Кемерово8-961-861-02-88
Юрга8 (38451) 4-92-79

Ответственность за нарушение обработки персональных данных

Актуально на 24 июня 2025

C 30 мая действуют новые санкции за нарушения в работе с персональными данными. За нарушение обработки персональных данных предусмотрены административная и уголовная ответственность. В таблице мы указали, с какими наказаниями и при каких условиях могут столкнуться УО, ТСЖ, ЖК, ЖСК в зависимости от вида нарушения. В обосновании привели ссылки на соответствующие нормы КоАП или УК.

Условия, при которых управляющая МКД организация совершает нарушение

Вид нарушения

Наказание

Нормативное обоснование  

Административная ответственность

Обрабатывает персональные данные вне исполнения
услуг и работ, связанных с управлением МКД
(п. 5 ч. 1 ст. 6 Закона от 27 июля 2006 г.
№ 152-ФЗ
«О персональных данных»; далее
Закон о персональных данных).

Например, использует персональные данные
для рассылки рекламы, собирает лишние данные, сохранила документы, которые нужно уничтожить

Обработка персональных данных:

  • в случаях, не предусмотренных законодательством в области персональных данных;
  • целях, несовместимых с целями сбора персональных данных.

Обязательное условие – действия по обработке не содержат уголовно наказуемого деяния

Штраф

Первое нарушение:

  • для граждан – от 10 000 до 15 000;
  • должностных лиц – от 50 000 до 100 000;
  • юрлиц – от 150 000 до 300 000.

Повторное нарушение:

  • для граждан от 15 000 до 30 000;
  • должностных лиц – от 100 000 до 200 000;
  • ИП – от 50 000 до 100 000;
  • юрлиц – от 300 000 до 500 000

ч. 1, 1.1 ст. 13.11КоАП

Не получила согласие субъекта персональных
данных на их обработку1, или такое согласие не содержит
необходимых сведений (ч. 4 ст. 9 Закона
о персональных данных
).

Например, без согласия обрабатывает
персональные данные через третьих лиц или в целях,
не связанных с управлением МКД

1. Обработка персональных данных без письменного согласия лица, когда такого согласия требует закон. Состав распространяется только на случаи, когда действия по обработке не содержат уголовно наказуемого деяния.

2. Нарушение требования закона к составу сведений, которые нужно включить в согласие на обработку персональных данных

Штраф

Первое нарушение:

  • для граждан – от 10 000 до 15 000;
  • должностных лиц – от 100 000 до 300 000;
  • юрлиц – от 300 000 до 700 000.

Повторное нарушение:

  • для граждан - от 15 000 до 30 000;
  • должностных лиц – от 300 000 до 500 000;
  • ИП – от 500 000 до 1 млн;
  • юрлиц – от 1 млн до 1,5 млн

ч. 2, 2.1 ст. 13.11 КоАП

Не опубликовала на своем сайте или
иным образом не обеспечила неограниченный доступ
к политике организации в отношении обработки персональных
данных и иным сведениям о требованиях к защите персональных
данных (ч. 2 ст. 18.1 Закона о персональных данных)

Невыполнение обязанности по опубликованию или иному обеспечению неограниченного доступа:

  • к документу, который определяет политику оператора в отношении обработки персональных данных;
  • сведениям о реализуемых требованиях к защите персональных данных

Штраф: 

  • для граждан – от 1 500 до 3 000;
  • должностных лиц – от 6 000 до 12 000;
  • ИП – от 10 000 до 20 000;
  • юрлиц – от 30 000 до 60 000

ч. 3 ст. 13.11 КоАП

Не предоставила информацию в течение
30 дней после запроса (ч. 1 ст. 20
Закона о персональных данных
)

Невыполнение обязанности по предоставлению субъекту персональных данных информации, которая касается обработки этих данных

Штраф: 

  • для граждан – от 2 000 до 4 000;
  • должностных лиц – от 8 000 до 12 000;
  • ИП – от 20 000 до
  • 30 000;
  • юрлиц – от 40 000 до 80 000

ч. 4 ст. 13.11 КоАП

Не актуализировала, не блокировала
или не уничтожила персональные данные по требованию
субъекта персональных данных, его представителя или
уполномоченного органа по защите прав субъектов
персональных данных, когда это необходимо (ч. 1 ст. 14
Закона о персональных данных
). Сроки выполнения требований предусматривает
статья 21 Закона о персональных
данных

Невыполнение в срок требования об уточнении персональных данных, их блокировании или уничтожении.

Оператор обязан это сделать, когда персональные данные:

  • утратили актуальность;
  • не предусматривают всю необходимую информацию;
  • содержат неточности;
  • получены незаконно;
  • не отвечают заявленной цели обработки

Штраф

Первое нарушение:

  • для граждан – от 2 000 до 4 000;
  • должностных лиц – от 8 000 до 20 000;
  • ИП – от 20 000 до 40 000;
  • юрлиц – от 50 000 до 90 000.

Повторное нарушение:

  • для граждан – от 20 000 до 30 000;
  • должностных лиц – от 30 000 до 50 000;
  • ИП – от 50 000 до 100 000;
  • юрлиц – от 300 000 до 500 000

ч. 5, 5.1 ст. 13.11

Не обеспечила безопасность персональных
данных при неавтоматизированной
обработке
.

Например, не оформила список лиц,
которые допущены к обработке информации,
и не организовала раздельное
хранение данных

Несоблюдение условий, которые необходимы, чтобы:

  • сохранить персональные данные при хранении материальных носителей;
  • исключить несанкционированный доступ к ним.

Состав распространяется только на случаи, когда:

  • обрабатывают персональные данные без средств автоматизации;
  • отсутствует состав уголовного преступления;
  • произошел неправомерный или случайный доступ к персональным данным либо их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили по отношению к ним иные неправомерные действия

Штраф: 

  • для граждан – от 1 500 до 4 000;
  • должностных лиц – от 8 000 до 20 000;
  • ИП – от 20 000 до 40 000;
  • юрлиц – от 50 000 до 100 000

ч. 6 ст. 13.11 КоАП

Не уведомили или уведомили не вовремя Роскомнадзор о том, что будете обрабатывать персональные данные.

УО, ТСЖ, ЖСК обязаны направлять уведомление в Роскомнадзор о намерении обрабатывать персданные всегда, за исключением двух случаев 

Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении обрабатывать персональные данные

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – на юридическое лицо

Штраф:

  • для граждан - от 5 000 до 10 000;
  • должностных лиц - от 30 000 до 50 000;
  • юридических лиц - от 100 000 до 300 000

ч. 10 ст. 13.11 КоАП

Не уведомили или уведомили не вовремя Роскомнадзор о том, что неправомерно или случайно передали, предоставили, распространили персональные данные, и это нарушило права субъектов персональных данных.

Например, не уведомили Роскомнадзор об инциденте, его причинах, последствиях и принятых мерах. Либо не сообщили результаты внутреннего расследовании инцидента. Порядок уведомления предусматривает часть 3.1 статьи 21 Закона о персональных данных

Невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, которая повлекла нарушение прав субъектов персональных данных

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 50 000 до 100 000;
  • должностных лиц - от 400 000 до 800 000;
  • юридических лиц - от 1 000 000 до 3 000 000

ч. 11 ст. 13.11 КоАП

Случайно или умышленно допустили утечку персональных данных жителей или сотрудников управленца.

Например, не обеспечили защиту персональных данных от доступа посторонних лиц или не получили согласие на распространение персданных в установленных случаях, и это привело к незаконному доступу и распространению данных


 
 

Действия или бездействие, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, которая включает персональные данные от одной тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов.

Обязательное условие – эти действия или бездействие не содержат признаков уголовно наказуемого деяния.

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 100 000 до 200 000;
  • должностных лиц - от 200 000 до 400 000;
  • юридических лиц - от 3 000 000 до 5 000 000

ч. 12 ст. 13.11 КоАП

Действия или бездействие, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, которая включает персональные данные от 10 тыс. до 100 тыс. субъектов персональных данных или от 100 тыс. до 1 млн идентификаторов.

Обязательное условие – эти действия или бездействие не содержат признаков уголовно наказуемого деяния

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 200 000 до 300 000;
  • должностных лиц - от 300 000 до 500 000;
  • юридических лиц - от 5 000 000 до 10 000 000

ч. 13 ст. 13.11 КоАП

Действия или бездействие, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, которая включает персональные данные более 100 тыс. субъектов персональных данных или более одного млн идентификаторов.

Обязательное условие – эти действия или бездействие не содержат признаков уголовно наказуемого деяния

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 300 000 до 400 000;
  • должностных лиц - от 400 000 до 600 000;
  • юридических лиц - от 10 000 000 до 15 000 000

ч. 14 ст. 13.11 КоАП

 

Совершение административного правонарушения, предусмотренного частями 12 - 14 статьи 13.11 КоАП, лицом, которое уже получило наказание за правонарушения, предусмотренные частями 12 - 18 статьи 13.11 КоАП

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 400 000 до 600 000;
  • должностных лиц - от 800 000 до 1 200 000;
  • юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки от реализации всех товаров, работ, услуг за календарный год, предшествующий году, в котором выявили правонарушение, либо за предшествующую дате выявления правонарушения часть календарного года, в котором выявили правонарушение, если нарушитель не вел деятельность по реализации товаров, работ, услуг в предшествующем календарном году. Но есть условие - штраф должен быть не менее 20 000 000 и не более 500 000 000

ч. 15 ст. 13.11 КоАП

Случайно или умышленно допустили утечку персональных данных жителей или сотрудников управленца, которые касаются:

  • расовой, национальной принадлежности;
  • политических взглядов;
  • религиозных или философских убеждений;
  • состояния здоровья, интимной жизни.

Требования к обработке специальных категорий персданных установлены статьей 10 Закона о персональных данных

Действия или бездействие, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, которая включает специальную категорию персональных данных

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 300 000 до 400 000;
  • должностных лиц - от 1 000 000 до 1 300 000;
  • юридических лиц - от 10 000 000 до 15 000 000

ч. 16 ст. 13.11 КоАП

Случайно или умышленно допустили утечку персональных данных жителей или сотрудников управленца, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить личность.

Требования к обработке биометрических персданных установлены статьей 11 Закона о персональных данных

Действия или бездействиеа, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, которая включает биометрические персональные данные. Исключение – случаи, которые предусмотрены статьей 13.11.3 КоАП.

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 400 000 до 500 000;
  • должностных лиц - от 1 300 000 до 1 500 000;
  • юридических лиц - от 15 000 000 до 20 000 000

ч. 17 ст. 13.11 КоАП

 

Совершение административного правонарушения, предусмотренного частью 16 или 17 статьи 13.11 КоАП, лицом, которое уже получило наказание за правонарушения, предусмотренные частями 12 - 18 статьи 13.11 КоАП

Состав распространяется:

  • для ТСЖ, ЖСК, ЖК – на должностных лиц;
  • УО – юридических лиц

Штраф:

  • для граждан - от 500 000 до 800 000;
  • должностных лиц - от 1 500 000 до 2 млн.
  • юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки от реализации всех товаров, работ, услуг за календарный год, предшествующий году, в котором выявили административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором выявили нарушение, если нарушитель не реализовал товары, работы, услуги в предшествующем календарном году. Но есть условие - штраф должен быть не менее 20 000 000 и не более 500 000 000

ч. 18 ст. 13.11 КоАП

Нарушила требования при размещении и обработке биометрических персональных данных в единой биометрической системе, Требования к размещению сведений в такой системе установлены статьей 4 Закона от 29.12.2022 № 572-ФЗ

Размещение и обновление биометрических персональных данных в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»

 Штраф:

  • для должностных лиц – от 100 000 до 300 000;
  • юрлиц – от 500 000 до 1 000 000

Ч.1 ст.

13.11.3 КоАП

 

Нарушение порядка обработки биометрических персональных данных в единой биометрической системе, порядка обработки биометрических персданных, векторов единой биометрической системы в информационных системах государственных органов, ЦБ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов для идентификации и (или) аутентификации

Штраф:

  • для должностных лиц – от 100 000 до 300 000 ;
  • юрлиц – от 500 000 до 1 000 000

Ч. 2 ст.

13.11.3 КоАП

 

Непринятие организационных и технических мер для безопасности биометрических персональных данных при их обработке в единой биометрической системе, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер для безопасности биометрических персональных данных при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических персональных данных

Штраф:

  • для должностных лиц – от 300 000 до 500 000;
  • юрлиц – от 1 000 000 до 1 500 000

Ч. 3 ст.

13.11.3 КоАП

 

Обработка биометрических персональных данных, векторов единой биометрической системы для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе ЦБ без аккредитации либо если аккредитация приостановлена или прекращена

Штраф:

  • для должностных лиц – от 500 000 до 1 000 000;
  • юрлиц – от 1 млн до 2 000 000

Ч. 4 ст.

13.11.3 КоАП

Препятствовали проверке Роскомнадзора или уклонялись от нее

Воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора), по проведению проверок или уклонение от таких проверок

Штраф:

  • для граждан – от 500 до 1 000;
  • должностных лиц – от 2 000 до 4 000;
  • юрлиц – от 5 000 до 10 000

ч. 1 ст. 19.4.1 КоАП

Помешали Роскомнадзору провести или завершить проверку

Действия или бездействие, которые привели к невозможности провести или завершить проверку органа государственного контроля (надзора)

Штраф:

Первое нарушение:

  • для должностных лиц – от 5 000 до 10 000;
  • юрлиц – от 20 000 до 50 000

Повторное нарушение:

  • для должностных лиц – от 10 000 до 20 000 (или дисквалификация от шести месяцев до 1-ого года);
  • юрлиц – от 50 000 до 100 000

ч. 2, 3 ст. 19.4.1 КоАП

ч. 3 ст. 19.4.1 КоАП

Не выполнили в срок предписание Роскомнадзора об устранении нарушений

Невыполнение в установленный срок законного предписания, постановления, представления, решения органа, должностного лица, которые осуществляют государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства

Штраф:

  • для граждан – от 300 до 500;
  • должностных лиц – от 1 000 до 2 000 (или дисквалификация до трех лет);
  • юрлиц – от 10 000 до 20 000

ч. 1 ст. 19.5 КоАП

Уголовная ответственность

Собрали, хранили, использовали или передали третьим лицам компьютерную информацию, содержащую персональные данные собственников помещений в МКД без из согласия, а также без 

соблюдения запретов и условий, предусмотренных статьей 10.1 Закона о персональных
данных

 

Незаконные использование, передача, сбор и хранение компьютерной информации, которая содержит персональные данные и получена незаконным путем

 

Штраф до 300 000 или в размере заработной платы или иного дохода осужденного за период до одного года,

либо принудительные работы на срок до четырех лет,

либо лишение свободы на тот же срок

 

ч. 1 ст. 272.1 УК

 

Незаконно собрали, хранили, использовали или передали третьим лицам персональные данные:

  • несовершеннолетних собственников;
  • касающиеся расовой, национальной принадлежности, политических религиозных или философских взглядов, состояния здоровья, собственников;
  • биометрические данные – сведения, которые характеризуют физиологические и биологические особенности жителей МКД

 

Те же действия в отношении компьютерной информации с персональными данными несовершеннолетних лиц, специальными категориями персональных данных и биометрическими персданными

 

Штраф до 700 000 или в размере заработной платы или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без этого,

либо принудительные работы до пяти лет, либо лишение свободы на тот же срок

ч. 2 ст. 272.1 УК

 

Незаконно собрали, хранили, использовали или передали третьим лицам компьютерную информацию с персональными данными любых собственников помещений в МКД в целях обогащения, в группе по предварительному сговору или с использованием служебного положения. Такие действия причинили ущерб до 1 млн руб.

 

Вышеуказанные действия, которые совершили:

  • из корыстной заинтересованности;
  • с причинением крупного ущерба;
  • в составе группы лиц по предварительному сговору;
  • с использованием служебного положения

 

Штраф до 1 млн или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без этого,

либо принудительные работы до пяти лет со штрафом до 1 млн или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью до трех лет или без такового,

либо лишение свободы до шести лет со штрафом до 1 млн или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью до трех лет или без такового

ч. 3 ст. 272.1 УК

 

Незаконно передали базу данных с персональными данными (например, реестр собственников помещений) иностранным гражданам, организациям или государственным структурам. Незаконно вывези такую компьютерную информацию из России на любых электронных носителях, в том числе на флеш-накопителях и жестких дисках

 

Вышеуказанные действия при трансграничной передаче компьютерной информации или носителей информации

 

Лишение свободы до восьми лет со штрафом до 2 млн или в размере заработной платы или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью до четырех лет или без такового

ч. 4 ст. 272.1 УК

Незаконно собрали, хранили, использовали или передали третьим лицам, в том числе вывезли за границу компьютерную информацию с персональными данными, если это привело к тяжелым последствиям или такие действия совершили в группе лиц

 

Вышеуказанные действия, если они повлекли тяжкие последствия либо совершены организованной группой

Лишение свободы до 10 лет со штрафом  до 3 млн или в размере заработной платы или иного дохода осужденного за период до четырех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью до пяти лет или без такового

ч. 5 ст. 272.1 УК

 

Создали и администрировали сайты в сети «Интернет» или другие интернет-ресурсы и программы, которые позволяют незаконно хранить и предоставлять доступ к компьютерной информации с незаконно полученными персональными данными

 

Создание и обеспечение функционирования информационного ресурса – сайта в сети «Интернет», страницы сайта, информационной системы, программы для электронных вычислительных машин – которые предназначены для незаконных хранения, передачи компьютерной информации с незаконно полученными персданными

 

Штраф до 700 000 или в размере заработной платы или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового,

либо принудительные работы на срок до пяти лет со штрафом до 700 000 или иного дохода осужденного за период до двух лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового,

либо лишение свободы на срок до пяти лет со штрафом до 700 000 или иного дохода осужденного за период до двух лет и с лишением права занимать определенные должности или заниматься определенной деятельностью до двух лет или без такового

ч. 6 ст. 272.1 УК

1 Есть два случая, когда не требуется получать письменное согласие на обработку персональных данных. Во-первых, УО, ТСЖ, ЖК, ЖСК исполняют договор, заключенный с собственниками помещений в МКД. Это следует из пункта 5 части 1 статьи 6 Закона о персональных данных. Во-вторых, управляющая МКД организация привлекает для расчетов за ЖКУ платежных агентов или банковских платежных агентов (ч. 16 ст. 155 ЖК).

© Материал из Справочной системы «Управление многоквартирным домом»
https://1umd.ru
Дата копирования: 24.06.2025