Статья 23 152‑ФЗ: Ответственность за нарушение

Статья 23 152‑ФЗ: ответственность за нарушение

В этой статье разбираем, что на практике означает статья 23 152‑ФЗ «О персональных данных»: какие виды ответственности грозят оператору и должностным лицам, как они наступают, и что сделать, чтобы снизить риски.

Что говорит статья 23 простыми словами

Статья 23 152‑ФЗ (часто ищут как «статья 23 152 ФЗ» или «152 статья ФЗ РФ») устанавливает общий принцип: лица, нарушившие требования закона о персональных данных, несут гражданскую, административную, уголовную и иную ответственность в соответствии с законодательством РФ. Иначе говоря, это «мост» к другим кодексам и нормам, где прописаны конкретные санкции.

Ключевые идеи статьи:

• за нарушение 152‑ФЗ предусмотрены разные виды наказаний (штрафы, компенсации, дисциплинарные меры и даже уголовная ответственность);
• причиненный вред подлежит возмещению, включая моральный вред;
• меры принуждения применяются по правилам ГК, КоАП, УК и иных актов.

Для контекста см. также о законе 152‑ФЗ и текст закона, последняя редакция.

Виды ответственности по ст. 23 152‑ФЗ

Статья 23 не называет «сумм штрафов» — она перечисляет, что ответственность наступает и в каких правовых плоскостях. На практике это выглядит так:

Вид ответственности	Нормативный акт	Типичные основания	Примеры последствий
Административная	КоАП 13.11	Отсутствие согласия, нарушение сроков и целей, утечки, трансграничная передача с нарушениями, отсутствие политики и уведомления РКН	Штрафы для юрлиц и должностных лиц (от десятков до сотен тысяч рублей, при повторности — до миллионов)
Гражданско‑правовая	ГК РФ	Причинение имущественного вреда и морального вреда субъекту ПДн	Компенсация убытков и морального вреда, расходы на судебные издержки
Уголовная	УК РФ (ст. 137, 272–274 и др.)	Незаконное распространение сведений частной жизни, неправомерный доступ и т. п.	Штрафы, ограничение/лишение свободы, запрет занимать должности
Дисциплинарная	ТК РФ, ЛНА	Нарушения сотрудником установленных процедур	Выговор, увольнение, лишение премии

Подробные разъяснения см. в материале: Ответственность и штрафы по 152‑ФЗ.

Административные штрафы: КоАП 13.11

Административная ответственность — самый частый сценарий наказаний по 152‑ФЗ. Базовая статья — КоАП 13.11, которая состоит из многих частей: от отсутствия согласия и политики конфиденциальности до нарушений хранения, обезличивания, блокировки и уведомлений.

Что важно знать:

• Штрафы назначают как юридическим, так и должностным лицам, а также ИП.
• Размеры санкций зависят от характера нарушения и повторности: вилка — от десятков до сотен тысяч рублей; за повторные и грубые нарушения суммы существенно выше.
• Рынки с интенсивной обработкой данных (онлайн‑сервисы, ритейл, банки, здравоохранение, образование) находятся в зоне особого внимания.

Связанные практические темы: требования к сайту, cookie и баннеры, формы на сайте и согласие, уведомление Роскомнадзора.

Гражданско‑правовая ответственность и компенсации

Помимо штрафов «в пользу государства» субъект персональных данных вправе взыскать с оператора возмещение вреда. Это может быть:

• компенсация имущественного ущерба (например, из‑за неправомерной передачи данных третьим лицам);
• компенсация морального вреда — по суду, в фиксированном размере, который определяет суд исходя из обстоятельств дела.

Подход судов эволюционирует: чем очевиднее нарушения (особенно при утечке) и чем слабее доказанная система защиты у оператора, тем выше риск взысканий. Смотрите кейсы в разделе судебная практика по 152‑ФЗ.

Уголовная ответственность: когда возможна

Хотя 152‑ФЗ сам не устанавливает составы преступлений, «152 статья ФЗ РФ» через ст. 23 отсылает к УК РФ, где возможны:

• ст. 137 УК РФ — нарушение неприкосновенности частной жизни (в т. ч. незаконное распространение сведений);
• ст. 272–274 УК РФ — неправомерный доступ к компьютерной информации, создание/использование вредоносных программ, нарушение правил эксплуатации средств хранения/обработки.

Уголовная плоскость включается, когда деяние носит общественно опасный характер: массовые утечки, умышленные действия, корыстный мотив, значительный ущерб.

Кто отвечает: оператор, подрядчик и должностные лица

В экосистеме обработки есть несколько ролей:

• Оператор — лицо, которое определяет цели и средства обработки. Его ключевые обязанности собраны здесь: обязанности оператора.
• Обработчик (подрядчик) по поручению — действует на основании договора и инструкций. Подробнее: поручение обработки ПДн.
• Должностные лица (в т. ч. назначенный ответственный): ответственный за обработку ПДн.

Ответственность может наступать одновременно для нескольких субъектов: оператора (как организатора обработки), подрядчика (если нарушил условия поручения или закон), должностных лиц (за организационные провалы).

Типовые нарушения, за которые наказывают

• Нет или неправильно оформлено согласие: см. согласие на обработку ПДн.
• Отсутствует публичная политика обработки ПДн на сайте.
• Не направлено уведомление Роскомнадзора и/или нет сведений в реестре операторов ПДн.
• Сбор лишних данных, несоразмерность целей и объема, отсутствие правового основания.
• Нарушение сроков хранения и процедур блокировки/уничтожения.
• Отсутствуют или формальны меры безопасности ПДн, игнорируются уровни защищенности ИСПДн, нет модели угроз и защиты каналов (криптография/шифрование).
• Нарушения при трансграничной передаче (например, передача в страны без адекватной защиты без согласия/оснований).
• Инциденты и утечки с несоблюдением процедур уведомления: инциденты и утечки ПДн.

Как снизить риски и смягчить наказание

Наказание по 152‑ФЗ — не «рок судьбы». Есть меры, которые доказывают добросовестность и снижают санкции:

• Поставить «скелет» соответствия: пакет документов 152‑ФЗ, документы для сайта, регламенты, реестры операций.
• Назначить ответственного и выстроить внутренний контроль и обучение.
• Провести аудит соответствия и аудит сайта или запустить онлайн‑проверку сайта.
• Технические меры: ФСТЭК/ФСБ‑требования (требования ФСТЭК и ФСБ), сегментация, шифрование, журналы доступа, регулярные тесты.
• Готовность к проверке: подготовка к проверке, взаимодействие с Роскомнадзором.

Наличие зрелых процессов, быстрое устранение нарушений, уведомление уполномоченного органа и пострадавших часто учитываются как смягчающие обстоятельства.

Алгоритм действий при инциденте

При утечке или подозрении на нарушение действуйте по чек‑листу:

1. Зафиксировать инцидент (журналы, скрины, хеши файлов), оценить масштаб и категории ПДн.
2. Немедленно заблокировать каналы утечки, применить временные меры защиты.
3. Провести внутреннее расследование, определить корневую причину.
4. Оценить риски для субъектов, подготовить уведомления. См.: действия при нарушении ПДн и инциденты и утечки ПДн.
5. При необходимости уведомить уполномоченный орган: уведомление Роскомнадзора.
6. Исполнить предписания, обновить политику, процедуры, усилить защиту.

FAQ: часто задаваемые вопросы по ст. 23

• Можно ли ограничиться предупреждением? Да, при малозначительности и быстром устранении нарушений возможно. Но решение принимает должностное лицо, исходя из материалов проверки.
• Кого штрафуют — компанию или сотрудника? И компанию, и должностное лицо. При аутсорсинге ответственность может нести и подрядчик, если он нарушил закон или условия поручения.
• Влияют ли изменения 2025 года? Да, тренд — ужесточение. Следите за изменениями 2025 и регулярно пересматривайте политики и реестры обработки.
• Что делать малому бизнесу? Использовать готовые шаблоны и сервисы: генератор политики и согласий, пакет документов под ключ.

Больше ответов — в разделе вопросы и ответы 152‑ФЗ.

Связанные нормы 152‑ФЗ и полезные ссылки

• Безопасность и организация: ст. 18.1 (обязанности по обеспечению безопасности), меры безопасности.
• Контроль и Реестр: ст. 22 (уведомление и реестр), реестр операторов ПДн.
• Публичное распространение: ст. 10.1 (данные для распространения и отдельное согласие).
• Новые обязанности и процедуры: ст. 22.1.
• Обзор норм: структура и статьи 152‑ФЗ и полный текст 152‑ФЗ.

Вывод и что делать дальше

Статья 23 152‑ФЗ фиксирует: за нарушение закона о персональных данных предусмотрена комплексная ответственность — от административных штрафов до гражданских и уголовных последствий. Чтобы не доводить до санкций (или смягчить их), важно поддерживать живую систему соответствия: понятные регламенты, техническую защиту, обученный персонал и готовность к инцидентам.

Начните с базового аудита и приведения документов в порядок: воспользуйтесь онлайн‑проверкой сайта, оформите политику и согласия, либо закажите консалтинг и документы под ключ. Это дешевле и спокойнее, чем платить штрафы и судиться.