13.03.2026
Ответственность за ПДн и КИИ: штрафы, риски и требования
Ответственность за несоблюдение требований
законодательства Российской Федерации в области обеспечения безопасности
персональных данных
|
Вид ответственности |
Нарушение |
Санкция |
Норма |
|
Административная.
|
Неправомерный
отказ в предоставлении гражданину и (или) организации информации,
предоставление которой предусмотрено законом, несвоевременное ее
предоставление либо предоставление заведомо недостоверной информации. |
Административный
штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб. |
|
|
Обработка
персональных данных в случаях, не предусмотренных законом, либо обработка,
несовместимая с целями сбора персональных данных. |
Административный
штраф: на
граждан – от 10 тыс. до 15 тыс. руб.; на
должностных лиц – от 50 тыс. до 100 тыс. руб.; на юридических лиц – от 150 тыс. до 500 тыс. руб. |
||
|
Повторное
совершение. Административный штраф: на
граждан – от 15 тыс. до 30 тыс. руб.; на
должностных лиц – от 100 тыс. до 200 тыс. руб.; на юридических лиц – от 300 тыс. до 500 тыс.
руб. |
|||
|
Обработка
персональных данных без письменного согласия субъекта, когда это необходимо,
либо обработка данных с нарушением требований к составу сведений, включаемых
в такое согласие. |
Административный
штраф: на
граждан – от 10 тыс. до 15 тыс. руб.; на
должностных лиц – от 100 тыс. до 300 тыс. руб.; на юридических лиц – от 300 тыс. до 700 тыс. руб. |
||
|
Повторное
совершение. Административный штраф: на
граждан – от 15 тыс. до 30 тыс. руб.; на
должностных лиц – от 300 тыс. до 500 тыс. руб.; на юридических лиц – от 1000 тыс. до 1500 тыс.
руб. |
|||
|
Невыполнение
оператором обязанности по опубликованию или обеспечению иным образом
неограниченного доступа к политике обработки персональных данных. |
Административный
штраф: на
граждан – от 1,5 до 3 тыс. руб.; на
должностных лиц – от 6 тыс. до 12 тыс. руб.; на ИП
– от 10 тыс. до 20 тыс. руб.; на
юридических лиц – от 30 тыс. до 60 тыс. руб. |
||
|
Невыполнение
оператором обязанности по предоставлению субъекту персональных данных
информации, касающейся обработки его персональных данных. |
Предупреждение
или административный штраф: на граждан
– от 2 тыс. до 4 тыс. руб.; на
должностных лиц – от 8 тыс. до 12 тыс. руб.; на ИП
– от 20 тыс. до 30 тыс. руб.; на
юридических лиц – от 40 тыс. до 80 тыс. руб. |
||
|
Невыполнение
оператором в установленные сроки требования субъекта персональных данных или
его представителя либо Роскомнадзора об уточнении персональных данных, их
блокировании или уничтожении (если данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для заявленной
цели обработки). |
Предупреждение
или административный штраф: на
граждан – от 2 тыс. до 4 тыс. руб.; на
должностных лиц – от 8 тыс. до 20 тыс. руб.; на ИП
– от 20 тыс. до 40 тыс. руб.; на
юридических лиц – от 50 тыс. до 90 тыс. руб. |
||
|
Повторное
совершение. Административный штраф: на
граждан – от 20 тыс. до 30 тыс. руб.; на
должностных лиц – от 30 тыс. до 50 тыс. руб.; на ИП
– от 50 тыс. до 100 тыс. руб.; на юридических лиц – от 300 тыс. до 500 тыс. руб. |
|||
|
Невыполнение
оператором при обработке персональных данных без использования средств
автоматизации обязанности по соблюдению условий, обеспечивающих их
сохранность и исключающих несанкционированный к ним доступ, если это повлекло
неправомерный или случайный доступ к данным, их уничтожение, изменение,
блокирование, копирование, предоставление, распространение либо иные
неправомерные действия в отношении них. |
Административный
штраф: на
граждан – от 1.5 тыс. до 4 тыс. руб.; на
должностных лиц – от 8 тыс. до 20 тыс. руб.; на ИП
– от 20 тыс. до 40 тыс. руб.; на
юридических лиц – от 50 тыс. до 100 тыс. руб. |
||
|
Невыполнение
оператором, являющимся государственным или муниципальным органом, обязанности
по обезличиванию персональных данных либо несоблюдение установленных для
этого требований или методов. |
Административный
штраф на
должностных лиц - от 6 тыс. до 12 тыс. руб. |
||
|
Невыполнение
оператором при сборе персональных данных, в том числе посредством
информационно-телекоммуникационной сети "Интернет", предусмотренной
законодательством РФ в области персональных данных обязанности по обеспечению
записи, систематизации, накопления, хранения, уточнения (обновления,
изменения) или извлечения персональных данных граждан РФ с использованием баз
данных, находящихся на территории РФ |
Административный
штраф: на
граждан – от 30 тыс. до 50 тыс. руб.; на
должностных лиц – от 100 тыс. до 200 тыс. руб.; на юридических лиц – от 1000 тыс. до 6000 тыс.
руб |
||
|
Повторное
совершение. Административный
штраф: на
граждан – от 50 тыс. до 100 тыс. руб.; на должностных лиц – от 500 тыс. до 800 тыс.
руб.; на юридических лиц – от 6000 тыс. до 18000 тыс.
руб |
|||
|
Действия
(бездействие) оператора, повлекшие неправомерную передачу (предоставление,
распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов
персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов,
если эти действия (бездействие) не содержат признаков уголовно наказуемого
деяния |
Административный
штраф: на
граждан – от 100 тыс. до 200 тыс. руб.; на должностных лиц – от 200 тыс. до 400 тыс.
руб.; на юридических лиц – от 3000 тыс. до 5000 тыс.
руб |
||
|
Действия
(бездействие) оператора, повлекшие неправомерную передачу (предоставление,
распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов
персональных данных и (или) от ста тысяч до одного миллиона идентификаторов,
если эти действия (бездействие) не содержат признаков уголовно наказуемого
деяния |
Административный
штраф: на
граждан – от 200 тыс. до 300 тыс. руб.; на должностных лиц – от 300 тыс. до 500 тыс.
руб.; на юридических лиц – от 5000 тыс. до 10000 тыс.
руб |
||
|
Действия
(бездействие) оператора, повлекшие неправомерную передачу (предоставление,
распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных
данных и (или) более одного миллиона идентификаторов, если эти действия
(бездействие) не содержат признаков уголовно наказуемого деяния |
Административный
штраф: на
граждан – от 300 тыс. до 400 тыс. руб.; на должностных лиц – от 400 тыс. до 600 тыс.
руб.; на юридических лиц – от 10000 тыс. до 15000 тыс.
руб |
||
|
Повторное
совершение административного правонарушения, предусмотренного частями 12 – 14
13.11 КоАП РФ |
Административный
штраф: на
граждан – от 400 тыс. до 600 тыс. руб.; на должностных лиц – от 800 тыс. до 1000 тыс.
руб.; на юридических лиц – от 1% до 3% годовой
выручки, но не менее 20000 тыс. и не более 500 000 тыс. руб |
||
|
Действия
(бездействие) оператора, повлекшие неправомерную передачу (предоставление,
распространение, доступ) информации, включающей специальную категорию персональных
данных |
Административный
штраф: на
граждан – от 300 тыс. до 400 тыс. руб.; на должностных лиц – от 1000 тыс. до 1300 тыс.
руб.; на юридических лиц – от 10000 тыс. до 15000 тыс.
руб |
||
|
Действия
(бездействие) оператора, повлекшие неправомерную передачу (предоставление,
распространение, доступ) информации, включающей биометрические персональные
данные, за исключением случаев, предусмотренных статьей 13.11.3 настоящего
Кодекса |
Административный
штраф: на
граждан – от 400 тыс. до 500 тыс. руб.; на должностных лиц – от 1300 тыс. до 1500 тыс.
руб.; на юридических лиц – от 15000 тыс. до 20000 тыс.
руб |
||
|
Повторное совершение административного правонарушения, предусмотренного частью 16 или 17 Часть 15 ст. 13.11 КоАП РФ. |
Административный
штраф: на
граждан – от 500 тыс. до 800 тыс. руб.; на должностных лиц – от 1500 тыс. до 2000 тыс.
руб.; на юридических лиц – от 1% до 3% годовой
выручки, но не менее 25000 тыс. и не более 500 000 тыс. руб |
||
|
Размещение
и обновление банками, многофункциональными центрами предоставления
государственных и муниципальных услуг, иными организациями в случаях,
определенных федеральными законами, биометрических персональных данных
субъекта персональных данных в государственной информационной системе
"Единая система идентификации и аутентификации физических лиц с
использованием биометрических персональных данных" с нарушением
установленных законодательством Российской Федерации требований |
Административный
штраф: на
должностных лиц – от 100 до 300 руб.; на юридических лиц – от 500 тыс. до 1000 тыс.
руб. |
||
|
Непредставление
или несвоевременное представление в государственный или иной уполномоченный
орган сведений, представление которых предусмотрено законом либо
предоставление таких сведений в неполном объеме или в искаженном виде. |
Административный
штраф: на
граждан – от 100 до 300 руб.; на
должностных лиц – от 300 до 500 руб.; на
юридических лиц – от 3 тыс. до 5 тыс. руб. |
||
|
Уголовная |
Незаконное
собирание или распространение сведений о частной жизни лица, составляющих его
личную или семейную тайну, без его согласия либо распространение этих
сведений в публичном выступлении, публично демонстрирующемся произведении или
СМИ. |
Штраф
до 200
тыс. руб., либо обязательные работы на
срок до 360 часов, либо исправительные работы на
срок до одного года, либо принудительные работы на
срок до двух лет (с лишением права занимать определенные должности на
срок до трех лет или без такового), либо арест на срок до четырех месяцев,
либо лишение свободы на срок до двух лет (с
лишением права занимать определенные должности на срок до трех лет). |
|
|
То же
деяние, совершенное с использованием служебного положения. |
Штраф
от 100
тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на
срок от двух до пяти лет, либо принудительные работы на
срок до четырех лет (с лишением права занимать
определенные должности на срок до пяти лет или без такового), либо арест на
срок до шести месяцев, либо лишение свободы на срок до четырех лет (с
лишением права занимать определенные должности на срок до пяти лет). |
|
|
|
Гражданско-правовая |
Причинение
лицу убытков в результате нарушения правил обработки его персональных данных. Под убытками
при этом понимаются: расходы,
которые лицо произвело или должно будет произвести для восстановления
нарушенного права; утрата
или повреждение его имущества; неполученные
доходы, которые лицо получило бы, не будь его право нарушено. |
Возмещение
убытков. |
|
|
Причинение
гражданину морального вреда (нравственных страданий) вследствие нарушения
правил обработки персональных данных. |
Компенсация
морального вреда (независимо от возмещения имущественного вреда и понесенных
субъектом убытков). |
Ответственность за несоблюдение требований
законодательства Российской Федерации в области обеспечения безопасности
критической информационной инфраструктуры
|
Вид ответственности |
Нарушение |
Санкция |
Норма |
|
Административная |
Непредставление
или нарушение сроков представления в федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности критической информационной
инфраструктуры Российской Федерации, сведений о результатах присвоения
объекту критической информационной инфраструктуры Российской Федерации одной
из категорий значимости, предусмотренных законодательством в области
обеспечения безопасности критической информационной инфраструктуры Российской
Федерации, либо об отсутствии необходимости присвоения ему одной из таких
категорий либо представление недостоверных сведений |
Административный
штраф: на
должностных лиц – от 10 тыс. до 50 тыс. руб.; на
юридических лиц – от 50 тыс. до 100 тыс. руб. За
повторное совершение административный штраф: на
должностных лиц – от 50 тыс. до 100 тыс. руб.; на
юридических лиц – от 100 тыс. до 200 тыс. руб. |
|
|
Непредставление
или нарушение порядка либо сроков представления в государственную систему обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации информации, предусмотренной законодательством в
области обеспечения безопасности критической информационной инфраструктуры
Российской Федерации |
Административный
штраф: на
должностных лиц – от 10 тыс. до 50 тыс. руб.; на
юридических лиц – от 100 тыс. до 150 тыс. руб. |
||
|
Нарушение
требований о защите информации (за исключением информации, составляющей
государственную тайну), установленных федеральными законами и принятыми в
соответствии с ними иными нормативными правовыми актами Российской Федерации |
Административный
штраф: на
граждан – от 5 тыс. до 10 тыс. руб.; на
должностных лиц – от 10 тыс. до 50 тыс. руб.; на юридических лиц – от 50 тыс. до 100 тыс. руб. |
||
|
Нарушение
требований к созданию систем безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации и обеспечению их
функционирования либо требований по обеспечению безопасности значимых
объектов критической информационной инфраструктуры Российской Федерации,
установленных федеральными законами и принятыми в соответствии с ними иными
нормативными правовыми актами Российской Федерации, если такие действия (бездействие)
не содержат признаков уголовно наказуемого деяния |
Административный
штраф: на
должностных лиц – от 10 тыс. до 50 тыс. руб.; на
юридических лиц – от 50 тыс. до 100 тыс. руб |
||
|
Нарушение
порядка информирования о компьютерных инцидентах, реагирования на них,
принятия мер по ликвидации последствий компьютерных атак, проведенных в
отношении значимых объектов критической информационной инфраструктуры
Российской Федерации, установленного федеральными законами и принятыми в
соответствии с ними иными нормативными правовыми актами Российской Федерации |
Административный
штраф: на
должностных лиц – от 10 тыс. до 50 тыс. руб.; на юридических лиц – от 100 тыс. до 500 тыс. руб |
||
|
Нарушение
порядка обмена информацией о компьютерных инцидентах между субъектами критической
информационной инфраструктуры Российской Федерации, между субъектами
критической информационной инфраструктуры Российской Федерации и
уполномоченными органами иностранных государств, международными,
международными неправительственными и иностранными организациями,
осуществляющими деятельность в области реагирования на компьютерные инциденты |
Административный
штраф: на
должностных лиц – от 20 тыс. до 50 тыс. руб.; на юридических лиц – от 100 тыс. до 500 тыс. руб |
||
|
Уголовная |
Нарушение
правил эксплуатации средств хранения, обработки или передачи охраняемой
компьютерной информации, содержащейся в критической информационной
инфраструктуре Российской Федерации, или информационных систем,
информационно-телекоммуникационных сетей, автоматизированных систем
управления, сетей электросвязи, относящихся к критической информационной
инфраструктуре Российской Федерации, либо правил доступа к указанным
информации, информационным системам, информационно-телекоммуникационным
сетям, автоматизированным системам управления, сетям электросвязи, если оно
повлекло причинение вреда критической информационной инфраструктуре
Российской Федерации |
Принудительные
работы на срок до пяти лет с лишением права занимать определенные должности
или заниматься определенной деятельностью на срок до трех лет или без
такового либо лишением свободы на срок до шести лет с лишением права занимать
определенные должности или заниматься определенной деятельностью на срок до
трех лет или без такового. |
|
|
Те же
деяния, совершенные с использованием служебного положения. |
Лишени
свободы на срок от трех до восьми лет с лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до трех лет или
без такового |
||
|
Те же
деяния, если они повлекли тяжкие последствия |
Лишение
свободы на срок от пяти до десяти лет с лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до пяти лет или
без такового |