Правительственный законопроект: Закон о защите частной жизни (изменение № 13), 5784-2024

Справочный материал

Переведено: 2026-03-13 · 1 876 слов · Перевод выполнен ИИ

Сравнительный обзор — размеры штрафов за нарушение законов о защите персональных данных

Европейский Союз (GDPR)

10 миллионов евро или 2% совокупного годового глобального оборота за предыдущий финансовый год (из двух сумм — бо́льшая)

Нарушения положений статьи 83(4) GDPR:

  1. Обработка данных о несовершеннолетних без получения согласия (статья 8 GDPR)
  2. Нарушение обязанности обеспечения конфиденциальности по умолчанию и при проектировании (статья 25 GDPR)
  3. Несообщение об инциденте безопасности персональных данных (статьи 33–34)
  4. Несоблюдение требований к документированию операций по обработке данных (статья 30)
  5. Непроведение оценки воздействия на конфиденциальность (статьи 35–36)
  6. Неназначение ответственного за защиту данных в организации (DPO) (статьи 37–39)

20 миллионов евро или 4% совокупного годового глобального оборота за предыдущий финансовый год (из двух сумм — бо́льшая)

Нарушения положений статей 83(5)–83(6):

  1. Нарушение принципов обработки персональных данных (законная, добросовестная и прозрачная обработка, для легитимной цели и др.) (статья 5 GDPR)
  2. Обработка данных не в соответствии с правовыми основаниями (статья 6 GDPR)
  3. Обработка данных без соблюдения условий получения согласия (статья 7 GDPR)
  4. Нарушение положений об обработке данных особой чувствительности (статья 9 GDPR)
  5. Непредоставление прав субъектов данных (обязанность уведомления, право на доступ, право на исправление, право на забвение, право на возражение против обработки и др.) (статьи 12–22 GDPR)
  6. Передача данных за пределы Европейского Союза или международной организации (статьи 44–49)
  7. Нарушение предписания, вынесенного национальным органом по защите данных, или отказ от сотрудничества в соответствии со статьями 58(1) или 58(2), включая: предписание о прекращении обработки, предписание о предоставлении права субъекту данных, предписание об устранении нарушений, предписание о прекращении передачи данных в иностранное государство.

Ирландия

10 миллионов евро или 2% глобального оборота — за нарушения статьи 83(4) GDPR

Примеры наложенных штрафов:

  1. Штраф 463 тысячи евро на банк за непринятие надлежащих технических и организационных мер по обеспечению безопасности данных.
  2. Штраф 450 тысяч евро на компанию Twitter (ныне X) за ненадлежащее выполнение обязанности по уведомлению об инциденте безопасности данных.

20 миллионов евро или 4% глобального оборота — за нарушения статей 83(5)–83(6) GDPR

Примеры наложенных штрафов:

  1. Штраф 1,2 миллиарда евро на компанию Meta за передачу данных в государство за пределами Европы в нарушение положений GDPR.
  2. Штраф 345 миллионов евро на компанию TikTok за несоблюдение принципов минимизации данных, конфиденциальности и добросовестности, а также за невыполнение требований об уведомлении в отношении получателей собранных данных.

50 тысяч евро — за следующие нарушения:

  1. Требование к работнику, кандидату или поставщику услуг подать запрос на доступ к данным о нём (статья 4 ирландского закона)
  2. Обработка данных о судимости (статья 55 ирландского закона)
  3. Передача данных без полномочий держателем (статья 144 ирландского закона)
  4. Передача данных, полученных без полномочий (статья 145 ирландского закона)

250 тысяч евро — за следующие нарушения:

  1. Воспрепятствование деятельности регулятора (статья 130 ирландского закона)
  2. Неисполнение требования органа по защите данных (статья 132)
  3. Невыполнение предписаний органа по защите данных (статья 133)
  4. Воспрепятствование составлению отчёта (статья 135)
  5. Воспрепятствование расследованию (статья 138)

1 миллион евро — для государственных органов (в соответствии со статьёй 83(7) GDPR, государства вправе устанавливать особые штрафы для государственных органов).

Пример: штраф 110 тысяч евро на муниципальный совет за нарушение принципов обработки данных, обязанности по обеспечению прозрачности, уведомлению и предоставлению права на доступ.

Франция

10 миллионов евро или 2% глобального оборота — за нарушения статьи 83(4) GDPR (статья 20(7) французского закона)

Пример: штраф 1,5 миллиона евро на компанию за непринятие надлежащих технических и организационных мер по обеспечению безопасности данных.

20 миллионов евро или 4% глобального оборота — за нарушения статей 83(5)–83(6) GDPR (статья 20(7) французского закона)

Примеры:

  1. Штраф 50 миллионов евро на компанию Google за обработку данных без правового основания и невыполнение обязанности по обеспечению прозрачности.
  2. Штраф 40 миллионов евро на компанию интернет-рекламы и маркетинга за неполучение надлежащего согласия, невыполнение обязанности по обеспечению прозрачности, непредоставление права на доступ и права на удаление данных.

Германия

50 тысяч евро — за нарушения обязанностей, связанных с потребительским кредитованием (статья 43 германского закона)

10 миллионов евро или 2% глобального оборота — за нарушения статьи 83(4) GDPR (статья 41 германского закона)

Пример: штраф 1,24 миллиона евро на компанию медицинского страхования за невыполнение обязанностей по обеспечению безопасности данных.

20 миллионов евро или 4% глобального оборота — за нарушения статей 83(5)–83(6) GDPR (статья 41 германского закона)

Примеры:

  1. Штраф 35 миллионов евро на компанию H&M за обработку данных о работниках в нарушение принципов обработки данных и без правового основания.
  2. Штраф 10 миллионов евро на компанию за видеонаблюдение за работниками в нарушение принципов обработки данных и без правового основания.

Великобритания

10 миллионов евро или 2% глобального оборота — за нарушения:

  1. Положений статьи 83(4) GDPR
  2. Положений GDPR, не упомянутых в статье 83 (статья 157(1)(b) британского закона)
  3. Иных статей британского закона, касающихся обработки данных правоохранительными и разведывательными органами, не подпадающих под более высокий штраф (статьи 157(2–3)(b))

20 миллионов евро или 4% глобального оборота — за нарушения:

  1. Положений статьи 83(5) GDPR
  2. Неисполнение требования о предоставлении информации, запроса о проверке деятельности или предписания о правоприменении (статья 157(4))
  3. Определённых положений об обработке данных правоохранительными органами (часть 3 британского закона)
  4. Определённых положений об обработке данных разведывательными службами (часть 4 британского закона)

Примеры:

  1. Штраф 12,7 миллиона евро на компанию TikTok за несоблюдение принципов обработки данных и обязанности по уведомлению.
  2. Штраф 20,45 миллиона евро на сеть отелей Marriott за нарушение принципа надёжности и конфиденциальности и невыполнение обязанностей по обеспечению безопасности данных.

Италия

10 миллионов евро или 2% глобального оборота — за нарушения статьи 83(4) GDPR (статья 166 итальянского закона)

20 миллионов евро или 4% глобального оборота — за нарушения статей 83(5)–83(6) GDPR (статья 166 итальянского закона)

Примеры:

  1. Штраф 27 миллионов евро на телекоммуникационную компанию TIM за неполучение необходимого согласия, нарушение принципов обработки данных и непредоставление прав субъектов данных.
  2. Штраф 20 миллионов евро на компанию технологии распознавания лиц за обработку данных без правового основания и нарушение принципов обработки данных.

Испания

10 миллионов евро или 2% глобального оборота — за нарушения статьи 83(4) GDPR (статья 76 испанского закона)

Пример: штраф 4 миллиона евро (из общего штрафа в 8 миллионов евро) на телекоммуникационную компанию за нарушение обязанностей, связанных с договором между владельцем базы данных и держателем.

20 миллионов евро или 4% глобального оборота — за нарушения статей 83(5)–83(6) GDPR (статья 76 испанского закона)

Пример: штраф 6 миллионов евро на банк за обработку данных без правового основания и невыполнение обязанности по уведомлению.

Португалия

От 5 000 евро до 20 миллионов евро или 4% годового оборота — для крупных компаний От 2 000 евро до 2 миллионов евро или 4% годового оборота — для малых и средних предприятий От 1 000 евро до 500 тысяч евро — для физических лиц

За следующие нарушения:

  1. Нарушение принципов обработки персональных данных (статья 5 GDPR)
  2. Обработка данных не в соответствии с правовыми основаниями (статья 6 GDPR)
  3. Обработка данных без соблюдения условий согласия (статья 7 GDPR)
  4. Нарушение положений об обработке данных особой чувствительности (статья 9 GDPR)
  5. Нарушение положений об обработке данных о судимости (статья 10 GDPR)
  6. Нарушение определённых обязанностей по уведомлению (статьи 13–14 GDPR)
  7. Непредоставление прав субъектов данных (статьи 15–22 GDPR)
  8. Нарушение положений о передаче данных в государство за пределами ЕС (статьи 44–49 GDPR)
  9. Неисполнение предписаний национального органа по защите данных по статье 58(2) GDPR или отказ от сотрудничества

Пример: штраф 4,3 миллиона евро на Центральное статистическое управление за нарушение положений об обработке персональных данных, невыполнение обязанности по обеспечению прозрачности и уведомлению, а также невыполнение обязанностей, связанных с передачей данных в другое государство.

От 2 500 евро до 10 миллионов евро или 2% годового оборота — для крупных компаний От 1 000 евро до 1 миллиона евро или 2% годового оборота — для малых и средних предприятий От 500 евро до 250 тысяч евро — для физических лиц

За следующие нарушения:

  1. Обработка данных о несовершеннолетних без согласия (статья 8 GDPR)
  2. Нарушение иных обязанностей по уведомлению (статьи 13–14 GDPR)
  3. Нарушение обязанностей держателя (статьи 25–37 GDPR)
  4. Нарушение положений о назначении ответственного за защиту данных — DPO (статьи 37–39 GDPR)

Бразилия

2% оборота, максимум 9,3 миллиона евро

За нарушение всех положений закона (статья 52 бразильского закона), в том числе:

  1. Нарушение принципов обработки персональных данных (точная, безопасная и прозрачная обработка, для легитимной цели и др.) (статья 6)
  2. Обработка данных не в соответствии с правовыми основаниями (статья 7)
  3. Обработка данных без соблюдения условий согласия (статья 8)
  4. Нарушение положений об обработке данных особой чувствительности (статья 11)
  5. Непредоставление прав субъектов данных (статьи 17–22)
  6. Обработка данных государственными органами (статьи 23–32)
  7. Передача данных за пределы Бразилии (статьи 33–36)
  8. Нарушение предписания органа по защите данных или отказ от сотрудничества (статья 52), включая: предписание о прекращении обработки, предписание об устранении нарушений, удалении персональных данных, связанных с нарушением.

Австралия

1,5 миллиона евро — для физических лиц 30,5 миллиона евро — для компаний, либо трёхкратный размер прибыли, полученной в результате нарушения, либо 30% делового оборота компании за период нарушения

За нарушение конфиденциальности в соответствии с определением закона (статья 13G австралийского закона). Закон определяет нарушение конфиденциальности как любое действие, нарушающее один из австралийских принципов конфиденциальности в отношении персональных данных лица.

Австралийские принципы конфиденциальности включают, среди прочего (Приложение 1 к закону):

  • Прозрачность обработки данных
  • Принципы обработки персональных данных
  • Обязанность уведомления
  • Привязка к цели
  • Безопасность данных
  • Права субъектов данных
  • Передача данных за пределы Австралии
  • Прямая рассылка

Швейцария

266 483 евро

За следующие нарушения:

  1. Невыполнение обязанности по уведомлению (статьи 19 и 21 швейцарского закона)
  2. Непредоставление права на доступ (статьи 25–27)
  3. Нарушение положений о передаче данных за рубеж (статья 16)
  4. Невыполнение обязанностей держателя (статья 9)
  5. Невыполнение обязанностей по обеспечению безопасности данных (статья 8)
  6. Нарушение обязанности конфиденциальности (статья 62)
  7. Отказ от сотрудничества с органом по защите данных (статья 63)

Примеры штрафов, наложенных в последние годы в иных государствах

Государство Нарушитель Нарушения Сумма штрафа
Нидерланды Налоговое управление Обработка данных без правового основания, неточные данные, чрезмерный срок хранения, ненадлежащая защита 3,7 млн евро
Нидерланды Uber Нарушение обязанности уведомления при передаче данных за пределы ЕС, нарушение обязанности прозрачности и уведомления 10 млн евро
Нидерланды Муниципалитет г. Энсхеде Обработка данных без правового основания и нарушение принципов обработки 600 тыс. евро
Швеция Страховая компания Невыполнение обязанностей по обеспечению безопасности данных и нарушение принципов надёжности и конфиденциальности 2,8 млн евро
Швеция Spotify Невыполнение обязанности прозрачности и права на доступ 5 млн евро
Хорватия Компания по взысканию долгов Нарушение принципов обработки, обработка без правового основания, обработка чувствительных данных, нарушение обязанности прозрачности и уведомления, нарушение обязанностей по безопасности данных 5,47 млн евро
Греция Компания технологии распознавания лиц Нарушение принципов обработки, обязанности прозрачности, уведомления и права на доступ 20 млн евро
Норвегия Приложение для знакомств Обработка данных без правового основания, получение недействительного согласия, обработка чувствительных данных без надлежащего основания 6,5 млн евро
Южная Корея Телекоммуникационная компания Нарушение обязанностей по безопасности данных и невыполнение требования об удалении данных, собранных для временных целей 4,7 млн евро
Южная Корея Meta и Google Обработка данных без правового основания и невыполнение обязанности по уведомлению 70 млн евро

Данный перевод выполнен ИИ на основе официального текста Кнессета и может содержать неточности. Подробнее о методологии.

Другие документы этого законопроекта