Дата публикации 20.06.2025

За нарушение правил хранения и обработки персональных данных законом предусмотрен ряд штрафов и других мер ответственности. В частности, нарушители законодательства о персональных данных (как работодатель, так и работники) могут быть привлечены к дисциплинарной, гражданско-правовой, материальной, административной и уголовной ответственности.

Дисциплинарная ответственность работника

Дисциплинарная ответственность в виде расторжения трудового договора применяется к работнику, который допустил разглашение персональных данных другого работника (пп. "в" п. 6 ч. 1 ст. 81 ТК РФ). Уволить на этом основании можно любого работника, который узнал персональные данные другого работника в процессе выполнения своих трудовых обязанностей и разгласил их в нарушение установленного законом или нормативными актами организации порядка (например, передал третьим лицам без согласия работника).

Рассматривая споры о законности увольнения по этому основанию, суды исходят из того, что работодатель должен доказать, что распространенные сведения являлись персональными данными и стали известны уволенному в связи с исполнением трудовых обязанностей, а также тот факт, что он обязывался их не разглашать (например, согласно условиям трудового договора, должностной инструкции, инструкции о порядке обеспечения конфиденциальности при обращении с персональными данными и т. д.).

Если подобного обязательства работник не давал либо работодатель не смог доказать факт разглашения, работник сможет оспорить увольнение (п. 43 постановления от 17.03.2004 № 2 Пленума Верховного Суда РФ, апелляционное определение Верховного суда Республики Татарстан от 29.08.2013 № 33-10267/13).

При увольнении провинившегося работника следует придерживаться процедуры применения дисциплинарных взысканий, закрепленной в ст. 193 ТК РФ. Подробнее о порядке увольнения читайте в статье "Увольнение сотрудника за разглашение коммерческой тайны или персональных данных другого работника".

Гражданско-правовая ответственность работодателя

Причинение гражданину морального вреда в результате нарушения правил получения, хранения или распространения его персональных данных может послужить основанием для подачи работником гражданского иска на основании ст. 151 ГК РФ, ст. 237 ТК РФ. В случае удовлетворения такого иска суд может обязать работодателя компенсировать причиненный гражданину моральный вред. Помимо этого, на работодателя может быть наложена обязанность опровергнуть сведения, порочащие честь, достоинство и деловую репутацию работника (ст. 152 ГК РФ).

Материальная ответственность работника

Работодатель, возместивший работнику моральный вред, причиненный в результате нарушения законодательства о персональных данных, в свою очередь, может потребовать от работника, по вине которого было допущено это нарушение, возместить причиненный работодателю ущерб (ч. 1 ст. 238 ТК РФ). Под ущербом в данном случае понимается сумма, которую работодатель вынужден был выплатить в качестве возмещения морального вреда (ч. 2 ст. 238 ТК РФ).

Такое право работодателя подтверждается и п. 7 ч. 1 ст. 243 ТК РФ, согласно которому материальная ответственность за разглашение персональных данных лежит на работнике, ответственном за ее неразглашение (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).

Административная ответственность работника и работодателя

1. Неуведомление Роскомнадзора о намерении работать с персональными данными

С 30 мая 2025 года за невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ):

• для граждан в размере от 5 000 до 10 000 руб.;
• для должностных лиц государственного или муниципального органа либо некоммерческой организации (далее – НКО) – от 30 000 до 50 000 руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 100 000 до 300 000 руб.

Отметим, что законодательством предусмотрено смягчение ответственности за правонарушения на основании ч. 1 ст. 4.1.1 КоАП РФ.

Например, в некоторых случаях штраф за совершенное административное правонарушение, в частности, в сфере персональных данных, должен быть заменен на предупреждение. Для замены штрафа должны соблюдаться следующие условия: нарушение было совершено впервые и не повлекло причинение вреда жизни и здоровью людей, окружающей среде и имущественный ущерб. Это правило распространяется на все организации и ИП.

Следовательно, правом на замену штрафа на предупреждение могут воспользоваться некоммерческие организации, субъекты малого и среднего предпринимательства, крупные коммерческие предприятия, а также их работники.

Таким образом, если организация или ИП представит уведомление уже после начала обработки персональных данных, то штрафовать их не будут, а вынесут в их адрес предупреждение.

Если, получив предупреждение, организация или ИП все равно не направит в Роскомнадзор уведомление о начале обработки персональных данных, то ее оштрафуют по ч. 10 ст. 13.11 КоАП РФ на сумму от 100 000 до 300 000 руб.

Ранее в КоАП РФ не было специальной ответственности за неуведомление Роскомнадзора о намерении обрабатывать персональные данные. Поэтому до 30 мая 2025 года применялись нормы ст. 19.7 КоАП РФ, которая устанавливает ответственность за непредставление или несвоевременное представление сведений (информации) в орган государственного контроля (надзора). Эта статья предусматривает наказание в виде предупреждения или штрафа:

• для граждан – в размере от 100 до 300 руб.;
• для должностных лиц и ИП – от 300 до 500 руб.;
• для организаций – от 3 000 до 5 000 руб.

В Законе № 152-ФЗ не установлены точные сроки, в течение которых оператор должен направить в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Единственное требование состоит в том, что уведомление должно быть подано до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ).

Следовательно, непредставление в Роскомнадзор уведомления о намерении обрабатывать персональные данные – это уже нарушение законодательства о персональных данных. Фактически нарушением является обработка персональных данных без уведомления Роскомнадзора. 

По нашему мнению, срок давности привлечения к ответственности за такое правонарушение исчисляется с даты его обнаружения, т. е. с даты, когда Роскомнадзор выяснил, что персональные данные обрабатываются, а уведомление не подавалось. При этом срок давности привлечения к административной ответственности по ст. 13.11 КоАП РФ составляет один год, т. е. постановление по делу об административном правонарушении не может быть вынесено по истечении указанного срока со дня совершения правонарушения (ч. 1 ст. 4.5 КоАП РФ).

Отметим, что практика применения ответственности по новым нормам еще не сформировалась. Кроме того, в настоящее время нет официальных разъяснений Роскомнадзора по вопросу о привлечении оператора к ответственности по ч. 10 ст. 13.11 КоАП РФ.

2. Нарушение целей обработки персональных данных

С 30 мая 2025 года существенно увеличились штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями их сбора.

Новые штрафы составляют (ч. 1 ст. 13.11 КоАП РФ):

• для граждан сумму в размере от 10 000 до 15 000 руб. (ранее – от 2 000 до 6 000 руб.);
• для должностных лиц и ИП – от 50 000 до 100 000 руб. (ранее – от 10 000 до 20 000 руб.);
• для организаций – от 150 000 до 300 000 руб. (ранее – от 60 000 до 100 000 руб.).

За повторное совершение этого же правонарушения с 30 мая 2025 года штраф составит (ч. 1.1 ст. 13.11 КоАП РФ):

• для граждан сумму в размере от 15 000 до 30 000 руб. (ранее – от 4 000 до 12 000 руб.);
• для должностных лиц – от 100 000 до 200 000 руб. (ранее – от 20 000 до 50 000 руб.);
• для организаций и ИП – от 300 000 до 500 000 руб. (ранее для организаций – от 100 000 до 300 000 руб., для ИП – от 50 000 до 100 000 руб.).

3. Обработка персональных данных без согласия

За обработку персональных данных без письменного согласия субъекта персональных данных, когда такое согласие обязательно, если нет признаков уголовно наказуемого деяния, либо обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие на обработку, размеры штрафов не поменялись (ч. 2 ст. 13.11 КоАП РФ):

• для граждан – от 10 000 до 15 000 руб.;
• для должностных лиц и ИП – от 100 000 до 300 000 руб.;
• для организаций – от 300 000 до 700 000 руб.

За повторное совершение указанного правонарушения установлен штраф (ч. 2.1 ст. 13.11 КоАП РФ):

• для граждан в размере от 15 000 до 30 000 руб.;
• для должностных лиц – от 300 000 до 500 000 руб.;
• для индивидуальных предпринимателей – от 500 000 до 1 млн руб.;
• для организаций – от 1 млн до 1,5 млн руб.

4. Нарушение требований к оператору персональных данных

В части ответственности за нарушение требований к оператору штрафы также остались прежними.

За неопубликование документа, определяющего политику оператора персональных данных в отношении обработки персональных данных, или необеспечение доступа к сведениям о реализуемых требованиях к защите персональных данных предусмотрен штраф (ч. 3 ст. 13.11 КоАП РФ):

• для граждан в размере от 1 500 до 3 000 руб.;
• для должностных лиц – от 6 000 до 12 000 руб.;
• для индивидуальных предпринимателей – от 10 000 до 20 000 руб.;
• для организаций – от 30 000 до 60 000 руб.

За несоблюдение оператором, обрабатывающим персональные данные без использования средств автоматизации (вручную), условий, которые обеспечивают сохранность персональных данных, если это повлекло несанкционированный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение или иные неправомерные действия с персональными данными, установлены штрафы в следующих размерах (ч. 6 ст. 13.11 КоАП РФ):

• для граждан в размере от 1 500 до 4 000 руб.;
• для должностных лиц – от 8 000 до 20 000 руб.;
• для индивидуальных предпринимателей – от 20 000 до 40 000 руб.;
• для организаций – от 50 000 до 100 000 руб.

За невыполнение оператором персональных данных (государственным или муниципальным органом) обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию предусмотрен штраф для должностных лиц в размере от 6 000 до 12 000 руб. (ч. 7 ст. 13.11 КоАП РФ).

За невыполнение оператором при сборе персональных данных (в частности, через интернет) обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, предусмотрен штраф (ч. 8, 9 ст. 13.11 КоАП РФ):

• для граждан в размере от 30 000 до 50 000 руб. (от 50 000 до 100 000 руб. – за повторное нарушение);
• для должностных лиц и ИП – от 100 000 до 200 000 руб. (от 500 000 до 800 000 руб. – за повторное нарушение);
• для организаций – от 1 млн до 6 млн руб. (от 6 млн до 18 млн руб. – за повторное нарушение).

5. Нарушения в сфере распоряжения персональными данными

За непредоставление субъекту персональных данных информации об обработке его персональных данных предусмотрен штраф (ч. 4 ст. 13.11 КоАП РФ):

• для граждан в размере от 2 000 до 4 000 руб.;
• для должностных лиц – от 8 000 до 12 000 руб.;
• для индивидуальных предпринимателей – от 20 000 до 30 000 руб.;
• для организаций – от 40 000 до 80 000 руб.

За невыполнение требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировке или уничтожении в установленных законом случаях предусмотрен штраф (ч. 5 ст. 13.11 КоАП РФ):

• для граждан на сумму в размере от 2 000 до 4 000 руб.;
• для должностных лиц – от 8 000 до 20 000 руб.;
• для индивидуальных предпринимателей – от 20 000 до 40 000 руб.;
• для организаций – от 50 000 до 90 000 руб.

За повторное невыполнение требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировке или уничтожении штраф составляет (ч. 5.1 ст. 13.11 КоАП РФ):

• для граждан сумму в размере от 20 000 до 30 000 руб.;
• для должностных лиц – от 30 000 до 50 000 руб.;
• для индивидуальных предпринимателей – от 50 000 до 100 000 руб.;
• для организаций – от 300 000 до 500 000 руб.

Отказ в предоставлении работнику его персональных данных может стать причиной наложения на должностных лиц работодателя штрафа в размере от 5 000 до 10 000 руб. (ст. 5.39 КоАП РФ). Аналогичное наказание может быть применено и в случае нарушения сроков предоставления такой информации, а также если предоставленная информация окажется недостоверной.

6. Неправомерный доступ третьих лиц к персональным данным (утечка персональных данных)

В отдельные составы с 30 мая 2025 года выделены нарушения, касающиеся массовой утечки персональных данных.

При этом ответственность установлена как за неправомерный доступ третьих лиц к персональным данным, так и за несообщение об этом в Роскомнадзор.

Напомним о том, что о неправомерной или случайной передаче персональных данных оператор обязан сообщить в Роскомнадзор в течение 24 часов с момента передачи (п. 1 ч. 3.1 ст. 21 Закона № 152-ФЗ).

С 30 мая 2025 года за неуведомление или несвоевременное уведомление Роскомнадзора об обнаружении неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, в результате которой были нарушены права субъектов таких данных, предусмотрен штраф по ч. 11 ст. 13.11 КоАП РФ:

• для граждан на сумму в размере от 50 000 до 100 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 400 000 до 800 000 руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 1 млн до 3 млн руб.

До 30 мая 2025 года за неподачу таких сведений в Роскомнадзор операторов привлекали к ответственности по ст. 19.7 КоАП РФ.

В части утечки данных также введено несколько видов ответственности, в зависимости от объема утечки данных и разновидности информации.

Так, ответственность за объем утечки данных следующая:

1) за неправомерную передачу (предоставление, распространение, доступ) персональных данных от 1 000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов штраф составляет (ч. 12 ст. 13.11 КоАП РФ):

• для граждан сумму в размере от 100 000 до 200 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 200 000 до 400 000 руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 3 млн до 5 млн руб.

Идентификатор, упомянутый в указанной норме, – это уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (Примечание 4 к ст. 13.11 КоАП РФ);

2) за неправомерную передачу (предоставление, распространение, доступ) персональных данных от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 млн идентификаторов штраф составляет (ч. 13 ст. 13.11 КоАП РФ):

• для граждан сумму в размере от 200 000 до 300 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 300 000 до 500 000 руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 5 млн до 10 млн руб.

3) за неправомерную передачу (предоставление, распространение, доступ) персональных данных более 100 000 субъектов и (или) более 1 млн идентификаторов штраф составляет (ч. 14 ст. 14.11 КоАП РФ):

• для граждан – от 300 000 до 400 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 400 000 до 600 000 руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 10 млн до 15 млн руб.

При этом за повторное совершение одного из указанных нарушений лицом, которому ранее было назначено административное наказание за утечку данных (кроме биометрических) (ч. 12–14, 16–18 ст. 13.11 КоАП РФ), предусмотрены штрафы в следующих размерах (ч. 15 ст. 13.11 КоАП РФ):

• для граждан – от 400 000 до 600 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 800 000 до 1 200 000 руб.;
• для остальных организаций и ИП – от 1 до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за предшествующий году совершения правонарушения календарный год или за часть года, в котором совершено правонарушение (если в предшествующем году не было деятельности);
• для кредитных организаций – от 1 до 3 % размера собственных средств (капитала) на дату совершения правонарушения, но не менее 20 млн руб. и не более 500 млн руб.

Кроме того, отдельная ответственность установлена за виды информации о субъектах персональных данных, которая утекла:

1) за неправомерную передачу (предоставление, распространение, доступ) персональных данных специальной категории (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости) штраф составит (ч. 16 ст. 13.11 КоАП РФ):

• для граждан сумму в размере от 300 000 до 400 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 1 млн до 1, 3 млн руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 10 млн до 15 млн руб.;

2) за неправомерную передачу (предоставление, распространение, доступ) биометрических персональных данных (за исключением случаев обработки таких данных в ЕСИА и иных информационных системах) предусмотрен штраф (ч. 17 ст. 13.11 КоАП РФ):

• для граждан – в размере от 400 000 до 500 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 1 300 000 до 1 500 000 руб.;
• для организаций, которые не являются государственным (муниципальным) органом или НКО, и ИП – от 15 млн до 20 млн руб.

При этом за повторное совершение одного из указанных нарушений лицом, которому ранее было назначено административное наказание за утечку данных (ч. 12–18 ст. 13.11 КоАП РФ), предусмотрены штрафы в следующих размерах (ч. 18 ст. 13.11 КоАП РФ):

• для граждан – от 500 000 до 800 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 1 500 000 до 2 млн руб.;
• для остальных организаций и ИП – от 1 до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг)  за предшествующий году совершения правонарушения календарных год, или за часть года, в котором совершено правонарушение (если в предшествующем году не было деятельности);
• для кредитных организаций – от 1 до 3 % размера собственных средств (капитала) на дату совершения правонарушения, но не менее 25 млн руб. и не более 500 млн руб.

Отметим, что установлены отягчающие обстоятельства, которые будут учитываться при назначении административного наказания за повторные нарушения, связанные с утечкой персональных данных (ч. 15, 18 ст. 13.11 КоАП РФ).

 К таким отягчающим обстоятельствам относятся:

• продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его (п. 1 ч. 1 ст. 4.3 КоАП РФ);
• тот факт, что лицо, которое совершило правонарушение, на момент его совершения (на момент вынесения постановления по делу о правонарушении) считалось или считается подвергнутым наказанию за совершение правонарушений, предусмотренных ч. 1–11 ст. 13.11 КоАП РФ и (или) ст. 13.6, 13.12 КоАП РФ, т. е. в отношении лица ранее было вынесено постановление о привлечении к административной ответственности за указанные нарушения.

При этом наличие отягчающих обстоятельств повлечет наказание в размере верхнего предела санкции.

Уголовная ответственность

Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, а также разглашение таких сведений в публичном выступлении или СМИ (за исключением случаев, предусмотренных ст. 272.1 УК РФ) наказываются (ч. 1 ст. 137 УК РФ):

• штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок до 360 часов;
• либо исправительными работами на срок до 1 года;
• либо принудительными работами на срок до 2 лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до 3 лет или без такового;
• либо арестом на срок до 4 месяцев;
• либо лишением свободы на срок до 2 лет с лишением права занимать определенные должности или вести определенную деятельность на срок до 3 лет.

Согласно ч. 2 ст. 137 УК РФ, незаконные сбор или распространение сведений о частной жизни, совершенные лицом с использованием своего служебного положения, наказываются:

• штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы (иного дохода осужденного) за период от 1 года до 2 лет;
• либо лишением права занимать определенные должности или осуществлять определенную деятельность на срок от 2 до 5 лет;
• либо принудительными работами на срок до 4 лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до 5 лет или без такового;
• либо арестом на срок до 6 месяцев, лишением свободы на срок до 4 лет с лишением права занимать определенные должности или осуществлять определенную деятельность на срок до 5 лет.

Например, к ответственности по ч. 2 ст. 137 УК РФ может быть привлечен работник, ответственный за хранение, обработку и использование персональных данных.

Отметим, что к уголовной ответственности может быть привлечено только физическое лицо, совершившее преступление. Юридические лица к уголовной ответственности не привлекаются.

Нарушения в сфере использования компьютерной информации, содержащей персональные данные

Согласно ч. 1 ст. 272.1 УК РФ, незаконное использование, передача (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем (за исключением деяний, предусмотренных ч. 2 ст. 272.1 УК РФ), наказываются:

• штрафом в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до 1 года;
• либо принудительными работами на срок до 4 лет;
• либо лишением свободы на срок до 4 лет.

Такие же деяния, если они совершены в отношении компьютерной информации, которая содержит персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические персональные данные, наказываются (ч. 2 ст. 272.1 УК РФ):

• штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
• либо принудительными работами на срок до 5 лет;
• либо лишением свободы на срок до 5 лет.

Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные:

• из корыстной заинтересованности;
• с причинением крупного ущерба;
• группой лиц по предварительному сговору;
• с использованием своего служебного положения

наказываются (ч. 3 ст. 272.1 УК РФ):

• штрафом в размере до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• либо лишением свободы на срок до 6 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

Деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих такие данные, наказываются (ч. 4 ст. 272.1 УК РФ):

• лишением свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.

Под трансграничным перемещением носителей, содержащих компьютерную информацию, понимается совершение действий по ввозу на территорию России и (или) вывозу с ее территории машиночитаемого носителя информации (в т. ч. магнитного и электронного), на котором записана и хранится такая информация.

Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой, наказываются (ч. 5 ст. 272.1 УК РФ):

• лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.

Создание или обеспечение работы сайта в интернете (страницы сайта), информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем, наказываются (ч. 6 ст. 272.1 УК РФ):

• штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
• либо принудительными работами на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
• либо лишением свободы на срок до 5 лет со штрафом в размере до 700 000 руб.  или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.