В этой статье разбираем, что на практике означает статья 23 152‑ФЗ «О персональных данных»: какие виды ответственности грозят оператору и должностным лицам, как они наступают, и что сделать, чтобы снизить риски.
Статья 23 152‑ФЗ (часто ищут как «статья 23 152 ФЗ» или «152 статья ФЗ РФ») устанавливает общий принцип: лица, нарушившие требования закона о персональных данных, несут гражданскую, административную, уголовную и иную ответственность в соответствии с законодательством РФ. Иначе говоря, это «мост» к другим кодексам и нормам, где прописаны конкретные санкции.
Ключевые идеи статьи:
Для контекста см. также о законе 152‑ФЗ и текст закона, последняя редакция.
Статья 23 не называет «сумм штрафов» — она перечисляет, что ответственность наступает и в каких правовых плоскостях. На практике это выглядит так:
| Вид ответственности | Нормативный акт | Типичные основания | Примеры последствий |
|---|---|---|---|
| Административная | КоАП 13.11 | Отсутствие согласия, нарушение сроков и целей, утечки, трансграничная передача с нарушениями, отсутствие политики и уведомления РКН | Штрафы для юрлиц и должностных лиц (от десятков до сотен тысяч рублей, при повторности — до миллионов) |
| Гражданско‑правовая | ГК РФ | Причинение имущественного вреда и морального вреда субъекту ПДн | Компенсация убытков и морального вреда, расходы на судебные издержки |
| Уголовная | УК РФ (ст. 137, 272–274 и др.) | Незаконное распространение сведений частной жизни, неправомерный доступ и т. п. | Штрафы, ограничение/лишение свободы, запрет занимать должности |
| Дисциплинарная | ТК РФ, ЛНА | Нарушения сотрудником установленных процедур | Выговор, увольнение, лишение премии |
Подробные разъяснения см. в материале: Ответственность и штрафы по 152‑ФЗ.
Административная ответственность — самый частый сценарий наказаний по 152‑ФЗ. Базовая статья — КоАП 13.11, которая состоит из многих частей: от отсутствия согласия и политики конфиденциальности до нарушений хранения, обезличивания, блокировки и уведомлений.
Что важно знать:
Связанные практические темы: требования к сайту, cookie и баннеры, формы на сайте и согласие, уведомление Роскомнадзора.
Помимо штрафов «в пользу государства» субъект персональных данных вправе взыскать с оператора возмещение вреда. Это может быть:
Подход судов эволюционирует: чем очевиднее нарушения (особенно при утечке) и чем слабее доказанная система защиты у оператора, тем выше риск взысканий. Смотрите кейсы в разделе судебная практика по 152‑ФЗ.
Хотя 152‑ФЗ сам не устанавливает составы преступлений, «152 статья ФЗ РФ» через ст. 23 отсылает к УК РФ, где возможны:
Уголовная плоскость включается, когда деяние носит общественно опасный характер: массовые утечки, умышленные действия, корыстный мотив, значительный ущерб.
В экосистеме обработки есть несколько ролей:
Ответственность может наступать одновременно для нескольких субъектов: оператора (как организатора обработки), подрядчика (если нарушил условия поручения или закон), должностных лиц (за организационные провалы).
Наказание по 152‑ФЗ — не «рок судьбы». Есть меры, которые доказывают добросовестность и снижают санкции:
Наличие зрелых процессов, быстрое устранение нарушений, уведомление уполномоченного органа и пострадавших часто учитываются как смягчающие обстоятельства.
При утечке или подозрении на нарушение действуйте по чек‑листу:
Больше ответов — в разделе вопросы и ответы 152‑ФЗ.
Статья 23 152‑ФЗ фиксирует: за нарушение закона о персональных данных предусмотрена комплексная ответственность — от административных штрафов до гражданских и уголовных последствий. Чтобы не доводить до санкций (или смягчить их), важно поддерживать живую систему соответствия: понятные регламенты, техническую защиту, обученный персонал и готовность к инцидентам.
Начните с базового аудита и приведения документов в порядок: воспользуйтесь онлайн‑проверкой сайта, оформите политику и согласия, либо закажите консалтинг и документы под ключ. Это дешевле и спокойнее, чем платить штрафы и судиться.