Оборотный штраф за персональные данные: кому грозит и как рассчитать
Как читать ч. 3.6 ст. 13.11 КоАП
Точная норма (в редакции ФЗ № 420-ФЗ от 30.11.2024):
Расшифруем:
- Состав: повторное действие из ч. 3.2 (≥ 1 000 субъектов), ч. 3.3 (≥ 10 000) или ч. 3.4 (≥ 100 000)
- База: выручка от реализации товаров/работ/услуг за календарный год до выявления
- Процент: от 1 до 3 % — конкретное значение определяет суд
- Минимум: 20 млн ₽ — даже у компании с минимальной выручкой
- Максимум: 500 млн ₽ — даже у компании с выручкой 100 млрд ₽
Когда считается «повторностью»
Ключевая фраза в КоАП — «правонарушение, совершённое в период со дня вступления в законную силу постановления о назначении наказания до истечения одного года со дня окончания исполнения данного постановления» (ст. 4.6 КоАП).
На практике это означает: повторность фиксируется, если в течение года после первой утечки случилась вторая. Даже если вторая утечка меньше первой по масштабу — она будет квалифицирована как повторная.
Введите выручку — увидите конкретную сумму оборотного штрафа.
Примеры расчёта
| Годовая выручка | 1 % (минимум) | 3 % (максимум) | Фактическая сумма штрафа |
|---|---|---|---|
| 500 млн ₽ | 5 млн ₽ | 15 млн ₽ | 20 млн ₽ (минимум по закону) |
| 2 млрд ₽ | 20 млн ₽ | 60 млн ₽ | 20 – 60 млн ₽ |
| 10 млрд ₽ | 100 млн ₽ | 300 млн ₽ | 100 – 300 млн ₽ |
| 30 млрд ₽ | 300 млн ₽ | 900 млн ₽ | 300 – 500 млн ₽ (упрётся в максимум) |
| 100 млрд ₽ | 1 млрд ₽ | 3 млрд ₽ | 500 млн ₽ (максимум) |
Что может снизить ставку (1 % vs 3 %)
Суд определяет процент в пределах вилки, учитывая обстоятельства. Снижают (приближают к 1 %):
- Своевременное уведомление РКН об утечке (24 часа)
- Минимизация ущерба субъектам
- Сотрудничество с регулятором
- Признание вины и устранение причин нарушения
- Наличие комплекса мер защиты, который объективно подвергся атаке
Повышают (приближают к 3 %):
- Сокрытие факта утечки
- Несоблюдение базовых требований 152-ФЗ (отсутствие политики, согласий)
- Системность нарушений
- Существенный вред субъектам (фишинг, шантаж на основе утечки)
Как защищаться
Защита от оборотного штрафа строится на трёх рычагах:
- Оспаривание квалификации «повторности». Если первое нарушение не образовало повторности (отсутствует вступившее в силу постановление) — оборотный штраф неприменим. Альтернатива — фиксированный по ч. 3.2 – 3.4.
- Процессуальные нарушения при производстве. Срок составления протокола, надлежащее уведомление, привлечение свидетелей — каждое процессуальное нарушение даёт основание для отмены.
- Снижение до минимальной ставки. Доказывание добросовестности, признание вины, устранение причин — может снизить с 3 % до 1 % (трёхкратная разница).
Превентивные меры — что делать сейчас
- Аудит уровня защищённости — выявите риски утечки до того, как РКН их найдёт
- Регламент реагирования на инциденты — 24 часа на уведомление РКН — критический срок
- DPO-аутсорс — внешний ответственный быстрее реагирует, чем штатный сотрудник
- Документация в порядке — отсутствие комплекта ОРД даёт РКН формальные основания для строгой квалификации
Защита от оборотного штрафа
Если уже был инцидент или есть риск — записывайтесь на бесплатный анализ. Определим, какой сценарий защиты применим в вашей ситуации.
Защита в арбитражеОтветим за 2 часа · +7 (983) 510-38-76