- Максимальный штраф для юрлиц — до 18 000 000 ₽ за повторное нарушение требований локализации персональных данных
- За утечку персональных данных и несвоевременное уведомление РКН действуют отдельные составы ответственности
- РКН необходимо уведомить в течение 24 часов после обнаружения инцидента и направить дополнительный отчёт в течение 72 часов
- Штрафы назначаются как организациям, так и ИП, руководителям и ответственным должностным лицам
- Большинство нарушений можно устранить заранее — до проверки и назначения санкций
Почему штрафы выросли в 100 раз
С 2022 года санкции за нарушение ФЗ-152 увеличились кардинально. Если раньше компания могла отделаться предписанием на 75 000 рублей, теперь за одно нарушение можно получить до 1 миллиона — а за повторное нарушение локализации — до 18 миллионов рублей.
По данным РКН, за 2023–2024 годы назначено более 4 000 штрафов. Под удар попали крупные банки, интернет-магазины, медицинские клиники и сервисные компании. Незнание закона не освобождает от ответственности.
За что штрафуют по ФЗ-152
Роскомнадзор проверяет соответствие по нескольким ключевым составам нарушений.
Обработка персональных данных без согласия — самое частое нарушение. Формы обратной связи, CRM, аналитика — всё это обработка ПД. Без надлежащего согласия субъекта это нарушение ч. 2 ст. 13.11 КоАП.
Отсутствие политики обработки ПД — сайт обязан публиковать актуальную политику конфиденциальности, доступную без регистрации.
Нарушение требований к локализации — данные граждан России должны первично обрабатываться на серверах в России.
Хранение данных на зарубежных серверах (AWS, Google Cloud, Azure) без российской копии — нарушение требований локализации. Штраф для юрлица — от 1 до 6 млн рублей, при повторном нарушении — до 18 млн.
Несвоевременное уведомление об утечке — с 2023 года оператор обязан уведомить РКН в течение 24 часов после обнаружения инцидента.
Таблица штрафов по КоАП РФ
| Состав нарушения | Физлицо | Должностное лицо | Юрлицо | |---|---|---|---| | Обработка без согласия (ч. 2 ст. 13.11) | 10 000 – 20 000 ₽ | 20 000 – 40 000 ₽ | 60 000 – 100 000 ₽ | | Отсутствие политики (ч. 3) | 3 000 – 6 000 ₽ | 10 000 – 20 000 ₽ | 30 000 – 60 000 ₽ | | Нарушение локализации (ч. 8) | 100 000 – 200 000 ₽ | 200 000 – 500 000 ₽ | 1 000 000 – 6 000 000 ₽ | | Несвоевременное уведомление (ч. 10) | 20 000 – 40 000 ₽ | 40 000 – 80 000 ₽ | 100 000 – 300 000 ₽ | | Повторное нарушение локализации (ч. 8.1) | 300 000 – 500 000 ₽ | 500 000 – 800 000 ₽ | 6 000 000 – 18 000 000 ₽ |
Реальные ситуации, за которые штрафуют
Интернет-магазин без политики
Компания собирала заявки через сайт, но не публиковала политику обработки ПД и не уведомила РКН.
Итог:
- штраф за отсутствие политики;
- штраф за отсутствие уведомления;
- предписание об устранении нарушений.
CRM с клиентами на зарубежном сервере
Бизнес использовал иностранную CRM без локализации данных в РФ.
Итог:
- проверка РКН;
- требование о переносе данных;
- штраф по ст. 13.11 КоАП за нарушение локализации.
Массовая рассылка без согласия
Компания отправляла рекламные сообщения клиентам без подтверждённого согласия.
Итог:
- жалобы пользователей;
- проверка;
- штраф за обработку ПД без законного основания.
Как проходит проверка Роскомнадзора
Проверки бывают двух видов: плановые и внеплановые (по жалобам субъектов или в связи с инцидентом). При плановой проверке компанию уведомляют за 3 рабочих дня.
Роскомнадзор получил право проводить внеплановые проверки без предварительного уведомления при наличии сведений о возможной утечке данных. Будьте готовы в любой момент.
Что делать при получении предписания
Если по итогам проверки выдано предписание, у вас есть 30 дней на устранение нарушений.
Повторная проверка после предписания — почти гарантированный штраф, если нарушения не устранены. Штрафы за повторные нарушения в 3–10 раз выше первичных.
Чек-лист соответствия ФЗ-152
- На сайте опубликована актуальная политика конфиденциальностиобязательно
- Во всех формах сбора данных есть чекбокс с согласиемобязательно
- Компания уведомила РКН о начале обработки персональных данныхобязательно
- Данные российских пользователей хранятся на серверах в Россииобязательно
- Назначен ответственный за обработку ПД с соответствующим приказом
- Заключены соглашения с третьими лицами, которым передаются данные
- Есть внутренний регламент обработки и защиты ПД
- Сотрудники, работающие с ПД, прошли инструктаж
Как снизить риск крупных штрафов
- Проводить аудит минимум раз в год
- Проверять все формы сбора данных после обновления сайта
- Хранить доказательства согласий и ознакомления сотрудников
- Заключать договоры поручения со всеми подрядчиками
- Регулярно проверять локализацию и резервное копирование
Типичные ошибки бизнеса
Компания оформляет документы «для проверки», но фактически процессы работают иначе. Инспектор РКН проверяет не только наличие бумаг, но и реальное применение: кто имеет доступ к данным, как уничтожаются ПД, где они хранятся и как сотрудники работают с CRM.
- Использование шаблонной политики, не соответствующей реальным процессам
- Хранение данных бывших клиентов и сотрудников без сроков удаления
- Отсутствие приказа о назначении ответственного
- Передача базы подрядчику без договора поручения
Частые вопросы о штрафах по ФЗ-152
Итог
Большинство нарушений ФЗ-152 устраняются за 1–2 недели. Ключевые шаги: опубликовать политику конфиденциальности, добавить согласия в формы, уведомить РКН и проверить локализацию данных. Стоимость оформления документов в десятки раз ниже возможного штрафа.