惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Cloudflare Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
The Blog of Author Tim Ferriss
G
Google Developers Blog
小众软件
小众软件
J
Java Code Geeks
V
Visual Studio Blog
The Register - Security
The Register - Security
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
罗磊的独立博客
美团技术团队
阮一峰的网络日志
阮一峰的网络日志
V
V2EX
博客园 - 叶小钗
N
Netflix TechBlog - Medium
月光博客
月光博客
aimingoo的专栏
aimingoo的专栏
大猫的无限游戏
大猫的无限游戏
T
The Exploit Database - CXSecurity.com
The Hacker News
The Hacker News
Cisco Talos Blog
Cisco Talos Blog
Hacker News: Ask HN
Hacker News: Ask HN
Hacker News - Newest:
Hacker News - Newest: "LLM"
AWS News Blog
AWS News Blog
Webroot Blog
Webroot Blog
The Last Watchdog
The Last Watchdog
T
Threatpost
I
Intezer
T
Tenable Blog
L
LINUX DO - 热门话题
T
Tailwind CSS Blog
Scott Helme
Scott Helme
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
C
Cybersecurity and Infrastructure Security Agency CISA
Engineering at Meta
Engineering at Meta
S
Schneier on Security
Recent Announcements
Recent Announcements
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
F
Fortinet All Blogs
腾讯CDC
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
T
Troy Hunt's Blog
量子位
H
Hacker News: Front Page
V2EX - 技术
V2EX - 技术
Google Online Security Blog
Google Online Security Blog
人人都是产品经理
人人都是产品经理
博客园 - 【当耐特】
博客园 - Franky
www.infosecurity-magazine.com
www.infosecurity-magazine.com

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Штрафы «за персональные данные»: как все устроено на самом деле
Ольга Шаповалова · 2026-05-11 · via Все публикации подряд на Хабре

Штрафы «за персональные данные»: как все устроено на самом деле

Простой

10 мин

9.4K

Про персональные данные (ПД) в последнее время не пишет только ленивый. К сожалению, большинство авторов пугающих постов, которые потом разлетаются по сети, знакомы с предметом на уровне «слышал звон». Чем меньше автор разбирается в законе и практике его применения, тем более апокалиптические картины он рисует.

Я профессиональный юрист и DPO (тот человек, который отвечает за законность обработки персональных данных на уровне компании), я каждый день имею дело с разными аспектами обработки перс.данных, в том числе с запросами Роскомнадзора (контролирующий орган в сфере ПД), которые — теоретически — могут привести мои компании к штрафам. А еще я регулярно мониторю судебную практику, чтобы знать, какие нарушения действительно опасны, а какие, скорее всего, сойдут с рук.

Для начала определимся с терминами.

Персональные данные (ПД) — это любая (действительно любая) информация о человеке. Не только паспортные данные, не только сведения, позволяющие установить личность. В понятие «персональные данные» со временем втягивается все больше видов разных данных, включая, например, куки‑файлы.

Субъект ПД — это тот человек, к которому относятся данные. Не всегда мы знаем, кто это вообще, не всегда нам это интересно. Важно: субъектом ПД может быть только человек (даже если он мертвый, кстати), юридическое лицо персональных данных не имеет. И кличка вашей кошки — это ваши ПД, а не кошки.

Оператор ПД — это то лицо, которое определяет цели обработки данных и отвечает за законность обработки. Обычно оператор — это юридическое лицо (то есть организация) или ИП, но в зависимости от обстоятельств «просто человек» тоже может оказаться оператором ПД — и подвергнуться административной ответственности, если накосячит.

Обработка ПД — это любое действие или операция с персональными данными. Даже если оператор ничего с данными не делает, только хранит, все равно он уже обрабатывает ПД.

Правовое основание обработки ПД — это то условие, при соблюдении которого оператор может обрабатывать данные. Все слышали о согласии (и больше, к сожалению, ни о чем). Согласие — одно из оснований обработки, но не единственное, и далеко не всегда оно нужно. ПД могут обрабатываться на основании договора с субъектом ПД, для выполнения требований закона, для защиты интересов оператора, при рассмотрении дел в судах и так далее. Для оператора главное — иметь правовое основание, которое подходит для конкретного случая.

Поехали дальше. За что штрафуют и кого штрафуют? Обработка персональных данных регулируется федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (дальше для краткости я буду называть его ФЗ-152). ФЗ-152 содержит множество правил и требований, но наказание установлено не за все. В Кодексе РФ об административных правонарушениях (КоАП РФ) есть ст. 13.11, которая описывает наказуемые нарушения ФЗ-152 и устанавливает размеры штрафов.

Кто может оказаться «виноватым» по ст. 13.11 КоАП РФ и заплатить штраф

  • оператор‑организация или ИП;

  • должностное лицо (это руководитель внутри организации, не обязательно «самый главный», а тот, в чьи должностные обязанности входит «делать хорошо и не делать плохо» в сфере перс.данных);

  • физическое лицо (тот самый «просто человек»).

Суммы штрафов разнятся в зависимости от того, кого привлекают к ответственности: организация платит больше всех, физик (физическое лицо) — меньше всех. Если для ИП не установлен специальный штраф, его штрафуют как организацию.

Ниже будет табличка «цен» на нарушения, кому про цифры не интересно — можно промотать.

Часть ст. 13.11

Описание нарушения

Штрафы (руб)

1.

Нет правового основания для обработки ПД, то есть оператор делает с ПД что‑то, на что не имеет права — это самый широкий состав, 90% нарушений ФЗ-152 попадает сюда.
Сюда же относятся «минорные» утечки ПД, когда утекают данные менее 1.000 субъектов ПД

Юр.лицо 150.000 — 300.000 
Дл.лицо 50.000 — 100.000 
Физ.лицо 10.000 — 15.000

1.1.

Повторное нарушение по ч. 1

Юр.лицо 300.000 — 500.000 
Дл.лицо 100.000 — 200.000 
Физ.лицо 15.000 — 30.000

2.

Отсутствие «особого» согласия, когда нужно именно оно: есть ситуации (редкие), в которых обязательно нужно именно согласие, причем не любое, а специальное, описанное в ч. 4 ст. 9 ФЗ-152. Например, для обработки биометрических ПД.

Юр.лицо 300.000 — 700.000 
Дл.лицо 100.000 — 300.000 
Физ.лицо 10.000 — 15.000

2.1.

Повторное нарушение по ч. 2

Юр.лицо 1.000.000 — 1.500.000 
ИП: 500.000 — 1.000.000 
Дл.лицо 300.000 — 500.000 
Физ.лицо 15.000 — 30.000

3.

Не опубликована Политика обработки ПД — это обязательный документ, в котором оператор рассказывает, как он обрабатывает ПД.

Юр.лицо 30.000 — 60.000 
ИП: 10.000 — 20.000 
Дл.лицо 6.000 — 12.000 
Физ.лицо 1.500 — 3.000

4.

Субъект прислал оператору запрос об обработке ПД, а ему не ответили, ответили не полностью, не уложились в срок

Юр.лицо 40.000 — 80.000 
ИП: 20.000 — 30.000 
Дл.лицо 8.000 — 12.000 
Физ.лицо 2.000 — 4.000

5.

Оператор не выполнил требование субъекта или РКН об уничтожении ПД, их блокировании или уточнении

Юр.лицо 50.000 — 90.000 
ИП: 500.000 — 1.000.000 
Дл.лицо 8.000 — 20.000 
Физ.лицо 2.000 — 4.000

5.1.

Повторное нарушение по ч. 5

Юр.лицо 300.000 — 500.000 
ИП: 50.000 — 100.000 
Дл.лицо 30.000 — 50.000 
Физ.лицо 20.000 — 30.000

6.

Нарушение правил «бумажной» обработки: небрежное обращение с бумажными документами, которые содержат ПД, чаще всего выражается в том, что доки просто выбрасывают на помойку вместо того, чтобы засунуть в шредер.

Юр.лицо 50.000 — 100.000 
ИП: 20.000 — 40.000 
Дл.лицо 8.000 — 20.000 
Физ.лицо 1500 — 4.000

8.

Нарушение требования о локализации: собирать ПД граждан РФ можно только в базы, физически находящиеся на территории РФ

Юр.лицо 1.000.000 — 6.000.000 
Дл.лицо 100.000 — 200.000 
Физ.лицо 30.000 — 50.000

9.

Повторное нарушение по ч. 8

Юр.лицо 6.000.000 — 18.000.000 
Дл.лицо 500.000 — 800.000 
Физ.лицо 50.000 — 100.000

10.

Оператор не подал уведомление в РКН: Роскомнадзор ведет реестр операторов ПД и практически каждый оператор должен в нем состоять.

Юр.лицо 100.000 — 300.000 
Дл.лицо 30.000 — 50.000 
Физ.лицо 5.000 — 10.000

11.

Оператор не направил в РКН уведомление об утечке: ФЗ-152 обязывает операторов самим на себя жаловаться в РКН в случае утечки ПД и сообщать параметры и причины утечки.

Юр.лицо 1.000.000 — 3.000.000 
Дл.лицо 400.000 — 800.000 
Физ.лицо 50.000 — 100.000

12 — 14

Новые штрафы за крупные утечки. Размер штрафа зависит от количества субъектов ПД (или идентификаторов) чьи данные утекли: от 1.000 субъектов по ч. 12 до более 100.000 субъектов по ч. 14

Юр.лицо 3.000.000 — 15.000.000 
Дл.лицо 200.000 — 500.000 
Физ.лицо 100.000 — 400.000

16.

Утечка ПД спец.категорий: например, сведения о судимости или о здоровье

Юр.лицо 10.000.000 — 15.000.000 
Дл.лицо 1.000.000 — 1.300.000 
Физ.лицо 300.000 — 400.000

17.

Утечка биометрических ПД

Юр.лицо 15.000.000 — 20.000.000 
Дл.лицо 1.300.000 — 1.500.000 
Физ.лицо 400.000 — 500.000

15, 18

«Оборотные» штрафы за утечки. Налагаются за повторные крупные утечки, за повторные утечки ПД специальных категорий или биометрии. Зависят от выручки оператора, но имеют нижний и верхний пределы.

Юр.лицо 1–3% выручки за год, но не менее 20.000 — не более 500.000 
Дл.лицо 800.000 — 2.000.000 
Физ.лицо 400.000 — 800.000

Разлет штрафов довольно большой: отсутствие на сайте Политики обработки ПД стоит копейки, а крупные утечки могут разорить бизнес.

Суммы штрафов по ст. 13.11 КоАП РФ и дают основания рисовать мрачные картины, в которых бдительный РКН прямо завтра всех оставит без штанов за малейшее нарушение. Реальность значительно сложнее.

В практической плоскости значение имеет не только сумма штрафа, установленная законом, но и вероятность этот штраф получить. Посмотрим на статистику. В реестре операторов ПД, который ведет РКН, более 2.600.000 операторов. За 2025 г. судами вынесено около 500 решений по ст. 13.11 КоАП РФ. То есть соотношение количества операторов к количеству решений судов 5.200 к 1.

Посмотрим на статистику по санкциям. В подавляющем большинстве случаев, если дело доходит до суда, суд наказывает нарушителя. Отказы в привлечении к ответственности случаются, но они чрезвычайно редки, не будем их учитывать. Давайте исходить из того, что по всем 500 делам были назначены наказания. Вопрос — какие именно? Читатель ждет уж рифмы «розы» суммы штрафов, но...В 60% дел суд ограничился предупреждением. То есть виновному лицу просто погрозили пальцем и сказали «больше так не делай». Есть, кстати, забавный момент. Суд может признать правонарушение незначительным и отказать в привлечении к ответственности, ограничившись «устным замечанием». А может привлечь к административной ответственности, но вместо штрафа вынести «предупреждение». Казалось бы, какая разница. Но в первом случае фигурант не будет считаться привлеченным к административной ответственности, а во втором — будет. Для оператора предупреждение не такая уж безобидная штука. Дело в том, что РКН дозирует свое внимание в зависимости от категории риска, присвоенной оператору. И привлечение к ответственности по ст. 13.11, даже в форме предупреждения, категорию риска автоматически увеличивает, что имеет свои последствия — но об этом я как‑нибудь в другой раз напишу.

Возвращаемся к нашим штрафам. Из примерно 500 дел, по 40% (ок. 200) штраф все‑таки был назначен. Суммы штрафов варьируют от 2.000 до 17.000.000 ₽ Два самых часто встречающихся варианта — 2.000 и 60.000. Почему так? А вот почему. Большая часть нарушений (70%) попадает в сферу действия ч. 1 ст. 13.11 КоАП РФ. Что бы вы ни начудили с перс.данными — скорее всего, попадете в этот состав, он просто самый обширный. До середины 2025 г. штрафы по ч. 1 ст. 13.11 были существенно ниже, чем сейчас. Когда выносится административное наказание, применяется тот размер штрафа, который действовал на момент совершения нарушения. Поскольку между правонарушением и вынесением решения суда о наказании — дистанция огромного размера (до года), то ныне действующие размеры штрафов в 2025 г еще почти не применялись. Соответственно, когда какое‑нибудь юр.лицо привлекали к ответственности по ч. 1 ст. 13.11 и назначали штраф, а не предупреждение, применяли «старые цены» — и получалось в основном 60.000 ₽ А 2.000 руб — это штрафы физикам. Как ни странно, суды гораздо охотнее штрафуют физиков, чем юриков. Если нарушитель — юр.лицо, шанс отделаться предупреждением куда выше, чем у «простого человека».

Едем дальше: верхний предел штрафа за 2025 г — 17.000.000 ₽ Назначен он не за грандиозную утечку, как могло бы показаться, а за нарушение требований о локализации. WA оштрафовали по ч. 9 ст. 13.11 КоАП РФ. Вообще РКН очень активно штрафует иностранные сервисы за локализацию. Борьба за цифровой суверенитет идет вовсю. Уже оштрафованы или в процессе десятки иностранных компаний: все популярные мессенджеры, гугл, зум, приложения для знакомств, разработчики различного ПО и компьютерных игр — всех не перечислишь. Правда, сомнительно, что бюджет РФ когда‑нибудь дождется выплаты этих штрафов.

С суммами разобрались, но интересно, кого именно привлекают к ответственности? Забавно, но в половине случаев — это участники бытовых или соседских разборок с использованием перс.данных. Сейчас объясню. 50% от привлеченных к ответственности составляют должностные лица и физические лица. «Должностное лицо» звучит чрезвычайно солидно, но в подавляющем большинстве случаев это не чиновники, не директора предприятий — а председатели ТСЖ, СНТ, ТСН, гаражных кооперативов, то есть объединений граждан для управления недвижимостью. Кто вникал, тот знает, что в таких объединениях жизнь довольно часто бьет ключом: кто‑то на кого‑то жалуется, кто‑то пытается сместить правление и выбрать получше, правление хочет собрать все долги со всех должников и так далее. Для этого активно используется метод общественной укоризны: в чатах мессенджеров публикуются списки должников, тексты жалоб (вот Иван Иваныч, нехороший человек, написал на нас жалобу в прокуратуру — полюбуйтесь), решения судов (мы сходили в суд и суд постановил взыскать с Марь Петровны долги за 200 лет) и прочие документы, содержащие перс.данные. Аналогично кто‑то с кем‑то сводит личные счеты, выкладывая данные в группу типа «подслушано там‑то...» И никому, конечно, в голову не приходит, что для такого действия нужно либо согласие субъекта (так он его и даст), либо иные правовые основания (которым неоткуда взяться). Пострадавший пишет жалобу в полицию/прокуратуру/ФСБ, если грамотный или что‑то слышал, то напрямую в РКН, прилагает скрины — и РКН радостно идет в суд, так как состав ему принесли на тарелочке. Суд обычно выносит предупреждение, но бывает, что и штрафует. Если выкладыванием ПД в мессенджеры занимается председатель или бухгалтер — ему не повезло, штраф будет от 10.000, если рядовой сосед — штрафуют как физика — на 2.000.

В сумме имеем: великий и ужасный РКН не столько следит за тем, есть ли на вашем сайте согласие на обработку ПД (справедливости ради, за этим тоже следит — в другой раз расскажу), сколько борется за цифровой суверенитет с иностранными компаниями и проверяет жалобы физиков на данные в мессенджерах и соц.сетях. А суды в большинстве случаев проявляют невиданный в других сферах либерализм и назначают предупреждения вместо штрафов. Кстати, даже за утечки.