Некоторые аспекты Законодательство и ответственность в сфере обработки персональных данных

Отдельные моменты и сроки Закона РФ № 152 ФЗ от 27.07.2006 г. «О персональных данных»

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 20 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

См. текст статьи в предыдущей редакции

См. комментарии к статье 20 настоящего Федерального закона

Часть 1 изменена с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

См. предыдущую редакцию

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Часть 2 изменена с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

См. предыдущую редакцию

2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Часть 4 изменена с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

См. предыдущую редакцию

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

https://base.garant.ru/12148567/9e3305d0d08ff111955ebd93afd10878/

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

См. комментарии к статье 21 настоящего Федерального закона

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Статья 21 дополнена частью 3.1 с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

3.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

Статья 21 дополнена частью 5.1 с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

5.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Часть 6 изменена с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

См. предыдущую редакцию

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Статья 21 дополнена частью 7 с 1 марта 2023 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

https://base.garant.ru/12148567/b5dae26bebf2908c0e8dd3b8a66868fe/

Статья 22. Уведомление об обработке персональных данных

См. комментарии к статье 22 настоящего Федерального закона

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

См. предыдущую редакцию

2) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

3) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

4) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

5) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

6) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

Пункт 7 изменен с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

Пункт 8 изменен с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

Федеральным законом от 25 июля 2011 г. N 261-ФЗ часть 2 статьи 22 настоящего Федерального закона дополнена пунктом 9, распространяющимся на правоотношения, возникшие с 1 июля 2011 г.

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Федеральным законом от 25 июля 2011 г. N 261-ФЗ в часть 3 статьи 22 настоящего Федерального закона внесены изменения, распространяющиеся на правоотношения, возникшие с 1 июля 2011 г.

См. текст части в предыдущей редакции

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

4) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

5) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

6) утратил силу с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

Федеральным законом от 21 июля 2014 г. N 242-ФЗ часть 3 статьи 22 настоящего Федерального закона дополнена пунктом 10.1, вступающим в силу с 1 сентября 2015 г.

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

Часть 3 дополнена пунктом 10.2 с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

10.2) фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Статья 22 дополнена частью 3.1 с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

3.1. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Статья 22 дополнена частью 4.1 с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

4.1. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки персональных данных исключает сведения, указанные в части 3 настоящей статьи, из реестра операторов.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

Часть 7 изменена с 1 марта 2023 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

См. предыдущую редакцию

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.

Статья 22 дополнена частью 8 с 1 сентября 2022 г. - Федеральный закон от 14 июля 2022 г. N 266-ФЗ

8. Формы уведомлений, предусмотренных частями 1, 4.1 и 7 настоящей статьи, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

https://base.garant.ru/12148567/94f5bf092e8d98af576ee351987de4f0/


Ответственность в соответствии с Кодексом об Административных правонарушениях РФ в сфере обработки персональных данных


Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

Cрок давности привлечения к ответственности по ст. 13.11

См. комментарии к статье 13.11 КоАП РФ

Часть 1 изменена с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

См. предыдущую редакцию

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11 - 18 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста пятидесяти тысяч до трехсот тысяч рублей.

Часть 1.1 изменена с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

См. предыдущую редакцию

1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, влечет наложение административного штрафа на граждан в размере от пятнадцати тысяч до тридцати тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.

Часть 2 изменена с 23 декабря 2023 г. - Федеральный закон от 12 декабря 2023 г. N 589-ФЗ

См. предыдущую редакцию

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц - от ста тысяч до трехсот тысяч рублей; на юридических лиц - от трехсот тысяч до семисот тысяч рублей.

Часть 2.1 изменена с 23 декабря 2023 г. - Федеральный закон от 12 декабря 2023 г. N 589-ФЗ

См. предыдущую редакцию

2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, влечет наложение административного штрафа на граждан в размере от пятнадцати тысяч до тридцати тысяч рублей; на должностных лиц - от трехсот тысяч до пятисот тысяч рублей; на индивидуальных предпринимателей - от пятисот тысяч до одного миллиона рублей; на юридических лиц - от одного миллиона до полутора миллионов рублей.

Часть 3 изменена с 27 марта 2021 г. - Федеральный закон от 24 февраля 2021 г. N 19-ФЗ

См. предыдущую редакцию

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц - от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от тридцати тысяч до шестидесяти тысяч рублей.

Часть 4 изменена с 27 марта 2021 г. - Федеральный закон от 24 февраля 2021 г. N 19-ФЗ

См. предыдущую редакцию

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от сорока тысяч до восьмидесяти тысяч рублей.

Часть 5 изменена с 27 марта 2021 г. - Федеральный закон от 24 февраля 2021 г. N 19-ФЗ

См. предыдущую редакцию

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до девяноста тысяч рублей.

Статья 13.11 дополнена частью 5.1 с 27 марта 2021 г. - Федеральный закон от 24 февраля 2021 г. N 19-ФЗ

5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи, влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от трехсот тысяч до пятисот тысяч рублей.

Часть 6 изменена с 27 марта 2021 г. - Федеральный закон от 24 февраля 2021 г. N 19-ФЗ

См. предыдущую редакцию

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

Часть 7 изменена с 27 марта 2021 г. - Федеральный закон от 24 февраля 2021 г. N 19-ФЗ

См. предыдущую редакцию

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.

Статья 13.11 дополнена частью 8 с 2 декабря 2019 г. - Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей.

Статья 13.11 дополнена частью 9 с 2 декабря 2019 г. - Федеральный закон от 2 декабря 2019 г. N 405-ФЗ

9. Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц - от шести миллионов до восемнадцати миллионов рублей.

Статья 13.11 дополнена частью 10 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

Обратите внимание, что применительно к составам административных правонарушений, упомянутым в частях 10 - 18 ст. 13.11 КоАП РФ под "юридическим лицом" понимается только оператор персональных данных - юридическое лицо, НЕ являющийся государственным или муниципальным органом либо некоммерческой организацией

См. примечание 3 к ст. 13.11 КоАП РФ

10. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.

Статья 13.11 дополнена частью 11 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

11. Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от одного миллиона до трех миллионов рублей.

Статья 13.11 дополнена частью 12 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

12. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, влекут наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от трех миллионов до пяти миллионов рублей.

Статья 13.11 дополнена частью 13 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

13. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, влекут наложение административного штрафа на граждан в размере от двухсот тысяч до трехсот тысяч рублей; на должностных лиц - от трехсот тысяч до пятисот тысяч рублей; на юридических лиц - от пяти миллионов до десяти миллионов рублей.

Статья 13.11 дополнена частью 14 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

14. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от четырехсот тысяч до шестисот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.

Статья 13.11 дополнена частью 15 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

15. Совершение административного правонарушения, предусмотренного частями 12 - 14 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 - 14, 16 - 18 настоящей статьи и настоящей частью, влечет наложение административного штрафа на граждан в размере от четырехсот тысяч до шестисот тысяч рублей; на должностных лиц - от восьмисот тысяч до одного миллиона двухсот тысяч рублей; на юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.

Статья 13.11 дополнена частью 16 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

16. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных, влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от одного миллиона до одного миллиона трехсот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.

Статья 13.11 дополнена частью 17 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

17. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 настоящего Кодекса, влекут наложение административного штрафа на граждан в размере от четырехсот тысяч до пятисот тысяч рублей; на должностных лиц - от одного миллиона трехсот тысяч до одного миллиона пятисот тысяч рублей; на юридических лиц - от пятнадцати миллионов до двадцати миллионов рублей.

Статья 13.11 дополнена частью 18 с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

18. Совершение административного правонарушения, предусмотренного частью 16 или 17 настоящей статьи, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 - 17 настоящей статьи и настоящей частью, влечет наложение административного штрафа на граждан в размере от пятисот тысяч до восьмисот тысяч рублей; на должностных лиц - от одного миллиона пятисот тысяч до двух миллионов рублей; на юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее двадцати пяти миллионов рублей и не более пятисот миллионов рублей.

Примечания изменены с 30 мая 2025 г. - Федеральный закон от 30 ноября 2024 г. N 420-ФЗ

См. предыдущую редакцию

Примечания:

1. За административные правонарушения, предусмотренные частями 1.1, 8 - 18 настоящей статьи, статьями 13.31, 13.35 - 13.37, 13.39, 13.40 и 13.46 настоящего Кодекса, индивидуальные предприниматели несут административную ответственность как юридические лица.

2. В частях 10 - 18 настоящей статьи под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации.

3. В частях 10 - 18 настоящей статьи под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией.

4. В целях настоящей статьи под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

5. При назначении административного наказания за совершение административных правонарушений, предусмотренных частями 15 и 18 настоящей статьи, учитывается обстоятельство, отягчающее административную ответственность, предусмотренное пунктом 1 части 1 статьи 4.3 настоящего Кодекса, а также следующее обстоятельство, отягчающее административную ответственность: лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных частями 1 - 11 настоящей статьи и (или) статьями 13.6, 13.12 настоящего Кодекса.

Открыть документ в системе ГАРАНТ

https://base.garant.ru/12125267/b369434ee740927935cc6f0a04242543/

Быстрый заказ
Заявка

Домокомплект силового каркаса дома


Заполните форму и мы свяжемся с вами