Главное за неделю в рассылке
«Что делать Юристу»
Новости профессионального комьюнити и лучшие материалы
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности
За что штрафуют в области персональных данных
За нарушения в области персональных данных (далее — ПД) чаще всего привлекают к ответственности по статье 13.11 КоАП РФ.
Все нарушения из этой статьи можно разбить на три категории.
1. Нарушения при обработке и защите информации. Например, когда у оператора нет необходимого пакета документов, он не опубликовал политику обработки, не соблюдал правила защиты и другие подобные нарушения.
2. Нарушения при общении с гражданином – субъектом персональных данных. Например, когда гражданин попросил прекратить обработку данных, отозвал согласие или просто поинтересовался, как обрабатываются его личные данные, а оператор эти запросы проигнорировал.
3. Нарушения при взаимодействии с Роскомнадзором. Например, оператор не уведомил ведомство о начале обработки персональных данных или трансграничной передаче.
Суммы штрафов зависят от нарушения. Узнать все размеры штрафов, а также о том, какая еще ответственность возможна за нарушения по персданным, можно в КонсультантПлюс. А если нет доступа, советую взять пробный от Что делать Консалт.
Кто и какую ответственность несет за нарушение законодательства о персональных данных
Какие штрафы и другие административные наказания могут назначить в сфере персональных данных
Когда штраф можно уменьшить или заменить на предупреждение
Покажу случаи, когда штраф по персданным можно уменьшить или заменить на предупреждение. Буду сначала рассказывать об общих правилах, а потом применять их к нарушениям по персональным данным, то есть к статье 13.11 КоАП РФ.
Как заменить штраф на предупреждение
В статье 13.11 КоАП РФ нет наказания в виде предупреждения. Но замена, тем не менее, реальна. Это возможно, даже если соответствующего наказания нет в статье, но соблюдены следующие условия:
- нарушение выявили проверяющие;
- вы совершили нарушение впервые;
Важно. Это правило относится не ко всем нарушениям. В КоАП есть перечень нарушений, когда штраф на предупреждение заменить нельзя. Однако статьи 13.11 в этом перечне нет. Соответственно, штраф за нарушения в области персональных данных можно заменить на предупреждение.
Как могут уменьшить штраф СОНКО и МСП
Для таких организаций есть «скидка» на штраф до 50 %. Компанию наказывают по сумме штрафа для ИП, если в статье КоАП есть наказание для ИП. Если отдельного наказания для ИП нет, есть варианты.
1. Фиксированный штраф. СОНКО и МСП оштрафуют на сумму от 50 % минимального до 50 % максимального штрафа для юрлиц.
2. Вилка штрафов. СОНКО и МСП назначат штраф от 50 % минимального до 50 % максимального размера штрафа, предусмотренного для юридического лица (ст. 4.1.2 КоАП РФ).
Есть ограничения. Сумма штрафа для организаций не может быть меньше штрафа для должностных лиц. Кроме того, эти правила не применяются к статьям, где ИП отвечают как юридические лица.
Разберу на примерах по частям статьи 13.11 КоАП, собрала их в таблицу.
Как МСП и СОНКО могут снизить штрафы по персональным данным
| Какое нарушение | Какой штраф | Как могут снизить МСП И СОНКО |
ч. 1 ст. 13.11 КоАП РФ Любое нарушение в области ПД, если нет специальной нормы | Наказания для ИП нет Штраф для юрлиц: 150 тысяч – 300 тысяч рублей | 75 тысяч – 150 тысяч рублей |
ч. 1.1 ст. 13.11 КоАП РФ Нарушение выше, если его совершили повторно | ИП отвечают как юридические лица Штраф для юрлиц: 300 тысяч – 500 тысяч рублей |
300 тысяч – 500 тысяч рублей |
ч. 2 ст. 13.11 КоАП РФ Обработка ПД без письменного согласия, когда оно обязательно | Наказания для ИП нет Штраф для юрлиц: 300 тысяч – 700 тысяч рублей | 150 тысяч – 350 тысяч рублей |
ч. 2.1 ст. 13.11 КоАП РФ Нарушение выше, если его совершили повторно | Штраф для ИП: 500 тысяч – 1 млн рублей, для организаций: 1 млн – 1,5 млн рублей | Будет штраф как для ИП |
Как видите, по разным частям статьи 13.11 КоАП разные основания снижения штрафа для СОНКО и МСП. Чтобы определить размер штрафа по другим частям этой статьи, руководствуйтесь принципом из таблицы.
Назначение штрафа ниже минимального
Назначение штрафа ниже минимального возможно, но только если:
1) есть исключительные обстоятельства, которые связаны с:
- характером нарушения;
- его последствиями;
- тем, как ведет себя нарушитель-юрлицо;
- имущественным и финансовым положением нарушителя-юрлица;
2) минимальный штраф для компаний за конкретное нарушение не менее 100 тысяч рублей.
По такому основанию могут снизить штраф в два раза (ч. 3.2 ст. 4.1 КоАП РФ).
Что касается персональных данных, то в статье 13.11 КоАП есть части, где минимальный размер штрафа более 100 тысяч рублей, то есть эти правила снижения штрафа тоже могут подойти. Кстати, если минимальная сумма штрафа меньше 100 тысяч рублей, то суд не будет рассматривать другие обстоятельства.
Пример
Компания пыталась уменьшить штраф по статье 13.11 КоАП, ссылаясь на данное основание. Штраф ей назначили до 30 мая 2025 года, когда минимальная сумма составляла 60 тысяч рублей. Суд отказал, отметив, что положения ч. 3.2 ст. 4.1 КоАП тут не применимы (Постановление 8-го КСОЮ от 30.09.2022 № 16-6982/2022).
Как компании снижают штрафы по персданным: успешные кейсы
Приведем несколько успешных кейсов, где штраф удалось заменить на предупреждение или уменьшить. Обратите внимание, эта практика до 30 мая 2025 года, сумма штрафов тут меньше, чем сейчас. По новым суммам практика еще формируется.
Замена штрафа на предупреждение
Авиакомпания допустила утечку персональных данных по 50 тысячам клиентов. В сеть попали их имена, даты рождения, данные паспорта, загранпаспорта и визы, номера телефонов, адреса и электронная почта. Предположительно это случилось из-за того, что клиенты компании использовали один и тот же логин и пароль для входа на разные сайты. Авиакомпания выполнила все необходимые при утечке действия, в том числе провела внутреннее расследование. По его итогам выявили, что на сайт была совершена атака с IP-адресов множества стран. Всего в атаке было более 2 млн запросов. Хакеры смогли зайти в 47 тысяч учетных записей.
Авиакомпания своевременно сообщила в Роскомнадзор об утечке и результатах расследования, а потом активно взаимодействовала с ведомством. В результате наказание было в виде предупреждения (Постановление 8-го КСОЮ от 21.12.2023 № 16-7266/2023).
Уменьшение штрафа для СОНКО и МСП
Гражданин направил обращение в организацию. Ответ ему дали в общем чате WhatsApp, где, помимо самого гражданина, были еще третьи лица. Организацию оштрафовали на 60 тысяч рублей по ч. 1. ст. 13.11 КоАП.
Компания заявила, что является микропредприятием, и сумму штрафа снизили на 50 %, до 30 тысяч рублей (Постановление 4-го КСОЮ от 22.04.2025 № 16-1667/2025).
В каких случаях привлечение к ответственности отменят
Теперь расскажу о ситуациях, когда постановление о привлечении к административной ответственности могут признать незаконным и отменить.
Истек срок давности привлечения к ответственности
Срок давности привлечения к ответственности по статье 13.11 КоАП — 1 год. Если год со дня нарушения прошел, штраф не наложат. В таком случае даже не будут разбираться, виновно лицо или нет (п. 43 Обзора судебной практики ВС РФ № 3 (2022)).
Нарушение малозначительно
При малозначительности могут освободить от ответственности, нарушителю просто вынесут устное замечание (ст. 2.9 КоАП РФ). Такое возможно, когда формально нарушение есть, но фактически серьезных последствий оно не повлекло.
Но сразу скажу, что к статье 13.11 КоАП малозначительность применяют крайне редко.
Нарушения не было
Речь идет о ситуациях, когда фактически нарушения не было, но организацию привлекли к ответственности. Тут следует доказать, что правила по закону 152-ФЗ не нарушены, и производство по делу прекратят (ст. 24.5 КоАП РФ).
Роскомнадзор нарушил процедуру привлечения к ответственности
Штраф по персданным можно оспорить, если контролеры существенно нарушили процедуру привлечения к ответственности. Так, если протокол составили с существенными нарушениями, к ответственности не привлекут.
Пример
В протокол внесли изменения и не известили об этом нарушителя. Это кейс по делу о нарушении ПДД, но принцип единый, и для дел по персданным он тоже подойдет (п. 4 Обзора ВС № 2 (2015), п. 10 ПП ВАС от 02.06.2004 № 10).
Подробнее о том, как устанавливают вину юрлица и как возбуждается и ведется дело, читайте в Готовом решении КонсультантПлюс.
Как обжаловать штраф: примеры из судебной практики
Сейчас о том, как нормы выше применяют на практике. Разберу несколько реальных кейсов.
Истек срок давности привлечения к ответственности
Граждане обращались в ЖСК, чтобы получить справку с места жительства. Роскомнадзор оштрафовал ЖСК по ч. 1 ст. 13.11 КоАП за то, что он копировал паспорта заявителей без их согласия.
Штраф оспорили в суде. Суд принял аргументы о том, что персональные данные нужны для исполнения договора, а также для участия в суде, если придется подавать на граждан иск по долгам за коммунальные услуги (ст. 6 Закона 152-ФЗ).
Роскомнадзор настаивал, что нарушение есть, и оспаривал решения суда в вышестоящих инстанциях. Процесс затянулся, и с момента копирования паспортов прошел срок давности – 1 год. Решения судов об отмене штрафа оставили в силе (Постановление 8-го КСОЮ от 05.11.2024 № 16-6510/2024).
Нарушения не было
Тут нашла два примера.
Пример 1. Компания выкупила долг гражданина и стала его новым кредитором, гражданин долг не оплатил. Компания передала персональные данные гражданина ИП, который подготовил и подал в суд иск о взыскании долга. Гражданин пожаловался в Роскомнадзор, что его данные обрабатываются без согласия, и компанию оштрафовали по ч. 1 ст. 13.11 КоАП.
Компания оспорила штраф в суде. Персональные данные нужны для участия в суде, а это основание для обработки без согласия. Ни в каких других целях персональные данные не использовались. Оснований для штрафа нет (п. 3 ч. 1 ст. 6 Закона 152-ФЗ, Постановление 8-го КСОЮ от 28.02.2025 № 16-864/2025).
Пример 2. Гражданин направил компании претензию и оставил свою электронную почту, чтобы на него отправили ответ. Компания направила на эту почту платежный документ. Гражданин пожаловался в Роскомнадзор, и компанию оштрафовали за обработку ПД, не совместимую с целями их сбора.
Суд не увидел нарушения. Платежный документ направили в целях исполнения договора, согласие на обработку тут не требуется. Производство по делу прекратили. (п. 5 ч. 1 ст. 6, Закона 152-ФЗ, Постановление 7-го КСОЮ от 18.09.2024 № 16-3618/2024).
Как работать без нарушений
Моя коллега взяла интервью у эксперта по персональным данным, чтобы вы обрабатывали персданные без ошибок. Смотрите запись и проверяйте себя.
Итог
Подведем итог. Штрафы за нарушения в области персональных данных повысили серьезно, но есть возможность их оспорить, уменьшить или заменить на предупреждение.
Советую изучить экспертные материалы КонсультантПлюс, эксперты разбирают в них много тонкостей. Берите бесплатное демо на два дня, если нет доступа к системе.
Как привлекают к административной ответственности за нарушения в сфере персональных данных
Позиции судов по спорным вопросам. Предписание Роскомнадзора
