Обработка специальных категорий персональных данных (раса, политические взгляды, религиозные/философские убеждения, состояние здоровья, интимная жизнь) не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Гражданам — 300 000–400 000 ₽; ДЛ — 1 000 000–1 300 000 ₽; ЮЛ — 10 000 000–15 000 000 ₽
КоАП РФ, ст. 13.11, ч. 16
Действия (бездействие) оператора, повлекшие неправомерную передачу специальной категории ПДн, — штраф на ЮЛ от 10 до 15 млн ₽.
1Медицинский сервис размещает в открытом доступе сканы анализов пациентов.
2Сайт знакомств публикует политические предпочтения пользователей в открытом профиле.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, установленных федеральными законами.
Гражданам — 400 000–500 000 ₽; ДЛ — 1 300 000–1 500 000 ₽; ЮЛ — 15 000 000–20 000 000 ₽
КоАП РФ, ст. 13.11, ч. 17; ст. 13.11.3
Действия (бездействие) оператора, повлекшие неправомерную передачу биометрических ПДн, — штраф на ЮЛ от 15 до 20 млн ₽.
1Сервис распознавания лиц для входа в фитнес-клуб обрабатывает биометрию без письменного согласия клиента.
2Сайт публикует фотографию клиента с её последующим использованием для распознавания без отдельного согласия.
Трансграничная передача ПДн на территории государств, не обеспечивающих адекватную защиту прав субъектов ПДн, может осуществляться только при наличии согласия субъекта в письменной форме и при условии уведомления уполномоченного органа.
Гражданам — 50 000–100 000 ₽; ДЛ — 400 000–800 000 ₽; ЮЛ — 1 000 000–3 000 000 ₽
КоАП РФ, ст. 13.11, ч. 11
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа — штраф…
1Компания передаёт ПДн в зарубежный CRM-сервис без уведомления РКН.
2Сайт размещает форму, которая отправляет данные через сервис Google Analytics за рубеж без отдельного согласия.
До начала осуществления трансграничной передачи персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять трансграничную передачу ПДн с указанием получателей.
Гражданам — 50 000–100 000 ₽; ДЛ — 400 000–800 000 ₽; ЮЛ — 1 000 000–3 000 000 ₽
КоАП РФ, ст. 13.11, ч. 11
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа — штраф…
1Сайт российской компании передаёт ПДн в зарубежный CRM без уведомления РКН.
2Веб-сервис размещает Google Tag Manager, передающий данные пользователей в США без уведомления РКН.
Особенности обработки ПДн в государственных и муниципальных информационных системах персональных данных.
ДЛ — 6 000–12 000 ₽
КоАП РФ, ст. 13.11, ч. 7
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию ПДн — штраф…
1Сайт госоргана публикует обращения граждан без обезличивания ФИО и адресов.
2Открытые данные муниципалитета не обезличены, содержат идентифицируемые ПДн.
Субъект ПДн имеет право на получение сведений: подтверждение факта обработки ПДн, цели и способы обработки, наименование оператора, источники получения, сроки обработки и хранения, перечень обрабатываемых ПДн.
Гражданам — 2 000–4 000 ₽; ДЛ — 8 000–12 000 ₽; ИП — 20 000–30 000 ₽; ЮЛ — 40 000–80 000 ₽
КоАП РФ, ст. 13.11, ч. 4
Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн, — штраф…
1Сервис игнорирует запрос пользователя «какие мои данные вы храните».
2На сайте отсутствует контакт ответственного за обработку ПДн, форма запроса данных не работает.
№ 7
ст. 14.3, ч. 7 КоАП по ст. 18 ФЗ-38 «Реклама по сетям электросвязи»
Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы.
Гражданам — 10 000–20 000 ₽; ДЛ — 20 000–100 000 ₽; ЮЛ — 300 000–1 000 000 ₽
КоАП РФ, ст. 14.3, ч. 7
Нарушение установленных законодательством о рекламе требований к рекламе, распространяемой по сетям электросвязи, — штраф… на ЮЛ от 300 тыс. до 1 млн ₽.
1Сайт-сервис рассылок отправляет SMS-рекламу базе номеров без согласия абонентов.
2Email-маркетинговая платформа рассылает рекламу пользователям, у которых нет подтверждённого согласия на рассылку.
Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. Оператор обязан немедленно прекратить обработку по требованию субъекта.
Гражданам — 10 000–15 000 ₽; ДЛ — 100 000–300 000 ₽; ЮЛ — 300 000–700 000 ₽
КоАП РФ, ст. 13.11, ч. 2; ст. 14.3, ч. 7 (реклама по сетям связи)
Обработка ПДн без согласия в письменной форме — штраф…
1Сайт рассылает рекламные SMS пользователям, отправившим контактную форму без отдельного согласия на маркетинг.
2Магазин звонит клиентам с предложениями после отзыва согласия на маркетинговые контакты.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
ЮЛ — 300 000–700 000 ₽
КоАП РФ, ст. 13.11, ч. 2
Обработка ПДн без согласия субъекта — штраф…
1Скоринговый сервис на сайте автоматически отказывает в кредите без участия человека и без согласия субъекта на такое решение.
2Сайт работодателя автоматически отсеивает кандидатов по нейросети без уведомления.
При получении персональных данных, в т.ч. посредством сети «Интернет», оператор обязан предоставить субъекту ПДн информацию: наименование и адрес оператора; цель обработки и её правовое основание; перечень обрабатываемых ПДн; источник получения; сроки обработки; перечень получателей.
Гражданам — 2 000–4 000 ₽; ДЛ — 8 000–12 000 ₽; ЮЛ — 40 000–80 000 ₽
КоАП РФ, ст. 13.11, ч. 4
Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн, — штраф…
1Форма обратной связи на сайте не содержит ссылки на политику обработки ПДн.
2В Cookie-баннере не раскрыты получатели данных (партнёрские рекламные сети).
Оператор при сборе персональных данных, в том числе посредством сети «Интернет», обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории РФ.
Гражданам — 30 000–50 000 ₽; ДЛ — 100 000–200 000 ₽; ЮЛ — 1 000 000–6 000 000 ₽ (за повтор — до 18 млн ₽)
КоАП РФ, ст. 13.11, ч. 8, 9
Невыполнение оператором… обязанности по обеспечению записи… ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, — штраф на ЮЛ от 1 до 6 млн ₽.
1Интернет-магазин хранит первичную базу клиентов на серверах в Нидерландах.
2CRM компании размещена в зарубежном облаке без локальной копии в РФ.
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей: назначить ответственного, издать локальные акты, осуществлять внутренний контроль, ознакомить работников с НПА, оценивать вред субъектам.
Гражданам — 1 500–3 000 ₽; ДЛ — 6 000–12 000 ₽; ЮЛ — 30 000–60 000 ₽
КоАП РФ, ст. 13.11, ч. 3
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу — штраф…
1У оператора нет приказа о назначении ответственного за обработку ПДн.
2В компании отсутствует Положение об обработке ПДн и Регламент действий при инцидентах.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите ПДн. Оператор, осуществляющий сбор ПДн с использованием сети «Интернет», обязан опубликовать в указанной сети документ.
Гражданам — 1 500–3 000 ₽; ДЛ — 6 000–12 000 ₽; ИП — 10 000–20 000 ₽; ЮЛ — 30 000–60 000 ₽
КоАП РФ, ст. 13.11, ч. 3
Невыполнение оператором предусмотренной законодательством РФ в области ПДн обязанности по опубликованию документа, определяющего политику оператора в отношении обработки ПДн, — штраф…
1На сайте нет ссылки на «Политику обработки ПДн».
2Документ «Политика» открывается, но ссылка ведёт на 404 / на пустую страницу.
В случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлёкшей нарушение прав субъектов ПДн, оператор обязан уведомить РКН в течение 24 часов и через 72 часа предоставить результаты расследования.
ЮЛ — 1 000 000–3 000 000 ₽
КоАП РФ, ст. 13.11, ч. 11
Невыполнение оператором обязанности по уведомлению уполномоченного органа об инциденте — штраф…
1Сайт обнаружил факт компрометации БД 8 марта; уведомил РКН только 20 марта.
2Магазин не направил в РКН результаты расследования утечки в течение 72 часов.
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом, в т.ч. внедрять организационные и технические меры защиты ПДн.
Гражданам — 700–1 500 ₽; ДЛ — 4 000–10 000 ₽; ЮЛ — 25 000–50 000 ₽
КоАП РФ, ст. 13.12, ч. 1
Нарушение порядка установки или эксплуатации средств защиты информации, прошедших сертификацию, — штраф…
1Сайт хранит пароли пользователей в открытом виде в БД.
2БД ПДн доступна по http без шифрования.
Обеспечение безопасности ПДн достигается, в частности, путём: определения угроз; применения организационных и технических мер; применения средств защиты информации, прошедших процедуру оценки соответствия; оценки эффективности; учёта машинных носителей.
ДЛ — 4 000–10 000 ₽; ЮЛ — 25 000–50 000 ₽
КоАП РФ, ст. 13.12, ч. 1
Нарушение порядка установки или эксплуатации средств защиты информации — штраф…
1Сайт использует устаревший SSL-сертификат и не применяет шифрование по ГОСТ для критичных данных.
2Оператор не провёл оценку эффективности принимаемых мер защиты ПДн раз в три года.
В случае выявления неправомерной обработки ПДн оператор обязан в срок, не превышающий трёх рабочих дней с даты этого выявления, прекратить неправомерную обработку. Сроки удаления — 10 рабочих дней (по требованию субъекта или РКН).
Гражданам — 2 000–4 000 ₽; ДЛ — 8 000–20 000 ₽; ИП — 20 000–40 000 ₽; ЮЛ — 50 000–90 000 ₽; повтор — до 500 тыс. на ЮЛ
КоАП РФ, ст. 13.11, ч. 5, 5.1
Невыполнение оператором в сроки требования субъекта… об уточнении ПДн, их блокировании или уничтожении — штраф…
1Сайт игнорирует требование удалить аккаунт и связанные ПДн в течение 30 дней.
2Магазин не блокирует ПДн пользователя после отзыва согласия.
В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трёх рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку.
Гражданам — 2 000–4 000 ₽; ДЛ — 8 000–20 000 ₽; ЮЛ — 50 000–90 000 ₽
КоАП РФ, ст. 13.11, ч. 5
Невыполнение оператором… требования об уточнении/блокировании/уничтожении ПДн — штраф…
1Сайт продолжает обрабатывать данные через 5 рабочих дней после выявления нарушения.
2Веб-сервис не блокирует ПДн после выявления факта неправомерной обработки.
Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своём намерении осуществлять обработку, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Гражданам — 5 000–10 000 ₽; ДЛ — 30 000–50 000 ₽; ЮЛ — 100 000–300 000 ₽
КоАП РФ, ст. 13.11, ч. 10
Невыполнение оператором обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку ПДн — штраф…
1ИП ведёт интернет-магазин, обрабатывает ПДн клиентов, но не подал уведомление в РКН.
2Компания запустила сайт с формой заявки, но не зарегистрирована как оператор ПДн.
Уведомление об осуществлении обработки ПДн должно содержать: наименование оператора и его адрес; цель обработки; категории субъектов; категории ПДн; правовое основание обработки; перечень действий; сведения об обеспечении безопасности; дату начала обработки; срок или условие прекращения и др.
Гражданам — 5 000–10 000 ₽; ДЛ — 30 000–50 000 ₽; ЮЛ — 100 000–300 000 ₽
КоАП РФ, ст. 13.11, ч. 10
Невыполнение оператором обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку ПДн — штраф…
1Уведомление подано без сведений о трансграничной передаче ПДн.
2Сайт указал в уведомлении не все цели и категории обрабатываемых ПДн.
Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Ответственное лицо получает указания непосредственно от исполнительного органа оператора и подотчётно ему.
ДЛ — 50 000–100 000 ₽ (по совокупности с ч. 1 ст. 13.11)
КоАП РФ, ст. 13.11, ч. 1
Обработка ПДн в случаях, не предусмотренных законодательством, — штраф…
1В компании отсутствует назначенное лицо, ответственное за обработку ПДн.
2Контактные данные DPO на сайте не опубликованы.
Оператор обязан в течение 24 часов с момента выявления инцидента уведомить РКН о факте неправомерной передачи (предоставления, распространения, доступа) ПДн.
Гражданам — 50 000–100 000 ₽; ДЛ — 400 000–800 000 ₽; ЮЛ — 1 000 000–3 000 000 ₽
КоАП РФ, ст. 13.11, ч. 11
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа об инциденте — штраф на ЮЛ от 1 до 3 млн ₽.
1В результате взлома утекла база клиентов сайта, оператор не уведомил РКН.
2Сотрудник слил ПДн клиентов в чат, оператор узнал об утечке через 5 дней и не сообщил в РКН.
Обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки.
Гражданам — 10 000–15 000 ₽; ДЛ — 50 000–100 000 ₽; ЮЛ — 150 000–300 000 ₽
КоАП РФ, ст. 13.11, ч. 1
Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора, — штраф на ЮЛ от 150 тыс. до 300 тыс. ₽.
1Сайт собирает email для рассылки, фактически использует данные для скоринга и продажи третьим лицам.
2Форма регистрации требует загрузить скан паспорта, хотя цель обработки — подписка на рассылку.
Обработка ПДн осуществляется с согласия субъекта ПДн, за исключением случаев, прямо предусмотренных законом (исполнение договора, защита жизни/здоровья и др.).
Гражданам — 10 000–15 000 ₽; ДЛ — 100 000–300 000 ₽; ЮЛ — 300 000–700 000 ₽
КоАП РФ, ст. 13.11, ч. 2
Обработка ПДн без согласия в письменной форме субъекта ПДн в случаях, когда такое согласие должно быть получено, — штраф на ЮЛ от 300 тыс. до 700 тыс. ₽.
1Сайт отправляет рекламные SMS пользователю без оформленного согласия.
2Платформа собирает биометрию для распознавания лиц без получения отдельного согласия в установленной форме.
Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами РФ с учётом положений настоящего Федерального закона.
ДЛ — 8 000–20 000 ₽; ИП — 20 000–40 000 ₽; ЮЛ — 50 000–100 000 ₽
КоАП РФ, ст. 13.11, ч. 6
Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий хранения — штраф…
1Анкеты клиентов сайта хранятся в общем доступе сотрудников бумажной картотеки.
2Бумажные согласия на обработку ПДн утеряны при переезде офиса.
№ 26
ст. 6, ч. 6 (поручение)
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре должны быть определены перечень действий, цели, обязанность лица, осуществляющего обработку по поручению, соблюдать конфиденциальность и обеспечивать безопасность.
Гражданам — 10 000–15 000 ₽; ДЛ — 100 000–300 000 ₽; ЮЛ — 300 000–700 000 ₽
КоАП РФ, ст. 13.11, ч. 2
Обработка ПДн в случаях, не предусмотренных законом, — штраф…
1Сайт передаёт данные клиентов в маркетинговое агентство без договора поручения.
2В цепочке партнёров отсутствует договор с подрядчиком, обрабатывающим ПДн (например, CRM-провайдером).
Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.
Гражданам — 100 000–200 000 ₽; ДЛ — 200 000–400 000 ₽; ЮЛ — 3 000 000–5 000 000 ₽ (1 000–10 000 субъектов)
КоАП РФ, ст. 13.11, ч. 12
Действия (бездействие) оператора, повлекшие неправомерную передачу ПДн от 1 000 до 10 000 субъектов ПДн и (или) от 10 000 до 100 000 идентификаторов, — штраф на ЮЛ от 3 до 5 млн ₽.
1В базе сайта произошла утечка 5 000 строк (ФИО, телефон, email), оператор передал их злоумышленникам по неосторожности.
2Из-за уязвимости панели администратора стали публично доступны заказы 8 000 клиентов.
Операторы и иные лица обязаны не раскрывать и не распространять ПДн без согласия субъекта ПДн (среднеобъёмные утечки).
Гражданам — 200 000–300 000 ₽; ДЛ — 300 000–500 000 ₽; ЮЛ — 5 000 000–10 000 000 ₽ (10 000–100 000 субъектов)
КоАП РФ, ст. 13.11, ч. 13
Утечка от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов — штраф на ЮЛ от 5 до 10 млн ₽.
1Из-за SQL-инъекции стали публично доступны ПДн 50 000 клиентов интернет-магазина.
2Утекшая база сотрудников ритейлера попала в дамп на 60 000 строк.
Операторы и иные лица обязаны не раскрывать и не распространять ПДн без согласия субъекта ПДн (крупные утечки).
Гражданам — 300 000–400 000 ₽; ДЛ — 400 000–600 000 ₽; ЮЛ — 10 000 000–15 000 000 ₽ (>100 000 субъектов)
КоАП РФ, ст. 13.11, ч. 14
Утечка более 100 000 субъектов и (или) более 1 000 000 идентификаторов — штраф на ЮЛ от 10 до 15 млн ₽.
1База клиентов крупного маркетплейса утекла в Telegram-каналы (1 млн записей).
2В даркнете опубликована БД более 200 000 пользователей сервиса доставки.
№ 30
ст. 7 + ст. 19 (повторно)
Повторная утечка ПДн (рецидив) — оператор уже привлекался по ч. 12–14, 16–18 ст. 13.11 КоАП РФ.
Гражданам — 400 000–600 000 ₽; ДЛ — 800 000–1 200 000 ₽; ЮЛ — оборотный штраф 1–3% совокупной выручки (от 20 млн до 500 млн ₽)
КоАП РФ, ст. 13.11, ч. 15
Совершение административного правонарушения, предусмотренного частями 12–14 настоящей статьи, лицом, подвергнутым административному наказанию, — штраф на ЮЛ 1–3% совокупной выручки, но не менее 20 млн и не более 500 млн ₽.
1Компания уже была оштрафована по ч. 13 ст. 13.11 КоАП; через год — новая утечка 30 000 строк.
2Сервис допускает повторную утечку ПДн в течение года после первого предписания РКН.
Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие может быть отозвано субъектом в любое время. Бремя доказывания получения согласия лежит на операторе.
Гражданам — 10 000–15 000 ₽; ДЛ — 100 000–300 000 ₽; ЮЛ — 300 000–700 000 ₽
КоАП РФ, ст. 13.11, ч. 2
Обработка ПДн без согласия в письменной форме, либо с нарушением состава сведений, включаемых в согласие, — штраф…
1На сайте отсутствует чекбокс согласия на обработку ПДн при отправке формы.
2Предзаполненная галочка согласия (opt-out вместо opt-in) при регистрации.
В согласии в письменной форме субъекта ПДн на обработку его персональных данных должны быть указаны: ФИО и адрес субъекта; ФИО и адрес оператора; цель обработки; перечень ПДн; перечень действий с ПДн; срок и способ отзыва.
Гражданам — 10 000–15 000 ₽; ДЛ — 100 000–300 000 ₽; ЮЛ — 300 000–700 000 ₽
КоАП РФ, ст. 13.11, ч. 2
Обработка ПДн с нарушением требований к составу сведений, включаемых в согласие, — штраф…
1Согласие на сайте не содержит перечня обрабатываемых данных и срока действия.
2Согласие сформулировано общими словами «согласен на обработку моих данных» без указания целей и сроков.
