Когда возникает риск уголовной ответственности?

Уголовная ответственность возможна при незаконном доступе к компьютерной информации, умышленной утечке данных, нарушении тайны частной жизни или халатности, повлёкшей тяжёлые последствия. В зависимости от ситуации могут применяться статьи 137, 272–274 УК РФ.

Что помогает снизить личные риски директора?

Наличие полного комплекта документов, назначение ответственного, обучение сотрудников, внутренние регламенты, аудит подрядчиков и фиксация мер защиты помогают доказать добросовестность руководителя при проверке.

Ответственность директора за нарушение ФЗ-152: личные риски руководителя

Q: Могут ли директора оштрафовать отдельно от компании?

Да. По статье 13.11 КоАП РФ административная ответственность применяется отдельно к юридическому и должностному лицу. Даже если компания уже получила штраф, директор может быть оштрафован дополнительно.

Главное за 30 секунд

Директор несёт личную ответственность наряду с компанией
Штрафы для должностных лиц достигают сотен тысяч рублей
Делегирование задач не снимает ответственность полностью
При серьёзных нарушениях возможна уголовная ответственность
Минимизировать риски помогают внутренние документы и контроль процессов

Директор как должностное лицо

По статье 13.11 КоАП РФ ответственность несут три субъекта:

Физические лица (граждане)
Должностные лица (директор)
Юридические лица (компания)

Штраф компании не освобождает директора

Компания и директор привлекаются независимо. По одному нарушению обоих могут оштрафовать одновременно.

На практике директор отвечает за:

организацию обработки персональных данных;
назначение ответственных лиц;
утверждение внутренних документов;
контроль соблюдения требований ФЗ-152;
выбор подрядчиков и сервисов обработки ПД.

Даже если обработкой занимается IT-отдел или подрядчик, регулятор рассматривает директора как лицо, обязанное организовать систему compliance внутри компании.

Размеры штрафов для должностных лиц

Нарушение	Штраф
Обработка без согласия	20 000 – 40 000 ₽
Нет политики ПД	10 000 – 20 000 ₽
Нарушение прав субъекта	10 000 – 15 000 ₽
Нарушение локализации	200 000 – 500 000 ₽

При повторных нарушениях или совокупности нескольких эпизодов штрафы могут суммироваться.

Риск

Если Роскомнадзор выявляет системное нарушение (нет документов, отсутствует локализация, утечка данных), протокол часто составляется одновременно на организацию и руководителя.

Когда директор отвечает лично

Личная ответственность возникает, если:

отсутствуют обязательные документы;
не назначен ответственный за ПД;
не подано уведомление в РКН;
сотрудники не обучены работе с ПД;
используются зарубежные сервисы без соблюдения локализации;
произошла утечка данных из-за отсутствия организационных мер.

Особенно высокие риски возникают после жалобы субъекта персональных данных или инцидента с утечкой.

Можно ли делегировать ответственность

Директор вправе:

назначить ответственного за организацию обработки ПД;
передать технические задачи IT-службе;
привлечь внешнего консультанта или DPO;
передать обработку подрядчику по договору поручения.

Но полностью снять ответственность нельзя.

Делегирование не отменяет контроль

Если директор формально назначил ответственного, но не обеспечил реальную работу процессов, ответственность всё равно останется на руководителе.

Чтобы делегирование действительно снижало риски, необходимо:

оформить приказ о назначении;
определить обязанности и полномочия;
утвердить регламенты;
вести журналы инструктажей;
фиксировать внутренние проверки и аудиты.

Уголовная ответственность

ФЗ-152 сам по себе устанавливает административную ответственность, но отдельные нарушения могут привести и к уголовным последствиям.

Статья 137 УК РФ — нарушение неприкосновенности частной жизни

Применяется при незаконном сборе или распространении сведений о частной жизни без согласия лица.

Примеры:

публикация клиентской базы;
передача медицинских данных третьим лицам;
раскрытие персональных данных сотрудников.

Статьи 272–274 УК РФ

Связаны с неправомерным доступом к компьютерной информации и нарушением правил эксплуатации информационных систем.

Риски возникают:

при сокрытии утечки;
при отсутствии мер защиты;
при сознательном игнорировании требований безопасности.

Утечка может выйти за рамки КоАП

Если нарушение привело к крупному ущербу, массовой утечке или нарушению тайны частной жизни, дело может перейти из административной плоскости в уголовную.

Дисквалификация

Дисквалификация — запрет занимать руководящие должности от 6 месяцев до 3 лет.

Обычно применяется:

при повторных нарушениях;
при игнорировании предписаний регулятора;
при грубых системных нарушениях;
при доказанной недобросовестности руководства.

Для бизнеса это один из самых тяжёлых сценариев, поскольку директор временно теряет право управлять организацией.

Как директору снизить риски

Практический минимум:

назначить ответственного приказом;
провести аудит обработки ПД;
утвердить политику и регламенты;
проверить локализацию данных;
обучить сотрудников;
заключить договоры поручения с подрядчиками;
организовать реагирование на инциденты.

Важно не только наличие документов, но и реальное выполнение процедур.

Защита директора от личной ответственности

Назначен ответственный за обработку ПД приказомобязательно
Утверждены политика и регламенты работы с ПДобязательно
Сотрудники прошли инструктаж
Проведён аудит подрядчиков и облачных сервисов
Настроены процедуры реагирования на утечкиобязательно
Документально подтверждены меры защиты ПД

Частые вопросы об ответственности директора

Если назначен ответственный за ПД — директор всё равно отвечает?

Да. Назначение ответственного лица снижает риски и распределяет обязанности, но директор остаётся должностным лицом, ответственным за организацию обработки ПД и контроль процессов.

Могут ли директора оштрафовать отдельно от компании?

Да. Штрафы для компании и директора применяются независимо друг от друга. По одному нарушению возможно два отдельных постановления.

Когда возникает уголовная ответственность?

При незаконном распространении ПД, тяжёлых утечках, нарушении тайны частной жизни или неправомерном доступе к информационным системам могут применяться статьи 137 и 272–274 УК РФ.

Что лучше всего снижает личные риски директора?

Наличие актуальных документов, регулярный аудит, обучение сотрудников, контроль подрядчиков и фиксация организационных мер помогают доказать добросовестность руководителя.

Проверьте личные риски руководителя

Проверим сайт и документы — за 2 рабочих дня

Проверить риски директора

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.