Право на компенсацию морального вреда: 5000 ₽ практика
С 30.05.2025 за утечку от 1 000 субъектов оператор платит 3–15 млн ₽ по ст. 13.11 КоАП. Параллельно каждый пострадавший вправе предъявить отдельный иск о компенсации морального вреда. При 10 000 субъектов и среднем взыскании 5 000 ₽ совокупный риск гражданско-правовых исков составляет 50 млн ₽ — независимо от административного штрафа. Этот справочник систематизирует ключевые понятия и правовую базу для юриста, сопровождающего оператора ПДн.
Что такое субъект ПДн и оператор по ст. 3 ФЗ-152?
Субъект персональных данных — физическое лицо, которое прямо или косвенно определяется через обрабатываемые сведения: ФИО, номер телефона, email, идентификатор в системе учёта. Любое физлицо, чьи данные попали в базу оператора, является субъектом и имеет право требовать компенсации за нарушение.
Оператор персональных данных по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку ПДн. Статус оператора возникает в момент первого сбора данных, а не с момента регистрации в реестре РКН.
Обработка персональных данных — любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Передача данных подрядчику уже является обработкой, за которую оператор несёт ответственность перед субъектом.
Какие правовые основания обработки ПДн исключают требование о компенсации?
Правовое основание обработки — условие из ст. 6 ФЗ-152, при наличии которого оператор вправе обрабатывать ПДн без нарушения закона. Ст. 6 содержит 11 оснований. Отсутствие хотя бы одного даёт субъекту право на компенсацию морального вреда.
Наиболее применимые на практике основания: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора, стороной которого является субъект (п. 5), исполнение оператором обязанностей, возложенных законом (п. 2). Согласие на обработку ПДн с 01.09.2025 оформляется отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Включение согласия в текст договора или политики конфиденциальности после этой даты — нарушение, которое субъект вправе положить в основу иска.
Принципы обработки персональных данных закреплены в ст. 5 ФЗ-152: законность и добросовестность, конкретность целей, соответствие объёма целям, точность данных, хранение не дольше необходимого. Нарушение любого принципа — самостоятельное основание для иска о компенсации.
Получили претензию от субъекта ПДн или готовите позицию оператора?
Если юрист оценивает риск исков о компенсации — нужен аудит правовых оснований обработки и проверка пакета ОРД. Слабое место в одном документе умножается на число субъектов в базе.
Подключить DPO-аутсорсОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что такое категории ПДн и почему это влияет на размер компенсации?
Общие персональные данные — любые сведения, прямо или косвенно идентифицирующие субъекта: ФИО, адрес, телефон, email, данные о трудовой деятельности. При их утечке суды присуждают 3 000–10 000 ₽ за типовой иск.
Специальные категории персональных данных по ст. 10 ФЗ-152 — сведения о расовой и национальной принадлежности, политических, религиозных и философских взглядах, состоянии здоровья, интимной жизни, судимости. Обработка по общему правилу запрещена; допускается только при наличии прямых исключений п. 2 ст. 10. Компенсация при утечке спецкатегории — от 10 000 ₽ и выше: суды учитывают особую чувствительность сведений.
Биометрические персональные данные по ст. 11 ФЗ-152 — сведения, характеризующие физиологические и биологические особенности человека: изображение лица, голос, отпечатки пальцев, радужная оболочка. Обработка требует письменного согласия. За утечку биометрии с 30.05.2025 действует специальный состав — ч. 17 ст. 13.11 КоАП (15–20 млн ₽ для юрлица). Гражданский иск о компенсации субъект предъявляет параллельно.
Что проверить юристу перед оценкой риска компенсационных исков
- Наличие правового основания для каждой цели обработки по ст. 6 ФЗ-152 — согласие, договор, закон.
- Соответствие согласий требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): отдельный документ, полный перечень реквизитов.
- Определение категории ПДн по ст. 10, 11 ФЗ-152 — наличие специальных или биометрических данных в базе.
- Соблюдение принципов ст. 5 ФЗ-152: цели зафиксированы, объём соответствует целям, данные хранятся не дольше необходимого.
- Наличие журнала обращений субъектов и соблюдение срока ответа — 10 рабочих дней по ст. 20 ФЗ-152.
Как судебная практика определяет размер компенсации морального вреда?
Российские суды применяют принцип разумности и справедливости при определении суммы компенсации. Базовый диапазон по делам о нарушении 152-ФЗ — 3 000–10 000 ₽ за одного субъекта. Ориентир — кейс Яндекс.Еды: Санкт-Петербургский городской суд в сентябре 2023 года взыскал с компании 5 000 ₽ в пользу пострадавшего пользователя. До этого суд первой инстанции отказал в иске, апелляция исправила позицию.
Факторы, увеличивающие размер взыскания: утечка специальных категорий ПДн (ст. 10), раскрытие данных о состоянии здоровья или интимной жизни, публичный характер распространения, доказанная осведомлённость оператора о нарушении. Факторы снижения: незначительный объём раскрытых данных, оперативные меры по устранению, отсутствие доказанного вреда у конкретного субъекта.
При массовой утечке каждый субъект предъявляет самостоятельный иск. Десять тысяч субъектов при взыскании 5 000 ₽ каждому — это 50 млн ₽ совокупного гражданско-правового риска. Административный штраф по ст. 13.11 КоАП не погашает этот риск.
Если юрист готовит позицию оператора по иску о компенсации — нужна проверка ОРД и оснований обработки. Срок ответа субъекту по ст. 20 ФЗ-152 — 10 рабочих дней; нарушение этого срока усиливает позицию истца.
Заказать аудит 152-ФЗТиповые ситуации: когда субъект выигрывает, а когда нет
Ситуация 1. Утечка через подрядчика. Оператор передал базу клиентов CRM-интегратору без поручения по ст. 6 ФЗ-152. Подрядчик допустил утечку. Субъект предъявил иск к оператору. Позиция судов: оператор несёт ответственность за действия лица, которому передал данные. Иск удовлетворён. Сумма компенсации — в диапазоне 5 000–8 000 ₽. Стратегия защиты оператора: заключить договор поручения обработки с перечнем мер защиты до передачи данных.
Ситуация 2. Согласие в трудовом договоре после 01.09.2025. Работодатель включил согласие на обработку ПДн в текст трудового договора. Работник потребовал компенсации, указав на нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Согласие признано недействительным — самостоятельного документа не было. Требование об уничтожении данных удовлетворено; компенсация — 3 000–5 000 ₽. Стратегия: переоформить согласия работников на отдельные документы немедленно.
Ситуация 3. Хранение данных после достижения цели. Интернет-магазин хранил данные покупателей три года после последней сделки. Субъект потребовал уничтожения и компенсации. Нарушение принципа ст. 5 ФЗ-152 (хранение не дольше необходимого) — суд взыскал 3 000 ₽. Стратегия: регламент уничтожения данных с фиксацией сроков по каждой цели обработки.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка оснований обработки, категорий ПДн, ОРД
- Комплект ОРД под ключ — согласия, политика, регламент уничтожения
- DPO-аутсорсинг — ответы субъектам, мониторинг претензий, поддержка юриста
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
Обработкой считается любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача третьим лицам, обезличивание, блокирование, удаление, уничтожение. Даже разовое хранение анкеты соискателя в папке — это уже обработка ПДн по ст. 3 ФЗ-152, и оператор обязан соблюдать все требования закона.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 устанавливает 11 оснований. Наиболее распространённые: согласие субъекта, исполнение договора, обязанность, возложенная законом, и защита жизненно важных интересов. Для специальных категорий ПДн (ст. 10) основания строже. С 01.09.2025 согласие — это отдельный документ с полным перечнем реквизитов, а не галочка в договоре.
3. Что грозит за нарушение 152-ФЗ?
Административная ответственность по ст. 13.11 КоАП: от 30 000 ₽ (ч. 3 за отсутствие политики) до 15 000 000 ₽ (ч. 14 за утечку свыше 100 000 субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Параллельно — гражданские иски субъектов о компенсации морального вреда и уголовная ответственность по ст. 272.1 УК (с 11.12.2024, до 10 лет лишения свободы по ч. 5).
4. Нужно ли уведомлять РКН малому бизнесу?
Обязанность уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 распространяется на всех операторов, если нет прямых исключений из ч. 2 ст. 22. Исключения узкие: например, данные только собственных работников для трудового договора. Большинство малых компаний с клиентской базой обязаны уведомить. Отсутствие уведомления — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.
5. С какого возраста нужно согласие на ПДн?
По общему правилу ст. 9 ФЗ-152 согласие даёт сам субъект. Для лиц до 14 лет согласие подписывают законные представители — родители или опекуны. С 14 до 18 лет — сам несовершеннолетний с согласия представителя. В сфере образования и медицины применяются дополнительные требования. Обработка ПДн несовершеннолетних без надлежащего согласия — основание для иска и штрафа по ч. 2 ст. 13.11 (300 000–700 000 ₽).
Итог
Право на компенсацию морального вреда при нарушении 152-ФЗ — реальный гражданско-правовой риск, который не перекрывается административным штрафом. Суды устойчиво взыскивают 3 000–10 000 ₽ за типовой эпизод; при специальных категориях ПДн или публичной утечке — существенно больше. Ключевые основания для иска: отсутствие правового основания по ст. 6, нарушение требований к согласию по ст. 9, незаконная обработка спецкатегорий по ст. 10, нарушение принципов ст. 5.
Юристы DATUM сопровождают операторов ПДн в спорах с субъектами и при проверках РКН — от проверки ОРД до позиции в суде по иску о компенсации.
14 ноября 2026 года