18.06.2026
11 минут
2.6К

Ответственность за нарушение законодательства о персональных данных в 2026 году

Филиппович Максим, руководитель практики по защите персональных данных
Филиппович Максим
Автор статьи
Руководитель практики по защите персональных данных
Нарушение законодательства о персональных данных может повлечь административную, уголовную, гражданско-правовую, дисциплинарную и материальную ответственность. При этом единого «штрафа за персональные данные» не существует.

Размер санкции зависит от конкретного нарушения: обработка данных без надлежащего правового основания, несоблюдение требований к согласию, отсутствие политики на сайте, неуведомление Роскомнадзора, нарушение локализации или неправомерная передача персональных данных.

Если произошла так называемая утечка, дополнительно учитываются количество затронутых субъектов и идентификаторов, категория информации и наличие повторности.
ОЦЕНИТЬ РИСКИ
Проверим сайт, документы, уведомление РКН и реальные процессы обработки ПДн. Узнайте о нарушениях и задайте вопросы бесплатно.
Проверьте риски по 152-ФЗ
Штрафы за нарушение законодательства о персональных данных в 2026 году

Главное за одну минуту

  • За обработку персональных данных без надлежащего правового основания организацию могут оштрафовать на сумму от 150 000 до 300 000 рублей.

  • За нарушение требований к обязательному письменному согласию штраф для организации составляет от 300 000 до 700 000 рублей, при повторном нарушении — от 1 до 1,5 млн рублей.

  • За неподачу или несвоевременную подачу уведомления о намерении обрабатывать персональные данные коммерческой организации или ИП грозит штраф от 100 000 до 300 000 рублей.

  • За неуведомление Роскомнадзора об инциденте предусмотрен отдельный штраф от 1 до 3 млн рублей.

  • За неправомерную передачу данных коммерческой организации или ИП может грозить штраф от 3 до 20 млн рублей в зависимости от масштаба инцидента и категории информации.

  • При повторном нарушении возможно назначение оборотного штрафа от 1 до 3% выручки, но не более 500 млн рублей.

  • Штраф до 500 млн рублей не применяется за любое нарушение 152-ФЗ.

  • Уголовная ответственность наступает не после каждой утечки или ошибки в документах, а только при наличии всех признаков конкретного преступления.

Что считается разглашением персональных данных

В деловой речи «разглашением» часто называют практически любую незаконную передачу информации. Однако Федеральный закон № 152-ФЗ использует более точные понятия: предоставление, распространение и доступ к персональным данным.

Предоставление персональных данных

Предоставление — это раскрытие персональных данных определенному лицу или определенному кругу лиц. Например, компания без надлежащего правового основания передала клиентскую базу конкретному рекламному агентству.

Распространение персональных данных

Распространение — раскрытие персональных данных неопределенному кругу лиц.
Примером может быть размещение в открытом разделе сайта файла, содержащего Ф. И. О., номера телефонов и адреса электронной почты клиентов.

Доступ к персональным данным

Доступ означает возможность ознакомиться с персональными данными или совершить с ними определенные действия. Доступ может быть правомерным, когда он предоставлен уполномоченному сотруднику для выполнения его трудовых обязанностей, или неправомерным. Например, бывший работник сохранил учетную запись в CRM и продолжил просматривать клиентскую базу после увольнения.

Что такое утечка персональных данных

«Утечка» — распространенный практический и поисковый термин, но самостоятельного определения утечки в статье 3 Закона № 152-ФЗ нет.

В контексте обязанности уведомить Роскомнадзор законодательство говорит о неправомерной или случайной передаче — предоставлении, распространении или доступе — персональных данных, повлекшей нарушение прав субъектов.

Такой инцидент может произойти:
  • в результате атаки на информационную систему;
  • из-за ошибочной настройки прав доступа;
  • при направлении файла не тому адресату;
  • после размещения документа в открытом разделе сайта;
  • вследствие неправомерных действий работника;
  • через информационную систему подрядчика.

Что понимать под разглашением

Разглашением можно назвать неправомерное раскрытие конфиденциальной информации лицом, которое получило к ней доступ.

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта, если иное не предусмотрено федеральным законом.
Важно: нарушение законодательства возможно и без разглашения. Например, ответственность может наступить за избыточный сбор данных, отсутствие политики, неисполнение требования субъекта или неуведомление Роскомнадзора.

Какие виды ответственности предусмотрены

Одно происшествие может повлечь несколько самостоятельных последствий. Например, организация получает административный штраф, к работнику применяется дисциплинарное взыскание, а субъект обращается в суд за компенсацией морального вреда.

Для каждого вида ответственности необходимо отдельно установить предусмотренные законом основания.

Административная ответственность по статье 13.11 КоАП РФ

Основные административные составы в области персональных данных закреплены в статье 13.11 КоАП РФ. Она предусматривает как общие нарушения обработки, так и специальные санкции за неуведомление Роскомнадзора и неправомерную передачу информации.
1. Незаконная или несовместимая с целями обработка
Ответственность может наступить, если оператор:
  • обрабатывает персональные данные в случаях, не предусмотренных законодательством;
  • не может подтвердить надлежащее правовое основание;
  • использует данные в целях, несовместимых с целями их сбора.

За первое нарушение предусмотрены штрафы:
При повторном нарушении:
Пример: клиент передал номер телефона для согласования доставки. Компания без отдельного правового основания начала использовать его для рекламных звонков.

Наличие согласия не означает, что оператор вправе совершать с данными любые действия. Необходимо также соблюдать цели обработки, принцип достаточности данных, сроки хранения и другие требования закона.
2. Нарушение требований к письменному согласию
Часть 2 статьи 13.11 КоАП РФ применяется не при отсутствии любого чекбокса на сайте, а в случаях, когда законодательство требует получить согласие именно в письменной форме.

Ответственность может наступить и тогда, когда письменное согласие получено, но в нем отсутствуют обязательные сведения.

За первое нарушение:
За повторное нарушение:
С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и документов, которые подтверждает или подписывает субъект.

Это не означает, что согласие обязательно должно быть бумажным. Когда письменная форма законом не требуется, согласие может быть получено, например, с помощью отдельного чекбокса, если оператор способен доказать факт его получения.
Ошибка: включать согласие внутрь договора, оферты или пользовательского соглашения и предлагать пользователю подтвердить все условия одной галочкой.
3. Отсутствие политики обработки персональных данных
Оператор обязан опубликовать или иным способом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

Если данные собираются через интернет, политика должна быть опубликована в соответствующей сети, в том числе на страницах принадлежащего оператору сайта, через которые осуществляется сбор данных. Пользователь должен иметь возможность открыть документ.

Штрафы:
Одного наличия файла на сайте недостаточно. Политика должна соответствовать фактическим процессам обработки.

Если на сайте используются формы обратной связи, личный кабинет, CRM и аналитические инструменты, а политика описывает только обработку данных работников, документ не отражает реальную деятельность оператора.
4. Непредоставление информации субъекту
Субъект вправе получить предусмотренную законом информацию об обработке своих персональных данных.

За неисполнение этой обязанности предусмотрены штрафы:
Оператору необходимо заранее определить:
  • канал приема обращений;
  • порядок идентификации заявителя;
  • ответственного за подготовку ответа;
  • порядок контроля сроков;
  • правила документирования исполнения обращения.
5. Нарушение требований об уточнении, блокировании или уничтожении данных
Ответственность может наступить, если оператор не выполнил в установленный срок требование субъекта, его представителя или Роскомнадзора об уточнении, блокировании или уничтожении данных.

За первое нарушение:
За повторное нарушение штраф для организации составляет от 300 000 до 500 000 рублей, для ИП — от 50 000 до 100 000 рублей.

Требование удалить данные не всегда означает, что оператор обязан немедленно уничтожить всю информацию о заявителе.

Необходимо проверить:
  • есть ли обязанность хранить сведения в силу закона;
  • сохраняется ли другое правовое основание обработки;
  • к каким данным и процессам относится обращение;
  • достигнуты ли цели обработки;
  • можно ли прекратить только отдельные операции.
6. Нарушение требований при неавтоматизированной обработке
Если оператор работает с бумажными анкетами, заявлениями, личными делами или другими материальными носителями, он должен обеспечить их сохранность и исключить несанкционированный доступ.

Если нарушение условий хранения повлекло неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, предоставление или распространение данных, предусмотрены штрафы:
Пример: заполненные анкеты клиентов хранятся в незапираемом шкафу в помещении, доступном посетителям и сотрудникам, которым эти сведения не нужны для работы.
7. Нарушение требований локализации
При сборе персональных данных граждан России, в том числе через интернет, не допускается осуществлять запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся за пределами России, кроме прямо предусмотренных законом случаев.

За первое нарушение:
За повторное нарушение:
Важно: локализация и трансграничная передача — самостоятельные требования. Наличие российской базы не означает, что данные можно без дополнительной проверки передавать иностранному получателю или размещать в зарубежном сервисе.

Штраф за неуведомление Роскомнадзора

8. Уведомление о намерении обрабатывать персональные данные
По общему правилу оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки. Закон предусматривает ограниченный перечень исключений.

Без уведомления допускается, в частности, обработка:
  • данных, включенных в предусмотренные законом государственные информационные системы, созданные для защиты безопасности государства и общественного порядка;
  • исключительно без использования средств автоматизации;
  • в отдельных случаях, предусмотренных законодательством о транспортной безопасности.

За неподачу или несвоевременную подачу уведомления:
Наличие записи в реестре Роскомнадзора не подтверждает законность всех процессов компании. Сведения в реестр вносятся на основании информации, представленной самим оператором.

Поэтому необходимо проверять не только наличие записи, но и соответствие уведомления фактической обработке: целям, категориям субъектов, составу данных, используемым сервисам, местонахождению баз и наличию трансграничной передачи.
9. Уведомление об инциденте
Если установлен факт неправомерной или случайной передачи — предоставления, распространения или доступа — персональных данных, повлекшей нарушение прав субъектов, оператор обязан уведомить Роскомнадзор.

Сроки:
  • в течение 24 часов — направить первичную информацию об инциденте, его предполагаемых причинах и возможном вреде, принятых мерах и ответственном за взаимодействие с Роскомнадзором лице;
  • в течение 72 часов — сообщить о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента, если они установлены.

Срок исчисляется с момента выявления инцидента оператором, Роскомнадзором или иным заинтересованным лицом. Поэтому сообщение от клиента, подрядчика, исследователя или другого лица необходимо незамедлительно зарегистрировать и проверить.

За неподачу или несвоевременную подачу уведомления:
Ответственность за неуведомление является самостоятельной и не заменяет ответственность за действия или бездействие, которые привели к неправомерной передаче данных.

Штрафы за утечку персональных данных

В частях 12–18 статьи 13.11 КоАП РФ используется не термин «утечка», а формулировка: действия или бездействие оператора, повлекшие неправомерную передачу (предоставление, распространение или доступ) информации, включающей персональные данные.

При определении состава учитываются количество субъектов и количество идентификаторов.

Субъект персональных данных — человек, к которому относятся сведения.

Идентификатор для целей статьи 13.11 КоАП РФ — уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

У одного человека может быть несколько идентификаторов в информационной системе.
Штрафы в зависимости от масштаба инцидента
Для граждан предусмотрены штрафы от 100 000 до 400 000 рублей, для должностных лиц государственного, муниципального органа или НКО — от 200 000 до 600 000 рублей в зависимости от масштаба инцидента.

Составы частей 12–14 применяются, если действия или бездействие не содержат признаков уголовно наказуемого деяния.
Неправомерная передача специальных категорий данных
К специальным категориям относятся сведения о:
  • расовой и национальной принадлежности;
  • политических взглядах;
  • религиозных или философских убеждениях;
  • состоянии здоровья;
  • интимной жизни.

За неправомерную передачу информации, включающей специальные категории персональных данных, коммерческой организации или ИП грозит штраф от 10 до 15 млн рублей.

Для применения этого состава не установлен минимальный порог в 1 000 субъектов. Определяющее значение имеет категория раскрытой информации.
Неправомерная передача биометрических персональных данных
Биометрическими являются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности.

Не любая фотография или запись голоса автоматически является биометрическими персональными данными. Необходимо учитывать цель и способ их использования.

За неправомерную передачу биометрических персональных данных коммерческой организации или ИП грозит штраф от 15 до 20 млн рублей.
Оборотные штрафы
Оборотный штраф не назначается автоматически после любого второго инцидента.
Для его применения необходимо, чтобы новое нарушение и предшествующее административное наказание соответствовали условиям части 15 или части 18 статьи 13.11 КоАП РФ.

При новом нарушении, предусмотренном частями 12–14, штраф для организации составляет:
  • от 1 до 3% совокупной выручки;
  • не менее 20 млн рублей;
  • не более 500 млн рублей.

При новом нарушении, связанном со специальными категориями или биометрическими данными:
  • от 1 до 3% совокупной выручки;
  • не менее 25 млн рублей;
  • не более 500 млн рублей.
Ошибка: утверждать, что штраф до 500 млн рублей предусмотрен за любую неправомерную обработку персональных данных.

Кто отвечает: организация, ИП, директор или сотрудник

Организация
Оператором обычно является сама организация, поскольку именно она определяет цели обработки, состав персональных данных и действия, совершаемые с ними.
Передача технических задач подрядчику не освобождает оператора от его собственных обязанностей.

В поручении на обработку необходимо определить, в частности:
  • перечень персональных данных;
  • совершаемые действия;
  • цели обработки;
  • требования к конфиденциальности и безопасности;
  • обязанность подтверждать принятые меры;
  • порядок информирования оператора об инцидентах.

В постановлении от 21 января 2026 года № 5-АД25-119-К2 Верховный Суд РФ не принял довод оператора о том, что доступ к данным произошел через инфраструктуру подрядчика. Суд оценил, принял ли сам оператор необходимые меры защиты и контроля.
Дело рассматривалось по прежней редакции законодательства, поэтому назначенный в нем штраф нельзя использовать как ориентир для инцидентов после 30 мая 2025 года.
Индивидуальный предприниматель
Размер ответственности ИП зависит от конкретной части статьи 13.11 КоАП РФ.

Например:

  • по части 1 ИП отвечает как должностное лицо;
  • при повторном нарушении по части 1.1 — как юридическое лицо;
  • по части 2.1 установлен отдельный штраф для ИП;
  • по частям 8–18 ИП отвечает как юридическое лицо.

Поэтому нельзя указывать один универсальный штраф для предпринимателей.
Директор коммерческой организации
По общему правилу привлечение юридического лица к административной ответственности не исключает ответственности виновного должностного лица.

Но для частей 10–18 статьи 13.11 КоАП РФ действует специальное примечание: под должностным лицом в этих частях понимается должностное лицо государственного или муниципального органа либо некоммерческой организации.

Следовательно, штраф коммерческой организации по части 10–18 нельзя автоматически дополнить штрафом ее генеральному директору по той же части.

Возможность ответственности руководителя оценивается отдельно — с учетом его полномочий, действий, вины и применимой правовой нормы.
Работник
Работник может быть привлечен к ответственности, если установлены:

  • его должностные обязанности;
  • предоставленные полномочия и права доступа;
  • факт ознакомления с локальными документами;
  • совершенное действие или бездействие;
  • вина;
  • причинная связь между поведением работника и последствиями.

Назначение сотрудника ответственным за организацию обработки персональных данных не освобождает организацию-оператора от ее собственных обязанностей.

Уголовная ответственность за персональные данные

Уголовная ответственность не наступает автоматически после любой утечки, жалобы субъекта или ошибки в документах.

Необходимо установить все признаки конкретного состава преступления и вину физического лица. Юридические лица в России к уголовной ответственности не привлекаются.
Статья 137 УК РФ
Статья 137 УК РФ устанавливает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну.

Не любые персональные данные одновременно являются сведениями о частной жизни или личной и семейной тайной.

Поэтому наличие в раскрытом документе Ф. И. О. или рабочего номера телефона само по себе еще не означает применение статьи 137 УК РФ.

В зависимости от состава наказание может включать штраф, обязательные или принудительные работы, арест, лишение права занимать определенные должности и лишение свободы на срок до пяти лет.
Статья 272 УК РФ
Статья 272 УК РФ применяется при неправомерном доступе к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию или копирование.

При наличии квалифицирующих признаков наказание может достигать семи лет лишения свободы.
Статья 272.1 УК РФ
Статья 272.1 УК РФ действует с декабря 2024 года и устанавливает специальную ответственность за незаконный оборот компьютерной информации, содержащей персональные данные.

Основной состав охватывает незаконные:
  • использование;
  • передачу;
  • сбор;
  • хранение
компьютерной информации с персональными данными, полученной путем неправомерного доступа к средствам ее обработки или хранения, вмешательства в их работу либо иным незаконным путем.

По основному составу возможно лишение свободы на срок до четырех лет.

Если действия совершены в отношении данных несовершеннолетних, специальных категорий или биометрических данных — до пяти лет.

При наличии корыстной заинтересованности, крупного ущерба, предварительного сговора или использования служебного положения срок может достигать шести лет.

Если преступление сопряжено с трансграничной передачей информации или перемещением носителей — восьми лет.

При тяжких последствиях или совершении преступления организованной группой — десяти лет.

Отдельная ответственность установлена за создание или обеспечение работы информационного ресурса, заведомо предназначенного для незаконного хранения или распространения персональных данных.
Важно:статья 272.1 УК РФ не превращает отсутствие политики, ошибку в уведомлении или неправильный чекбокс в уголовное преступление.
Статья 183 УК РФ
Статья 183 УК РФ может применяться, если информация одновременно составляет коммерческую, налоговую или банковскую тайну.

Эту статью нельзя рассматривать как универсальную норму об ответственности за персональные данные. Сначала необходимо установить наличие соответствующего режима охраняемой законом тайны.

Гражданско-правовая ответственность

Субъект вправе обжаловать действия или бездействие оператора в Роскомнадзор или суд.

В судебном порядке он может потребовать:
  • возмещения причиненных убытков;
  • компенсации морального вреда;
  • прекращения незаконной обработки;
  • блокирования или уничтожения данных при наличии предусмотренных законом оснований.

Компенсация морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков. Размер компенсации определяет суд с учетом обстоятельств конкретного дела.
Пример: в деле № 2-234/2025 Ленинский районный суд Ярославля рассмотрел спор, связанный с оформлением займов с использованием чужих персональных данных. Суд взыскал с микрокредитной компании 7 000 рублей компенсации морального вреда и 20 000 рублей расходов на представителя.
Это решение не устанавливает универсальный размер компенсации. В другом деле сумма может быть выше или ниже в зависимости от характера нарушения, последствий и представленных доказательств.

Дисциплинарная и материальная ответственность работника

За нарушение трудовых обязанностей работодатель может применить:
  • замечание;
  • выговор;
  • увольнение по предусмотренному законом основанию.

Увольнение не является автоматическим последствием любой ошибки при работе с персональными данными.

Работодатель должен установить проступок и вину работника, запросить письменные объяснения и соблюсти сроки и порядок применения дисциплинарного взыскания.

Трудовой кодекс предусматривает возможность увольнения за разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением трудовых обязанностей, включая персональные данные другого работника.

Для законного увольнения необходимо доказать, в частности:
  • что сведения относятся к охраняемой законом тайне;
  • что работник получил их в связи с работой;
  • что он был обязан соблюдать конфиденциальность;
  • что разглашение действительно произошло;
  • что нарушение совершено виновно;
  • что процедура привлечения к ответственности соблюдена.

Материальная ответственность работника означает обязанность возместить работодателю прямой действительный ущерб. Неполученные доходы по общему правилу с работника не взыскиваются. Полная материальная ответственность возможна только в случаях, предусмотренных законом.

Нельзя включить в трудовой договор условие, по которому любой штраф Роскомнадзора автоматически удерживается с работника в полном размере.

Можно ли применить несколько видов ответственности одновременно

Да. Один инцидент может иметь несколько самостоятельных юридических последствий.

Например:
  1. организация привлекается к административной ответственности;
  2. к виновному работнику применяется дисциплинарное взыскание;
  3. субъект обращается с иском о компенсации морального вреда;
  4. оператор предъявляет договорные требования к подрядчику.

Это не означает, что все перечисленные последствия обязательно наступят в каждом случае. По каждому виду ответственности отдельно устанавливаются субъект, состав нарушения, вина и причинная связь.

Что делать после утечки или неправомерного раскрытия данных

1. Ограничить неправомерный доступ
Необходимо закрыть публичную ссылку, отозвать скомпрометированные учетные данные, ограничить доступ к системе или принять другие безотлагательные меры.

При этом важно не уничтожить доказательства, которые потребуются для расследования.
2. Зафиксировать момент выявления
Зафиксируйте:
  • дату и время получения информации;
  • источник сообщения;
  • сотрудника, принявшего сообщение;
  • первоначально известные обстоятельства;
  • предпринятые действия.

От момента выявления инцидента исчисляются сроки уведомления Роскомнадзора.
3. Определить масштаб инцидента
Следует установить:
  • затронутые информационные системы;
  • категории раскрытых данных;
  • количество субъектов;
  • количество идентификаторов;
  • наличие специальных или биометрических данных;
  • возможное нарушение прав субъектов.
4. Сохранить доказательства
Сохраните системные журналы, электронную переписку, историю изменений, сведения о правах доступа и действиях пользователей.
5. Оценить возможный вред
Оценка должна учитывать характер информации, доступность данных третьим лицам, возможные последствия для граждан и риск дальнейшего незаконного использования.
6. Определить обязанности по уведомлению
При наличии предусмотренных законом обстоятельств первичное уведомление направляется в течение 24 часов, дополнительное — в течение 72 часов.

Не следует ждать полного завершения технического расследования: именно поэтому законодательство предусматривает два этапа уведомления.

Отдельно необходимо проверить наличие обязанностей по взаимодействию с ГосСОПКА и другими уполномоченными органами.
7. Провести внутреннее расследование
В ходе расследования устанавливаются:
  • причины инцидента;
  • действия работников и подрядчиков;
  • недостатки организационных и технических мер;
  • масштаб последствий;
  • необходимые корректирующие мероприятия.
8. Зафиксировать результаты
По итогам расследования следует оформить документ, отражающий обстоятельства инцидента, принятые меры, выводы и изменения, которые необходимо внести в документы, информационные системы и бизнес-процессы.

Как снизить риск штрафов

  1. Провести инвентаризацию всех процессов обработки персональных данных.
  2. Для каждой цели определить субъектов, состав данных, правовое основание и срок обработки.
  3. Проверить наличие и актуальность сведений в реестре операторов Роскомнадзора.
  4. Сопоставить уведомление с фактической работой компании.
  5. Проверить сайт, формы, документы и чекбоксы.
  6. Оформлять согласие отдельно от договоров, оферт и иной подтверждаемой информации.
  7. Разделить согласие на обработку персональных данных и согласие на получение рекламы.
  8. Проверить договоры с CRM, облачными сервисами, колл-центрами и другими обработчиками.
  9. Определить порядок реагирования на инциденты и ответственных сотрудников.
  10. Разграничить права доступа работников.
  11. Проверить локализацию и использование иностранных сервисов.
  12. Установить и документировать сроки хранения и порядок уничтожения данных.
  13. Регулярно обучать работников.
  14. Проводить внутренний аудит документов и фактических процессов.
Важно: проверять нужно не только наличие документов, но и их соответствие реальной работе компании. Формально корректная политика не устранит риск, если сайт, CRM, рассылки, подрядчики и действия сотрудников устроены иначе.

Частые вопросы

Максимальный административный штраф для организации может достигать 500 млн рублей. Однако это специальный оборотный штраф, который применяется при наличии условий частей 15 или 18 статьи 13.11 КоАП РФ. За большинство нарушений установлены фиксированные диапазоны.

Заключение

Размер ответственности за нарушения при обработке персональных данных нельзя определить только по факту отсутствия документа или обнаружения утечки.

Необходимо установить:
  • конкретный состав нарушения;
  • правовое основание обработки;
  • категорию информации;
  • количество субъектов и идентификаторов;
  • наличие юридической повторности;
  • действия оператора до и после инцидента.

Основные риски возникают, когда документы существуют отдельно от реальных процессов: уведомление Роскомнадзора не соответствует фактической обработке, политика не описывает используемые технологии, работникам предоставлен избыточный доступ, а порядок реагирования на инциденты не определен.
Проверьте риски по 152-ФЗ
ОЦЕНИТЬ РИСКИ
Проверим сайт, документы, уведомление РКН и реальные процессы обработки ПДн. Узнайте о нарушениях и задайте вопросы бесплатно.

Содержание статьи

Главное за одну минуту

  • За обработку персональных данных без надлежащего правового основания организацию могут оштрафовать на сумму от 150 000 до 300 000 рублей.
  • За нарушение требований к обязательному письменному согласию штраф для организации составляет от 300 000 до 700 000 рублей, при повторном нарушении — от 1 до 1,5 млн рублей.
  • За неподачу или несвоевременную подачу уведомления о намерении обрабатывать персональные данные коммерческой организации или ИП грозит штраф от 100 000 до 300 000 рублей.
  • За неуведомление Роскомнадзора об инциденте предусмотрен отдельный штраф от 1 до 3 млн рублей.
  • За неправомерную передачу данных коммерческой организации или ИП может грозить штраф от 3 до 20 млн рублей в зависимости от масштаба инцидента и категории информации.
  • При повторном нарушении возможно назначение оборотного штрафа от 1 до 3% выручки, но не более 500 млн рублей.
  • Штраф до 500 млн рублей не применяется за любое нарушение 152-ФЗ.
  • Уголовная ответственность наступает не после каждой утечки или ошибки в документах, а только при наличии всех признаков конкретного преступления.

Что считается разглашением персональных данных

В деловой речи «разглашением» часто называют практически любую незаконную передачу информации. Однако Федеральный закон № 152-ФЗ использует более точные понятия: предоставление, распространение и доступ к персональным данным.

Предоставление персональных данных

Предоставление — это раскрытие персональных данных определенному лицу или определенному кругу лиц. Например, компания без надлежащего правового основания передала клиентскую базу конкретному рекламному агентству.

Распространение персональных данных

Распространение — раскрытие персональных данных неопределенному кругу лиц. Примером может быть размещение в открытом разделе сайта файла, содержащего Ф. И. О., номера телефонов и адреса электронной почты клиентов.

Доступ к персональным данным

Доступ означает возможность ознакомиться с персональными данными или совершить с ними определенные действия. Доступ может быть правомерным, когда он предоставлен уполномоченному сотруднику для выполнения его трудовых обязанностей, или неправомерным. Например, бывший работник сохранил учетную запись в CRM и продолжил просматривать клиентскую базу после увольнения.

Что такое утечка персональных данных

«Утечка» — распространенный практический и поисковый термин, но самостоятельного определения утечки в статье 3 Закона № 152-ФЗ нет.

В контексте обязанности уведомить Роскомнадзор законодательство говорит о неправомерной или случайной передаче — предоставлении, распространении или доступе — персональных данных, повлекшей нарушение прав субъектов.

Такой инцидент может произойти:
  • в результате атаки на информационную систему;
  • из-за ошибочной настройки прав доступа;
  • при направлении файла не тому адресату;
  • после размещения документа в открытом разделе сайта;
  • вследствие неправомерных действий работника;
  • через информационную систему подрядчика.

Что понимать под разглашением

Разглашением можно назвать неправомерное раскрытие конфиденциальной информации лицом, которое получило к ней доступ.

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта, если иное не предусмотрено федеральным законом.
Важно: нарушение законодательства возможно и без разглашения. Например, ответственность может наступить за избыточный сбор данных, отсутствие политики, неисполнение требования субъекта или неуведомление Роскомнадзора.

Какие виды ответственности предусмотрены

Одно происшествие может повлечь несколько самостоятельных последствий. Например, организация получает административный штраф, к работнику применяется дисциплинарное взыскание, а субъект обращается в суд за компенсацией морального вреда.

Для каждого вида ответственности необходимо отдельно установить предусмотренные законом основания.

Административная ответственность по статье 13.11 КоАП РФ

Основные административные составы в области персональных данных закреплены в статье 13.11 КоАП РФ. Она предусматривает как общие нарушения обработки, так и специальные санкции за неуведомление Роскомнадзора и неправомерную передачу информации.
1. Незаконная или несовместимая с целями обработка
Ответственность может наступить, если оператор:
  • обрабатывает персональные данные в случаях, не предусмотренных законодательством;
  • не может подтвердить надлежащее правовое основание;
  • использует данные в целях, несовместимых с целями их сбора.

За первое нарушение предусмотрены штрафы:
При повторном нарушении:
Пример: клиент передал номер телефона для согласования доставки. Компания без отдельного правового основания начала использовать его для рекламных звонков.

Наличие согласия не означает, что оператор вправе совершать с данными любые действия. Необходимо также соблюдать цели обработки, принцип достаточности данных, сроки хранения и другие требования закона.
2. Нарушение требований к письменному согласию
Часть 2 статьи 13.11 КоАП РФ применяется не при отсутствии любого чекбокса на сайте, а в случаях, когда законодательство требует получить согласие именно в письменной форме.

Ответственность может наступить и тогда, когда письменное согласие получено, но в нем отсутствуют обязательные сведения.

За первое нарушение:
При повторном нарушении:
С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и документов, которые подтверждает или подписывает субъект.

Это не означает, что согласие обязательно должно быть бумажным. Когда письменная форма законом не требуется, согласие может быть получено, например, с помощью отдельного чекбокса, если оператор способен доказать факт его получения.
Ошибка: включать согласие внутрь договора, оферты или пользовательского соглашения и предлагать пользователю подтвердить все условия одной галочкой.
3. Отсутствие политики обработки персональных данных
Оператор обязан опубликовать или иным способом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

Если данные собираются через интернет, политика должна быть опубликована в соответствующей сети, в том числе на страницах принадлежащего оператору сайта, через которые осуществляется сбор данных. Пользователь должен иметь возможность открыть документ.

Штрафы:
Одного наличия файла на сайте недостаточно. Политика должна соответствовать фактическим процессам обработки.

Если на сайте используются формы обратной связи, личный кабинет, CRM и аналитические инструменты, а политика описывает только обработку данных работников, документ не отражает реальную деятельность оператора.
4. Непредоставление информации субъекту
Субъект вправе получить предусмотренную законом информацию об обработке своих персональных данных.

За неисполнение этой обязанности предусмотрены штрафы:
Оператору необходимо заранее определить:
  • канал приема обращений;
  • порядок идентификации заявителя;
  • ответственного за подготовку ответа;
  • порядок контроля сроков;
  • правила документирования исполнения обращения.
5. Нарушение требований об уточнении, блокировании или уничтожении данных
Ответственность может наступить, если оператор не выполнил в установленный срок требование субъекта, его представителя или Роскомнадзора об уточнении, блокировании или уничтожении данных.

За первое нарушение:
За повторное нарушение штраф для организации составляет от 300 000 до 500 000 рублей, для ИП — от 50 000 до 100 000 рублей.

Требование удалить данные не всегда означает, что оператор обязан немедленно уничтожить всю информацию о заявителе.

Необходимо проверить:
  • есть ли обязанность хранить сведения в силу закона;
  • сохраняется ли другое правовое основание обработки;
  • к каким данным и процессам относится обращение;
  • достигнуты ли цели обработки;
  • можно ли прекратить только отдельные операции.
6. Нарушение требований при неавтоматизированной обработке
Если оператор работает с бумажными анкетами, заявлениями, личными делами или другими материальными носителями, он должен обеспечить их сохранность и исключить несанкционированный доступ.

Если нарушение условий хранения повлекло неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, предоставление или распространение данных, предусмотрены штрафы:
Пример: заполненные анкеты клиентов хранятся в незапираемом шкафу в помещении, доступном посетителям и сотрудникам, которым эти сведения не нужны для работы.
7. Нарушение требований локализации
При сборе персональных данных граждан России, в том числе через интернет, не допускается осуществлять запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся за пределами России, кроме прямо предусмотренных законом случаев.

За первое нарушение:
За повторное нарушение:
Важно: локализация и трансграничная передача — самостоятельные требования. Наличие российской базы не означает, что данные можно без дополнительной проверки передавать иностранному получателю или размещать в зарубежном сервисе.

Штраф за неуведомление Роскомнадзора

8. Уведомление о намерении обрабатывать персональные данные
По общему правилу оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки. Закон предусматривает ограниченный перечень исключений.

Без уведомления допускается, в частности, обработка:
  • данных, включенных в предусмотренные законом государственные информационные системы, созданные для защиты безопасности государства и общественного порядка;
  • исключительно без использования средств автоматизации;
  • в отдельных случаях, предусмотренных законодательством о транспортной безопасности.

За неподачу или несвоевременную подачу уведомления:
Наличие записи в реестре Роскомнадзора не подтверждает законность всех процессов компании. Сведения в реестр вносятся на основании информации, представленной самим оператором.

Поэтому необходимо проверять не только наличие записи, но и соответствие уведомления фактической обработке: целям, категориям субъектов, составу данных, используемым сервисам, местонахождению баз и наличию трансграничной передачи.
9. Уведомление об инциденте
Если установлен факт неправомерной или случайной передачи — предоставления, распространения или доступа — персональных данных, повлекшей нарушение прав субъектов, оператор обязан уведомить Роскомнадзор.

Сроки:
  • в течение 24 часов — направить первичную информацию об инциденте, его предполагаемых причинах и возможном вреде, принятых мерах и ответственном за взаимодействие с Роскомнадзором лице;
  • в течение 72 часов — сообщить о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента, если они установлены.

Срок исчисляется с момента выявления инцидента оператором, Роскомнадзором или иным заинтересованным лицом. Поэтому сообщение от клиента, подрядчика, исследователя или другого лица необходимо незамедлительно зарегистрировать и проверить.

За неподачу или несвоевременную подачу уведомления:
Ответственность за неуведомление является самостоятельной и не заменяет ответственность за действия или бездействие, которые привели к неправомерной передаче данных.

Штрафы за утечку персональных данных

В частях 12–18 статьи 13.11 КоАП РФ используется не термин «утечка», а формулировка: действия или бездействие оператора, повлекшие неправомерную передачу (предоставление, распространение или доступ) информации, включающей персональные данные.

При определении состава учитываются количество субъектов и количество идентификаторов.

Субъект персональных данных — человек, к которому относятся сведения.

Идентификатор для целей статьи 13.11 КоАП РФ — уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

У одного человека может быть несколько идентификаторов в информационной системе.
Штрафы в зависимости от масштаба инцидента
Для граждан предусмотрены штрафы от 100 000 до 400 000 рублей, для должностных лиц государственного, муниципального органа или НКО — от 200 000 до 600 000 рублей в зависимости от масштаба инцидента.

Составы частей 12–14 применяются, если действия или бездействие не содержат признаков уголовно наказуемого деяния.
Неправомерная передача специальных категорий данных
К специальным категориям относятся сведения о:
  • расовой и национальной принадлежности;
  • политических взглядах;
  • религиозных или философских убеждениях;
  • состоянии здоровья;
  • интимной жизни.

За неправомерную передачу информации, включающей специальные категории персональных данных, коммерческой организации или ИП грозит штраф от 10 до 15 млн рублей.

Для применения этого состава не установлен минимальный порог в 1 000 субъектов. Определяющее значение имеет категория раскрытой информации.
Неправомерная передача биометрических персональных данных
Биометрическими являются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности.

Не любая фотография или запись голоса автоматически является биометрическими персональными данными. Необходимо учитывать цель и способ их использования.

За неправомерную передачу биометрических персональных данных коммерческой организации или ИП грозит штраф от 15 до 20 млн рублей.
Оборотные штрафы
Оборотный штраф не назначается автоматически после любого второго инцидента.
Для его применения необходимо, чтобы новое нарушение и предшествующее административное наказание соответствовали условиям части 15 или части 18 статьи 13.11 КоАП РФ.

При новом нарушении, предусмотренном частями 12–14, штраф для организации составляет:
  • от 1 до 3% совокупной выручки;
  • не менее 20 млн рублей;
  • не более 500 млн рублей.

При новом нарушении, связанном со специальными категориями или биометрическими данными:
  • от 1 до 3% совокупной выручки;
  • не менее 25 млн рублей;
  • не более 500 млн рублей.
Ошибка: утверждать, что штраф до 500 млн рублей предусмотрен за любую неправомерную обработку персональных данных.

Кто отвечает: организация, ИП, директор или сотрудник

Организация
Оператором обычно является сама организация, поскольку именно она определяет цели обработки, состав персональных данных и действия, совершаемые с ними.
Передача технических задач подрядчику не освобождает оператора от его собственных обязанностей.

В поручении на обработку необходимо определить, в частности:
  • перечень персональных данных;
  • совершаемые действия;
  • цели обработки;
  • требования к конфиденциальности и безопасности;
  • обязанность подтверждать принятые меры;
  • порядок информирования оператора об инцидентах.

В постановлении от 21 января 2026 года № 5-АД25-119-К2 Верховный Суд РФ не принял довод оператора о том, что доступ к данным произошел через инфраструктуру подрядчика. Суд оценил, принял ли сам оператор необходимые меры защиты и контроля.
Дело рассматривалось по прежней редакции законодательства, поэтому назначенный в нем штраф нельзя использовать как ориентир для инцидентов после 30 мая 2025 года.
Индивидуальный предприниматель
Размер ответственности ИП зависит от конкретной части статьи 13.11 КоАП РФ.

Например:

  • по части 1 ИП отвечает как должностное лицо;
  • при повторном нарушении по части 1.1 — как юридическое лицо;
  • по части 2.1 установлен отдельный штраф для ИП;
  • по частям 8–18 ИП отвечает как юридическое лицо.

Поэтому нельзя указывать один универсальный штраф для предпринимателей.
Директор коммерческой организации
По общему правилу привлечение юридического лица к административной ответственности не исключает ответственности виновного должностного лица.

Но для частей 10–18 статьи 13.11 КоАП РФ действует специальное примечание: под должностным лицом в этих частях понимается должностное лицо государственного или муниципального органа либо некоммерческой организации.

Следовательно, штраф коммерческой организации по части 10–18 нельзя автоматически дополнить штрафом ее генеральному директору по той же части.

Возможность ответственности руководителя оценивается отдельно — с учетом его полномочий, действий, вины и применимой правовой нормы.
Работник
Работник может быть привлечен к ответственности, если установлены:

  • его должностные обязанности;
  • предоставленные полномочия и права доступа;
  • факт ознакомления с локальными документами;
  • совершенное действие или бездействие;
  • вина;
  • причинная связь между поведением работника и последствиями.

Назначение сотрудника ответственным за организацию обработки персональных данных не освобождает организацию-оператора от ее собственных обязанностей.

Уголовная ответственность за персональные данные

Уголовная ответственность не наступает автоматически после любой утечки, жалобы субъекта или ошибки в документах.

Необходимо установить все признаки конкретного состава преступления и вину физического лица. Юридические лица в России к уголовной ответственности не привлекаются.
Статья 137 УК РФ
Статья 137 УК РФ устанавливает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну.

Не любые персональные данные одновременно являются сведениями о частной жизни или личной и семейной тайной.

Поэтому наличие в раскрытом документе Ф. И. О. или рабочего номера телефона само по себе еще не означает применение статьи 137 УК РФ.

В зависимости от состава наказание может включать штраф, обязательные или принудительные работы, арест, лишение права занимать определенные должности и лишение свободы на срок до пяти лет.
Статья 272 УК РФ
Статья 272 УК РФ применяется при неправомерном доступе к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию или копирование.

При наличии квалифицирующих признаков наказание может достигать семи лет лишения свободы.
Статья 272.1 УК РФ
Статья 272.1 УК РФ действует с декабря 2024 года и устанавливает специальную ответственность за незаконный оборот компьютерной информации, содержащей персональные данные.

Основной состав охватывает незаконные:
  • использование;
  • передачу;
  • сбор;
  • хранение
компьютерной информации с персональными данными, полученной путем неправомерного доступа к средствам ее обработки или хранения, вмешательства в их работу либо иным незаконным путем.

По основному составу возможно лишение свободы на срок до четырех лет.

Если действия совершены в отношении данных несовершеннолетних, специальных категорий или биометрических данных — до пяти лет.

При наличии корыстной заинтересованности, крупного ущерба, предварительного сговора или использования служебного положения срок может достигать шести лет.

Если преступление сопряжено с трансграничной передачей информации или перемещением носителей — восьми лет.

При тяжких последствиях или совершении преступления организованной группой — десяти лет.

Отдельная ответственность установлена за создание или обеспечение работы информационного ресурса, заведомо предназначенного для незаконного хранения или распространения персональных данных.
Важно: статья 272.1 УК РФ не превращает отсутствие политики, ошибку в уведомлении или неправильный чекбокс в уголовное преступление.
Статья 183 УК РФ
Статья 183 УК РФ может применяться, если информация одновременно составляет коммерческую, налоговую или банковскую тайну.

Эту статью нельзя рассматривать как универсальную норму об ответственности за персональные данные. Сначала необходимо установить наличие соответствующего режима охраняемой законом тайны.

Гражданско-правовая ответственность

Субъект вправе обжаловать действия или бездействие оператора в Роскомнадзор или суд.

В судебном порядке он может потребовать:
  • возмещения причиненных убытков;
  • компенсации морального вреда;
  • прекращения незаконной обработки;
  • блокирования или уничтожения данных при наличии предусмотренных законом оснований.

Компенсация морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков. Размер компенсации определяет суд с учетом обстоятельств конкретного дела.
Пример: в деле № 2-234/2025 Ленинский районный суд Ярославля рассмотрел спор, связанный с оформлением займов с использованием чужих персональных данных. Суд взыскал с микрокредитной компании 7 000 рублей компенсации морального вреда и 20 000 рублей расходов на представителя.
Это решение не устанавливает универсальный размер компенсации. В другом деле сумма может быть выше или ниже в зависимости от характера нарушения, последствий и представленных доказательств.

Дисциплинарная и материальная ответственность работника

За нарушение трудовых обязанностей работодатель может применить:
  • замечание;
  • выговор;
  • увольнение по предусмотренному законом основанию.

Увольнение не является автоматическим последствием любой ошибки при работе с персональными данными.

Работодатель должен установить проступок и вину работника, запросить письменные объяснения и соблюсти сроки и порядок применения дисциплинарного взыскания.

Трудовой кодекс предусматривает возможность увольнения за разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением трудовых обязанностей, включая персональные данные другого работника.

Для законного увольнения необходимо доказать, в частности:
  • что сведения относятся к охраняемой законом тайне;
  • что работник получил их в связи с работой;
  • что он был обязан соблюдать конфиденциальность;
  • что разглашение действительно произошло;
  • что нарушение совершено виновно;
  • что процедура привлечения к ответственности соблюдена.

Материальная ответственность работника означает обязанность возместить работодателю прямой действительный ущерб. Неполученные доходы по общему правилу с работника не взыскиваются. Полная материальная ответственность возможна только в случаях, предусмотренных законом.

Нельзя включить в трудовой договор условие, по которому любой штраф Роскомнадзора автоматически удерживается с работника в полном размере.

Можно ли применить несколько видов ответственности одновременно

Да. Один инцидент может иметь несколько самостоятельных юридических последствий.

Например:
  1. организация привлекается к административной ответственности;
  2. к виновному работнику применяется дисциплинарное взыскание;
  3. субъект обращается с иском о компенсации морального вреда;
  4. оператор предъявляет договорные требования к подрядчику.

Это не означает, что все перечисленные последствия обязательно наступят в каждом случае. По каждому виду ответственности отдельно устанавливаются субъект, состав нарушения, вина и причинная связь.

Что делать после утечки или неправомерного раскрытия данных

1. Ограничить неправомерный доступ
Необходимо закрыть публичную ссылку, отозвать скомпрометированные учетные данные, ограничить доступ к системе или принять другие безотлагательные меры.

При этом важно не уничтожить доказательства, которые потребуются для расследования.
2. Зафиксировать момент выявления
Зафиксируйте:
  • дату и время получения информации;
  • источник сообщения;
  • сотрудника, принявшего сообщение;
  • первоначально известные обстоятельства;
  • предпринятые действия.

От момента выявления инцидента исчисляются сроки уведомления Роскомнадзора.
3. Определить масштаб инцидента
Следует установить:
  • затронутые информационные системы;
  • категории раскрытых данных;
  • количество субъектов;
  • количество идентификаторов;
  • наличие специальных или биометрических данных;
  • возможное нарушение прав субъектов.
4. Сохранить доказательства
Сохраните системные журналы, электронную переписку, историю изменений, сведения о правах доступа и действиях пользователей.
5. Оценить возможный вред
Оценка должна учитывать характер информации, доступность данных третьим лицам, возможные последствия для граждан и риск дальнейшего незаконного использования.
6. Определить обязанности по уведомлению
При наличии предусмотренных законом обстоятельств первичное уведомление направляется в течение 24 часов, дополнительное — в течение 72 часов.

Не следует ждать полного завершения технического расследования: именно поэтому законодательство предусматривает два этапа уведомления.

Отдельно необходимо проверить наличие обязанностей по взаимодействию с ГосСОПКА и другими уполномоченными органами.
7. Провести внутреннее расследование
В ходе расследования устанавливаются:
  • причины инцидента;
  • действия работников и подрядчиков;
  • недостатки организационных и технических мер;
  • масштаб последствий;
  • необходимые корректирующие мероприятия.
8. Зафиксировать результаты
По итогам расследования следует оформить документ, отражающий обстоятельства инцидента, принятые меры, выводы и изменения, которые необходимо внести в документы, информационные системы и бизнес-процессы.

Как снизить риск штрафов

  1. Провести инвентаризацию всех процессов обработки персональных данных.
  2. Для каждой цели определить субъектов, состав данных, правовое основание и срок обработки.
  3. Проверить наличие и актуальность сведений в реестре операторов Роскомнадзора.
  4. Сопоставить уведомление с фактической работой компании.
  5. Проверить сайт, формы, документы и чекбоксы.
  6. Оформлять согласие отдельно от договоров, оферт и иной подтверждаемой информации.
  7. Разделить согласие на обработку персональных данных и согласие на получение рекламы.
  8. Проверить договоры с CRM, облачными сервисами, колл-центрами и другими обработчиками.
  9. Определить порядок реагирования на инциденты и ответственных сотрудников.
  10. Разграничить права доступа работников.
  11. Проверить локализацию и использование иностранных сервисов.
  12. Установить и документировать сроки хранения и порядок уничтожения данных.
  13. Регулярно обучать работников.
  14. Проводить внутренний аудит документов и фактических процессов.
Важно: проверять нужно не только наличие документов, но и их соответствие реальной работе компании. Формально корректная политика не устранит риск, если сайт, CRM, рассылки, подрядчики и действия сотрудников устроены иначе.

Частые вопросы

Максимальный административный штраф для организации может достигать 500 млн рублей. Однако это специальный оборотный штраф, который применяется при наличии условий частей 15 или 18 статьи 13.11 КоАП РФ. За большинство нарушений установлены фиксированные диапазоны.

Заключение

Размер ответственности за нарушения при обработке персональных данных нельзя определить только по факту отсутствия документа или обнаружения утечки.

Необходимо установить:
  • конкретный состав нарушения;
  • правовое основание обработки;
  • категорию информации;
  • количество субъектов и идентификаторов;
  • наличие юридической повторности;
  • действия оператора до и после инцидента.

Основные риски возникают, когда документы существуют отдельно от реальных процессов: уведомление Роскомнадзора не соответствует фактической обработке, политика не описывает используемые технологии, работникам предоставлен избыточный доступ, а порядок реагирования на инциденты не определен.
ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ
Made on
Tilda