За компрометацию данных от 1 000 до 10 тысяч человек или от 10 тыс. до 100 тыс. уникальных идентификаторов, которые позволяют однозначно определить гражданина, размер штрафа составит:
для граждан — от 100 тыс. до 200 тыс. руб.;
для должностных лиц — от 200 тыс. до 400 тыс. руб.;
для компаний — от 3 млн до 5 млн руб.
За более масштабные происшествия санкции возрастают. Так, за утечку данных более 100 тыс. человек или 1 млн идентификаторов, гражданам грозит штраф в размере от 300 тыс. до 400 тыс. руб.; должностным лицам — от 400 тыс. до 600 тыс. руб.; компаниям — от 10 млн до 15 млн руб.
За неправомерную передачу особо важной информации, например, биометрических персональных данных или специальной категории персданных, при условии, что бизнес ранее уже допускал нарушения по работе с персдаными, будут действовать оборотные штрафы. Для предпринимателей и компаний, кроме НКО, они составят от 1 до 3% от выручки, полученной за год, предшествующий году, в котором выявлено нарушение. При этом есть пороги для штрафа: он должен быть не менее 20 млн и не более 500 млн рублей.