Введение: почему штрафы выросли в 100 раз

С 2022 года штрафы за нарушение ФЗ-152 увеличились в 10–100 раз. Если раньше компания могла «отделаться» предписанием на 75 000 рублей, теперь за одно нарушение можно получить до 1 миллиона — а за повторное — до 18 миллионов рублей.

Это не абстрактная угроза. За 2023–2024 годы Роскомнадзор назначил более 4 000 штрафов. Под удар попали и крупные банки, и небольшие интернет-магазины, и медицинские клиники.

В этой статье — полная таблица штрафов, за что именно штрафуют и как выстроить защиту от санкций.

За что штрафуют по ФЗ-152

Роскомнадзор проверяет соответствие требованиям закона по нескольким ключевым составам:

Обработка персональных данных без согласия — самое частое нарушение. Формы обратной связи, CRM, аналитика — всё это обработка ПД. Без надлежащего согласия субъекта это нарушение ч. 2 ст. 13.11 КоАП.

Отсутствие или некорректная политика обработки ПД — сайт должен публиковать актуальную политику конфиденциальности, доступную без регистрации.

Нарушение требований к локализации — данные граждан России должны первично обрабатываться на серверах в России.

Несвоевременное уведомление об утечке — с 2023 года оператор обязан уведомить РКН в течение 24 часов.

Таблица штрафов по КоАП

| Состав нарушения | Физлицо | Должностное лицо | Юрлицо | |---|---|---|---| | Обработка без согласия (ч. 2 ст. 13.11) | 10 000 – 20 000 ₽ | 20 000 – 40 000 ₽ | 60 000 – 100 000 ₽ | | Отсутствие политики обработки ПД (ч. 3) | 3 000 – 6 000 ₽ | 10 000 – 20 000 ₽ | 30 000 – 60 000 ₽ | | Нарушение требований к локализации (ч. 8) | 100 000 – 200 000 ₽ | 200 000 – 500 000 ₽ | 1 000 000 – 6 000 000 ₽ | | Несвоевременное уведомление об утечке (ч. 10) | 20 000 – 40 000 ₽ | 40 000 – 80 000 ₽ | 100 000 – 300 000 ₽ | | Повторное нарушение локализации (ч. 8.1) | 300 000 – 500 000 ₽ | 500 000 – 800 000 ₽ | 6 000 000 – 18 000 000 ₽ |

Как проходит проверка Роскомнадзора

Проверки бывают двух видов: плановые (по утверждённому графику, включённому в реестр операторов) и внеплановые (по жалобам субъектов или в связи с инцидентом).

При плановой проверке компанию уведомляют за 3 рабочих дня. Проверяющий запрашивает:

  • Политику обработки персональных данных
  • Формы согласий с образцами заполнения
  • Приказ о назначении ответственного за обработку ПД
  • Перечень обрабатываемых данных и цели обработки
  • Регламент реагирования на инциденты

Важно: с 2024 года РКН получил право проводить внеплановые проверки без предварительного уведомления при наличии сведений о возможной утечке данных.

Что делать при получении предписания

Если по итогам проверки выдано предписание, у вас есть 30 дней на устранение нарушений. По истечении срока инспектор проводит контрольную проверку.

Типичные нарушения, которые можно устранить быстро:

  1. Актуализировать политику конфиденциальности на сайте
  2. Добавить форму согласия на обработку ПД во все формы сбора данных
  3. Уведомить РКН о начале обработки (если не уведомляли)
  4. Назначить ответственного за обработку ПД приказом

Чек-лист самопроверки

Пройдите этот список, чтобы оценить текущие риски:

  • ☐ На сайте опубликована актуальная политика конфиденциальности
  • ☐ Во всех формах сбора данных есть чекбокс с согласием
  • ☐ Компания уведомила РКН о начале обработки персональных данных
  • ☐ Данные российских пользователей хранятся на серверах в России
  • ☐ Назначен ответственный за обработку ПД с соответствующим приказом
  • ☐ Заключены соглашения с третьими лицами, которым передаются данные
  • ☐ Есть внутренний регламент обработки и защиты ПД
  • ☐ Сотрудники, работающие с ПД, прошли инструктаж

Итог

Штрафы по ФЗ-152 давно перестали быть символическими. Для компании среднего размера одна проверка с несколькими нарушениями может обойтись в 500 000 – 2 000 000 рублей. При этом большинство нарушений устраняются за 1–2 недели — нужна только системная работа.

Если вы не уверены в текущем состоянии документов и процессов, первый шаг — провести внутренний аудит по чек-листу выше.