Как часто РКН реально штрафует за нарушения?

Роскомнадзор ежегодно выносит тысячи постановлений по нарушениям в сфере персональных данных. Проверки инициируются как по жалобам субъектов ПД, так и автоматически — по мониторингу сайтов, утечек и публикаций в СМИ.

Можно ли снизить или избежать штраф при проверке?

Да. Если оператор устранил нарушение до вынесения постановления, представил доказательства исправлений и сотрудничал с проверяющими, это может рассматриваться как смягчающее обстоятельство. При первичных нарушениях иногда ограничиваются предупреждением.

Как считается оборотный штраф за утечку данных?

Для крупных повторных нарушений размер штрафа может рассчитываться как процент от годовой выручки компании — обычно от 1% до 3%. Конкретная сумма зависит от масштаба утечки, категории данных и последствий для субъектов ПД.

Какой штраф за отсутствие назначения ответственного?

Отсутствие приказа о назначении ответственного за организацию обработки ПД может повлечь штраф до 100 000 ₽ для организации и до 20 000 ₽ для должностного лица или ИП.

Штрафы по ФЗ-152: актуальные суммы, типичные ситуации и как их избежать

Главное за 30 секунд

Размеры штрафов по КоАП РФ за нарушения персональных данных достигают 18 млн рублей и более при повторных нарушениях
Наиболее частые основания для штрафов — отсутствие политики, согласия, уведомления в РКН и ошибки в трансграничной передаче
За повторные нарушения и крупные утечки применяются оборотные штрафы — до 3% годовой выручки
При серьёзных нарушениях возможна не только административная, но и уголовная ответственность
Своевременный аудит и корректное уведомление РКН позволяют существенно снизить риски санкций

Основные виды штрафов по ФЗ-152

| Нарушение | Штраф для юрлица | Штраф для ИП или должностного лица | |------------------------------------------|-------------------------|------------------------------------| | Нет политики конфиденциальности | 30 000 – 150 000 ₽ | 10 000 – 20 000 ₽ | | Нет согласия на обработку ПД | 30 000 – 150 000 ₽ | 10 000 – 20 000 ₽ | | Нет уведомления в РКН | до 100 000 ₽ | до 30 000 ₽ | | Незаконная трансграничная передача | 100 000 – 300 000 ₽ | 15 000 – 75 000 ₽ | | Нет договора поручения | 50 000 – 200 000 ₽ | 15 000 – 25 000 ₽ | | Нет назначения ответственного | до 100 000 ₽ | до 20 000 ₽ | | Повторное нарушение | до 18 000 000 ₽ | до 500 000 ₽ | | Утечка ПД с ущербом | Индивидуально | Индивидуально | | Нарушение локализации (ст. 152-ФЗ) | 6 000 000 – 18 000 000 ₽| 2 000 000 – 6 000 000 ₽ |

Что изменилось в 2024 году

В 2024 году ответственность за нарушения в сфере персональных данных существенно ужесточилась:

Увеличены штрафы за повторные нарушения
Введены оборотные штрафы за крупные утечки
Усилен контроль за уведомлением об инцидентах
Расширены полномочия РКН по внеплановым проверкам
Усилена ответственность за незаконную передачу данных за рубеж

Риск

При обнаружении утечки оператор обязан уведомить Роскомнадзор в течение 24 часов. В течение 72 часов необходимо предоставить результаты внутреннего расследования и сведения о причинах инцидента.

Повторное и массовое нарушение

Если нарушение зафиксировано повторно (например, нет политики на сайте в течение года после предупреждения) — штраф увеличивается в несколько раз.
Массовая рассылка без согласия = сумма штрафа может рассчитываться исходя из количества нарушений.
При утечке данных десятков тысяч субъектов возможен оборотный штраф — процент от годовой выручки компании.

Пример оборотного штрафа

Компания с выручкой 900 млн ₽ допустила повторную массовую утечку клиентских данных.

При применении штрафа в размере 1% оборота сумма санкций составит:

9 000 000 ₽

Для крупного бизнеса такие штрафы становятся сопоставимыми с полноценным антикризисным бюджетом.

Уголовная ответственность

В отдельных случаях нарушения в сфере ПД могут повлечь уголовную ответственность:

Незаконный доступ к компьютерной информации
Продажа или распространение баз данных
Повторные тяжёлые утечки
Причинение существенного вреда гражданам

Максимальное наказание по отдельным составам — до 10 лет лишения свободы.

Ответственность несёт не только компания

При серьёзных нарушениях ответственность могут нести конкретные должностные лица: директор, ИТ-руководитель, администратор информационной системы или подрядчик, получивший доступ к ПД.

Особенности для малого бизнеса и ИП

Штрафы для ИП ниже, но даже суммы 50–100 тыс. ₽ могут быть критичны для малого бизнеса.
Проверка может начаться после одной жалобы через Госуслуги или обращения субъекта ПД.
Наличие минимального комплекта документов часто позволяет избежать наиболее тяжёлых санкций.

Как избежать штрафов

Чек-лист предотвращения штрафов

Оформлена политика и опубликована на сайтеобязательно
Установлены чекбоксы согласия во всех формахобязательно
Проведена инвентаризация данных и процессов обработки
Своевременно подано уведомление в Роскомнадзор
Все сотрудники ознакомлены с документами и подписали NDA
Проводится аудит согласий, уничтожения и передачи ПД
Назначен ответственный за организацию обработки ПД
Есть регламент действий при утечке данных

Пример типового штрафа

ООО «Василёк» использует Google Analytics без уведомления РКН и без политики на сайте. Штраф: 60 000 ₽ (нет политики) + 100 000 ₽ (не уведомили РКН) = 160 000 ₽.

Пример из практики

Компания допустила повторную трансграничную передачу персональных данных через зарубежный SaaS-сервис без выполнения требований локализации.

Результат:

внеплановая проверка РКН,
предписание,
штраф более 6 млн ₽,
обязательство изменить инфраструктуру хранения данных.

Как обжаловать штраф

Подать жалобу в течение 10 дней с даты вынесения постановления
Подготовить доказательства устранения нарушений
Проверить корректность процедуры проверки
При необходимости — обращаться в суд

Основаниями для смягчения могут быть:

добровольное устранение нарушения,
отсутствие вреда субъектам ПД,
сотрудничество с РКН,
первичность нарушения.

Частые вопросы о штрафах ФЗ-152

Штраф платится на реквизиты РКН?

Нет. Штраф перечисляется в федеральный бюджет по реквизитам, указанным в постановлении о привлечении к ответственности.

Если утечка устранена — штрафа не будет?

Не обязательно. Сам факт нарушения уже может являться основанием для ответственности. Но оперативное устранение инцидента и уведомление РКН способны снизить размер санкций.

Если данные принадлежат клиентам партнёра, ответственность всё равно будет?

Да. Если компания фактически обрабатывала персональные данные, она может рассматриваться как оператор или обработчик и нести самостоятельную ответственность.

Может ли РКН оштрафовать без выездной проверки?

Да. Многие нарушения выявляются дистанционно — по сайту, жалобам субъектов ПД, публикациям в интернете и результатам мониторинга.

Боитесь штрафов за ФЗ-152?

Проверим сайт и документы — за 2 рабочих дня

Провести экспресс-аудит и снизить риски

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.