Ответственность за разглашение персональных данных: штрафы, статьи УК и КоАП

4 вида ответственности за разглашение ПДн: ст. 13.11 КоАП (до 18 млн ₽), ст. 137 УК (до 5 лет), оборотные штрафы за утечку. Таблица наказаний + как защититься.

12 ноября 2025 г.15 мин. чтения

Что такое разглашение персональных данных

Разглашение персональных данных — это действия или бездействие, в результате которых персональные данные становятся доступны лицам, не имеющим законного права на их получение. Федеральный закон № 152-ФЗ «О персональных данных» определяет распространение ПДн как действия, направленные на раскрытие персональных данных неопределённому кругу лиц (ст. 3).

Разглашение может произойти в различных формах:

Умышленное разглашение — передача данных третьим лицам без согласия субъекта и законного основания (например, сотрудник продаёт клиентскую базу)
Неосторожное разглашение — утечка данных из-за ненадлежащей защиты (незашифрованные базы, открытый доступ к документам)
Публикация — размещение ПДн в интернете, СМИ, социальных сетях без согласия субъекта
Утрата носителей — потеря документов, флешек, ноутбуков с ПДн
Недостаточные меры защиты — хакерская атака при отсутствии надлежащей защиты ИСПДн

Важно различать: не любая обработка ПДн без согласия является разглашением. Закон допускает обработку без согласия в ряде случаев (ст. 6 152-ФЗ): исполнение договора, обязанности по закону, защита жизни, журналистская деятельность. Разглашение — это именно неправомерное раскрытие данных.

За нарушение законодательства о персональных данных предусмотрено четыре вида ответственности: административная, уголовная, гражданско-правовая и дисциплинарная. Вид и размер наказания зависят от характера нарушения, наступивших последствий и статуса виновного лица.

Административная ответственность — ст. 13.11 КоАП РФ

Статья 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» — основная норма административной ответственности. С 2025 года штрафы значительно увеличены, а за повторные нарушения и утечки введены оборотные штрафы.

Таблица штрафов по ст. 13.11 КоАП РФ (2025–2026):

Нарушение	Штраф для юрлиц	Штраф для должностных лиц
Обработка ПДн без согласия субъекта (ч. 1)	60 000 – 100 000 ₽	10 000 – 20 000 ₽
То же, повторно (ч. 1.1)	100 000 – 300 000 ₽	20 000 – 50 000 ₽
Обработка несовместимая с целями сбора (ч. 2)	60 000 – 100 000 ₽	10 000 – 20 000 ₽
Непубликация политики на сайте (ч. 3)	30 000 – 60 000 ₽	6 000 – 12 000 ₽
Нарушение прав субъекта (ч. 4)	40 000 – 80 000 ₽	10 000 – 20 000 ₽
Нарушение хранения на территории РФ (ч. 8)	1 000 000 – 6 000 000 ₽	100 000 – 200 000 ₽
То же, повторно (ч. 9)	6 000 000 – 18 000 000 ₽	200 000 – 500 000 ₽

Оборотные штрафы за утечки (с 2025 года):

Федеральный закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за утечки ПДн:

Первая утечка: от 3 000 000 до 15 000 000 ₽ в зависимости от объёма утечки
Повторная утечка: от 1% до 3% годовой выручки компании (но не менее 15 000 000 ₽ и не более 500 000 000 ₽)

Подробная таблица штрафов по 152-ФЗ и калькулятор штрафов помогут оценить риски для вашей организации.

Уголовная ответственность — ст. 137 и ст. 272.1 УК РФ

Уголовная ответственность за разглашение персональных данных предусмотрена двумя статьями Уголовного кодекса РФ.

Статья 137 УК РФ — Нарушение неприкосновенности частной жизни

Статья 137 УК РФ устанавливает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.

Часть статьи	Деяние	Наказание
ч. 1 ст. 137	Незаконное собирание/распространение сведений о частной жизни	Штраф до 200 000 ₽, обязательные работы до 360 ч, лишение свободы до 2 лет
ч. 2 ст. 137	То же с использованием служебного положения	Штраф 100 000 – 300 000 ₽, лишение свободы до 4 лет с лишением права занимать должность до 5 лет
ч. 3 ст. 137	Распространение данных несовершеннолетнего потерпевшего	Штраф 150 000 – 350 000 ₽, лишение свободы до 5 лет

Важно: ст. 137 УК РФ защищает именно частную жизнь. Не любые персональные данные относятся к частной жизни — ФИО и должность, как правило, не являются охраняемой тайной. Но медицинские данные, сведения о семейной жизни, переписка, финансовое положение — безусловно охраняются.

Статья 272.1 УК РФ — Незаконное использование компьютерных баз данных с ПДн

Статья 272.1 УК РФ введена Федеральным законом от 30.11.2024 и устанавливает ответственность за незаконное использование, передачу, сбор и хранение компьютерных баз данных, содержащих персональные данные, полученные незаконным путём.

Часть статьи	Деяние	Наказание
ч. 1	Использование, передача, сбор, хранение незаконно полученных ПДн	Штраф до 300 000 ₽, лишение свободы до 4 лет
ч. 2	То же в отношении специальных/биометрических ПДн или данных несовершеннолетних	Штраф до 700 000 ₽, лишение свободы до 5 лет
ч. 3	Трансграничная передача незаконно полученных ПДн	Лишение свободы до 8 лет, штраф до 2 000 000 ₽
ч. 4	Деяния, совершённые группой лиц или с использованием служебного положения	Лишение свободы до 10 лет, штраф до 3 000 000 ₽

Подробнее о составах преступлений и практике применения — в разделе Уголовная ответственность за нарушение 152-ФЗ.

Гражданско-правовая ответственность

Субъект персональных данных, чьи права были нарушены, вправе обратиться в суд с иском о возмещении убытков и компенсации морального вреда. Правовые основания:

Статья 17 152-ФЗ — право субъекта на судебную защиту и возмещение убытков, а также компенсацию морального вреда
Статья 24 152-ФЗ — ответственность за нарушение закона о ПДн
Статьи 151, 1064, 1099–1101 ГК РФ — общие нормы о возмещении вреда и компенсации морального вреда

Что может взыскать субъект ПДн:

Реальный ущерб — расходы на восстановление нарушенного права (юридическая помощь, замена документов, если данные паспорта утекли)
Упущенная выгода — если разглашение привело к потере дохода (например, разглашение коммерческой тайны конкурентам)
Компенсация морального вреда — за нравственные и физические страдания (размер определяется судом)

Судебная практика по моральному вреду:

Размеры компенсации морального вреда за разглашение ПДн в российской практике пока остаются невысокими: от 5 000 до 50 000 рублей в типичных случаях. Однако в резонансных делах (массовые утечки, разглашение медицинских данных) суды присуждают до 100 000–200 000 рублей. С ростом штрафов за утечки ожидается и рост сумм компенсаций.

Коллективные иски: законодательство допускает подачу коллективных (групповых) исков от субъектов ПДн, пострадавших от одной утечки. При массовых утечках совокупный размер компенсаций может исчисляться миллионами рублей.

Дисциплинарная ответственность работника

Работник, допустивший разглашение персональных данных другого работника, может быть привлечён к дисциплинарной ответственности вплоть до увольнения.

Правовые основания:

Статья 81 ТК РФ, п. 6 «в» — разглашение охраняемой законом тайны (в том числе персональных данных другого работника), ставшей известной в связи с исполнением трудовых обязанностей, является основанием для увольнения по инициативе работодателя
Статья 86 ТК РФ — общие требования к обработке ПДн работников
Статья 88 ТК РФ — запрет на передачу ПДн работника третьим лицам без его письменного согласия
Статья 90 ТК РФ — ответственность за нарушение норм о защите ПДн работника

Виды дисциплинарных взысканий (ст. 192 ТК РФ):

Замечание — за незначительные нарушения (оставил документ с ПДн на рабочем столе)
Выговор — за серьёзные нарушения (переслал персональные данные коллеги на личную почту)
Увольнение — за грубое нарушение (продал клиентскую базу, разместил ПДн работников в интернете)

Условия законного увольнения: работодатель обязан доказать, что работник был ознакомлен с обязанностью не разглашать ПДн (обязательство о неразглашении, должностная инструкция), данные действительно составляют персональные данные, и разглашение совершено в связи с исполнением трудовых обязанностей.

Судебная практика: реальные дела о разглашении ПДн

Анализ судебной практики показывает устойчивый рост количества дел, связанных с разглашением персональных данных. Приведём характерные примеры.

Дело 1. Утечка клиентской базы банка

Сотрудник банка скопировал базу данных клиентов (ФИО, паспортные данные, счета) и передал третьим лицам. Привлечён по ч. 2 ст. 137 УК РФ (с использованием служебного положения). Наказание: штраф 200 000 рублей и запрет занимать должности в финансовом секторе на 3 года. Банк выплатил компенсацию морального вреда пострадавшим клиентам.

Дело 2. Публикация ПДн должника в интернете

Коллекторское агентство разместило в социальных сетях информацию о должнике: ФИО, адрес, сумму долга, фотографию. Суд признал действия незаконным распространением ПДн и присудил компенсацию морального вреда 30 000 рублей, а также штраф по ст. 13.11 КоАП РФ.

Дело 3. Увольнение за разглашение ПДн коллеги

Кадровый специалист переслала данные о заработной плате сотрудников на личный email и обсуждала их с посторонними. Работодатель уволил по п. 6 «в» ст. 81 ТК РФ. Суд признал увольнение законным, поскольку работник подписывала обязательство о неразглашении и была ознакомлена с локальными актами о защите ПДн.

Тенденция 2025–2026: после введения оборотных штрафов за утечки суды стали строже подходить к оценке мер защиты ПДн. Организации, не внедрившие базовые меры (политика, согласия, назначение ответственного), получают максимальные штрафы.

Как защититься от ответственности за разглашение ПДн

Единственный надёжный способ избежать ответственности — выстроить систему защиты ПДн до того, как произойдёт инцидент. Вот минимальный комплекс мер:

1. Оформите полный комплект документов по 152-ФЗ:

Политика обработки персональных данных — обязательный документ, публикуется на сайте
Положение об обработке ПДн — внутренний нормативный акт для сотрудников
Согласие на обработку ПДн — для каждой категории субъектов
Обязательство о неразглашении — подписывается каждым сотрудником, имеющим доступ к ПДн
Приказ о назначении ответственного за организацию обработки ПДн

2. Подайте уведомление в Роскомнадзор:

Подайте уведомление об обработке ПДн и зарегистрируйтесь в реестре операторов

3. Внедрите технические меры:

Разграничение доступа к ПДн по ролям
Шифрование баз данных и каналов передачи
Журналирование доступа к ПДн
Регулярное резервное копирование

4. Обучите сотрудников:

Проведите инструктаж по работе с ПДн
Ознакомьте с ответственностью за разглашение
Подпишите обязательства о неразглашении

5. Реагируйте на инциденты:

С 2025 года оператор обязан уведомить Роскомнадзор об утечке в течение 24 часов
В течение 72 часов — предоставить результаты внутреннего расследования

Создайте полный комплект документов с помощью нашего конструктора документов по 152-ФЗ — это займёт 30–60 минут вместо нескольких дней ручной подготовки.

Мишина Анна

Эксперт Киберосновы

Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.

техническая защитаФСТЭКИСПДншифрование

Часто задаваемые вопросы

Административный штраф за нарушение законодательства о ПДн для юридических лиц составляет от 30 000 до 18 000 000 рублей в зависимости от вида нарушения (ст. 13.11 КоАП РФ). За утечку ПДн с 2025 года введены оборотные штрафы до 3% годовой выручки (но не менее 15 млн и не более 500 млн рублей). Уголовная ответственность по ст. 137 УК РФ — штраф до 300 000 рублей или лишение свободы до 4 лет.

Да. Пункт 6 «в» статьи 81 Трудового кодекса РФ прямо предусматривает увольнение работника за разглашение охраняемой законом тайны, включая персональные данные другого работника. Для законного увольнения необходимо, чтобы работник был ознакомлен с обязанностью не разглашать ПДн (подписано обязательство о неразглашении), а разглашение произошло в связи с исполнением трудовых обязанностей.

Да, если опубликованные данные относятся к частной жизни лица (медицинские данные, семейная тайна, переписка, финансовое положение). По ч. 1 ст. 137 УК РФ предусмотрено наказание до 2 лет лишения свободы. По ст. 272.1 УК РФ (с 2025 года) незаконное использование компьютерных баз с ПДн наказывается штрафом до 300 000 рублей или лишением свободы до 4 лет.

С 2025 года оператор обязан: 1) уведомить Роскомнадзор об утечке в течение 24 часов; 2) провести внутреннее расследование и предоставить его результаты в течение 72 часов; 3) принять меры по минимизации последствий. Наличие надлежащих мер защиты до инцидента (документы, технические меры, обучение) является смягчающим обстоятельством при определении размера штрафа.

Разглашение — это действия, в результате которых ПДн становятся доступны лицам, не имеющим законного основания для их получения. Это может быть: умышленная передача данных (продажа клиентской базы), публикация в интернете или СМИ, утрата документов с ПДн, отправка данных на неверный email, оставление документов в общедоступном месте, недостаточные меры защиты, приведшие к хакерской атаке.

Связанные материалы

Политика обработки ПДнШаблон политики обработки персональных данных — обязательный документ по 152-ФЗ Положение об обработке ПДнВнутренний регламент организации по обработке и защите персональных данных Согласие на обработку ПДнОбразец согласия субъекта на обработку персональных данных Реестр операторов ПДн РоскомнадзораКак проверить наличие и подать уведомление в реестр операторов персональных данных Категории персональных данных4 категории ПДн по 152-ФЗ: специальные, биометрические, общедоступные и иные

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно