Не только паспортные данные, не только сведения, позволяющие установить личность. В понятие «персональные данные» со временем втягивается все больше видов разных данных, включая, например, куки‑файлы.
Субъект ПД — это тот человек, к которому относятся данные. Не всегда мы знаем, кто это вообще, не всегда нам это интересно. Важно: субъектом ПД может быть только человек (даже если он мертвый, кстати), юридическое лицо персональных данных не имеет. И кличка вашей кошки — это ваши ПД, а не кошки.
Оператор ПД — это то лицо, которое определяет цели обработки данных и отвечает за законность обработки. Обычно оператор — это юридическое лицо (то есть организация) или ИП, но в зависимости от обстоятельств «просто человек» тоже может оказаться оператором ПД — и подвергнуться административной ответственности, если накосячит.
Обработка ПД — это любое действие или операция с персональными данными. Даже если оператор ничего с данными не делает, только хранит, все равно он уже обрабатывает ПД.
Правовое основание обработки ПД — это то условие, при соблюдении которого оператор может обрабатывать данные. Все слышали о согласии (и больше, к сожалению, ни о чем). Согласие — одно из оснований обработки, но не единственное, и далеко не всегда оно нужно. ПД могут обрабатываться на основании договора с субъектом ПД, для выполнения требований закона, для защиты интересов оператора, при рассмотрении дел в судах и так далее. Для оператора главное — иметь правовое основание, которое подходит для конкретного случая.
Поехали дальше. За что штрафуют и кого штрафуют? Обработка персональных данных регулируется федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (дальше для краткости я буду называть его ФЗ-152). ФЗ-152 содержит множество правил и требований, но наказание установлено не за все. В Кодексе РФ об административных правонарушениях (КоАП РФ) есть ст. 13.11, которая описывает наказуемые нарушения ФЗ-152 и устанавливает размеры штрафов.
Кто может оказаться «виноватым» по ст. 13.11 КоАП РФ и заплатить штраф
оператор‑организация или ИП;
должностное лицо (это руководитель внутри организации, не обязательно «самый главный», а тот, в чьи должностные обязанности входит «делать хорошо и не делать плохо» в сфере перс.данных);
физическое лицо (тот самый «просто человек»).
Суммы штрафов разнятся в зависимости от того, кого привлекают к ответственности: организация платит больше всех, физик (физическое лицо) — меньше всех. Если для ИП не установлен специальный штраф, его штрафуют как организацию.
Ниже будет табличка «цен» на нарушения, кому про цифры не интересно — можно промотать.
Часть ст. 13.11 | Описание нарушения | Штрафы (руб) |
1. | Нет правового основания для обработки ПД, то есть оператор делает с ПД что‑то, на что не имеет права — это самый широкий состав, 90% нарушений ФЗ-152 попадает сюда. | Юр.лицо 150.000 — 300.000 |
1.1. | Повторное нарушение по ч. 1 | Юр.лицо 300.000 — 500.000 |
2. | Отсутствие «особого» согласия, когда нужно именно оно: есть ситуации (редкие), в которых обязательно нужно именно согласие, причем не любое, а специальное, описанное в ч. 4 ст. 9 ФЗ-152. Например, для обработки биометрических ПД. | Юр.лицо 300.000 — 700.000 |
2.1. | Повторное нарушение по ч. 2 | Юр.лицо 1.000.000 — 1.500.000 |
3. | Не опубликована Политика обработки ПД — это обязательный документ, в котором оператор рассказывает, как он обрабатывает ПД. | Юр.лицо 30.000 — 60.000 |
4. | Субъект прислал оператору запрос об обработке ПД, а ему не ответили, ответили не полностью, не уложились в срок | Юр.лицо 40.000 — 80.000 |
5. | Оператор не выполнил требование субъекта или РКН об уничтожении ПД, их блокировании или уточнении | Юр.лицо 50.000 — 90.000 |
5.1. | Повторное нарушение по ч. 5 | Юр.лицо 300.000 — 500.000 |
6. | Нарушение правил «бумажной» обработки: небрежное обращение с бумажными документами, которые содержат ПД, чаще всего выражается в том, что доки просто выбрасывают на помойку вместо того, чтобы засунуть в шредер. | Юр.лицо 50.000 — 100.000 |
8. | Нарушение требования о локализации: собирать ПД граждан РФ можно только в базы, физически находящиеся на территории РФ | Юр.лицо 1.000.000 — 6.000.000 |
9. | Повторное нарушение по ч. 8 | Юр.лицо 6.000.000 — 18.000.000 |
10. | Оператор не подал уведомление в РКН: Роскомнадзор ведет реестр операторов ПД и практически каждый оператор должен в нем состоять. | Юр.лицо 100.000 — 300.000 |
11. | Оператор не направил в РКН уведомление об утечке: ФЗ-152 обязывает операторов самим на себя жаловаться в РКН в случае утечки ПД и сообщать параметры и причины утечки. | Юр.лицо 1.000.000 — 3.000.000 |
12 — 14 | Новые штрафы за крупные утечки. Размер штрафа зависит от количества субъектов ПД (или идентификаторов) чьи данные утекли: от 1.000 субъектов по ч. 12 до более 100.000 субъектов по ч. 14 | Юр.лицо 3.000.000 — 15.000.000 |
16. | Утечка ПД спец.категорий: например, сведения о судимости или о здоровье | Юр.лицо 10.000.000 — 15.000.000 |
17. | Утечка биометрических ПД | Юр.лицо 15.000.000 — 20.000.000 |
15, 18 | «Оборотные» штрафы за утечки. Налагаются за повторные крупные утечки, за повторные утечки ПД специальных категорий или биометрии. Зависят от выручки оператора, но имеют нижний и верхний пределы. | Юр.лицо 1–3% выручки за год, но не менее 20.000 — не более 500.000 |
Разлет штрафов довольно большой: отсутствие на сайте Политики обработки ПД стоит копейки, а крупные утечки могут разорить бизнес.
Суммы штрафов по ст. 13.11 КоАП РФ и дают основания рисовать мрачные картины, в которых бдительный РКН прямо завтра всех оставит без штанов за малейшее нарушение. Реальность значительно сложнее.
В практической плоскости значение имеет не только сумма штрафа, установленная законом, но и вероятность этот штраф получить. Посмотрим на статистику. В реестре операторов ПД, который ведет РКН, более 2.600.000 операторов. За 2025 г. судами вынесено около 500 решений по ст. 13.11 КоАП РФ. То есть соотношение количества операторов к количеству решений судов 5.200 к 1.
Посмотрим на статистику по санкциям. В подавляющем большинстве случаев, если дело доходит до суда, суд наказывает нарушителя. Отказы в привлечении к ответственности случаются, но они чрезвычайно редки, не будем их учитывать. Давайте исходить из того, что по всем 500 делам были назначены наказания. Вопрос — какие именно? Читатель ждет уж рифмы «розы» суммы штрафов, но...В 60% дел суд ограничился предупреждением. То есть виновному лицу просто погрозили пальцем и сказали «больше так не делай». Есть, кстати, забавный момент. Суд может признать правонарушение незначительным и отказать в привлечении к ответственности, ограничившись «устным замечанием». А может привлечь к административной ответственности, но вместо штрафа вынести «предупреждение». Казалось бы, какая разница. Но в первом случае фигурант не будет считаться привлеченным к административной ответственности, а во втором — будет. Для оператора предупреждение не такая уж безобидная штука. Дело в том, что РКН дозирует свое внимание в зависимости от категории риска, присвоенной оператору. И привлечение к ответственности по ст. 13.11, даже в форме предупреждения, категорию риска автоматически увеличивает, что имеет свои последствия — но об этом я как‑нибудь в другой раз напишу.
Возвращаемся к нашим штрафам. Из примерно 500 дел, по 40% (ок. 200) штраф все‑таки был назначен. Суммы штрафов варьируют от 2.000 до 17.000.000 ₽ Два самых часто встречающихся варианта — 2.000 и 60.000. Почему так? А вот почему. Большая часть нарушений (70%) попадает в сферу действия ч. 1 ст. 13.11 КоАП РФ. Что бы вы ни начудили с перс.данными — скорее всего, попадете в этот состав, он просто самый обширный. До середины 2025 г. штрафы по ч. 1 ст. 13.11 были существенно ниже, чем сейчас. Когда выносится административное наказание, применяется тот размер штрафа, который действовал на момент совершения нарушения. Поскольку между правонарушением и вынесением решения суда о наказании — дистанция огромного размера (до года), то ныне действующие размеры штрафов в 2025 г еще почти не применялись. Соответственно, когда какое‑нибудь юр.лицо привлекали к ответственности по ч. 1 ст. 13.11 и назначали штраф, а не предупреждение, применяли «старые цены» — и получалось в основном 60.000 ₽ А 2.000 руб — это штрафы физикам. Как ни странно, суды гораздо охотнее штрафуют физиков, чем юриков. Если нарушитель — юр.лицо, шанс отделаться предупреждением куда выше, чем у «простого человека».
Едем дальше: верхний предел штрафа за 2025 г — 17.000.000 ₽ Назначен он не за грандиозную утечку, как могло бы показаться, а за нарушение требований о локализации. WA оштрафовали по ч. 9 ст. 13.11 КоАП РФ. Вообще РКН очень активно штрафует иностранные сервисы за локализацию. Борьба за цифровой суверенитет идет вовсю. Уже оштрафованы или в процессе десятки иностранных компаний: все популярные мессенджеры, гугл, зум, приложения для знакомств, разработчики различного ПО и компьютерных игр — всех не перечислишь. Правда, сомнительно, что бюджет РФ когда‑нибудь дождется выплаты этих штрафов.
С суммами разобрались, но интересно, кого именно привлекают к ответственности? Забавно, но в половине случаев — это участники бытовых или соседских разборок с использованием перс.данных. Сейчас объясню. 50% от привлеченных к ответственности составляют должностные лица и физические лица. «Должностное лицо» звучит чрезвычайно солидно, но в подавляющем большинстве случаев это не чиновники, не директора предприятий — а председатели ТСЖ, СНТ, ТСН, гаражных кооперативов, то есть объединений граждан для управления недвижимостью. Кто вникал, тот знает, что в таких объединениях жизнь довольно часто бьет ключом: кто‑то на кого‑то жалуется, кто‑то пытается сместить правление и выбрать получше, правление хочет собрать все долги со всех должников и так далее. Для этого активно используется метод общественной укоризны: в чатах мессенджеров публикуются списки должников, тексты жалоб (вот Иван Иваныч, нехороший человек, написал на нас жалобу в прокуратуру — полюбуйтесь), решения судов (мы сходили в суд и суд постановил взыскать с Марь Петровны долги за 200 лет) и прочие документы, содержащие перс.данные. Аналогично кто‑то с кем‑то сводит личные счеты, выкладывая данные в группу типа «подслушано там‑то...» И никому, конечно, в голову не приходит, что для такого действия нужно либо согласие субъекта (так он его и даст), либо иные правовые основания (которым неоткуда взяться). Пострадавший пишет жалобу в полицию/прокуратуру/ФСБ, если грамотный или что‑то слышал, то напрямую в РКН, прилагает скрины — и РКН радостно идет в суд, так как состав ему принесли на тарелочке. Суд обычно выносит предупреждение, но бывает, что и штрафует. Если выкладыванием ПД в мессенджеры занимается председатель или бухгалтер — ему не повезло, штраф будет от 10.000, если рядовой сосед — штрафуют как физика — на 2.000.
В сумме имеем: великий и ужасный РКН не столько следит за тем, есть ли на вашем сайте согласие на обработку ПД (справедливости ради, за этим тоже следит — в другой раз расскажу), сколько борется за цифровой суверенитет с иностранными компаниями и проверяет жалобы физиков на данные в мессенджерах и соц.сетях. А суды в большинстве случаев проявляют невиданный в других сферах либерализм и назначают предупреждения вместо штрафов. Кстати, даже за утечки.
