Обновлено: июнь 2025. Проверено юристом по информационному праву.

Штрафы за нарушение 152-ФЗ для юридических лиц в 2026 году достигают 500 000 рублей по отдельным составам, а за утечку персональных данных действуют оборотные санкции — до 3% от годовой выручки, но не менее 15 млн рублей. Роскомнадзор проверяет сайты на наличие политики конфиденциальности, корректность согласий, cookie-баннеры и соблюдение требований локализации. Ниже — полная таблица штрафов по ст. 13.11 КоАП, разбор составов нарушений и практический чеклист.

Что такое 152-ФЗ и кто такой оператор персональных данных

152-ФЗ — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Он устанавливает правила сбора, хранения и использования любой информации о людях: имён, телефонов, email-адресов, IP-адресов и других сведений, по которым можно опознать конкретного человека.

Оператор персональных данных — любая организация или предприниматель, который собирает или использует данные людей. Если на вашем сайте есть форма «оставьте заявку» или «подпишитесь на рассылку» — вы уже оператор, независимо от размера бизнеса.

Персональные данные — любая информация, прямо или косвенно относящаяся к конкретному физическому лицу: имя, телефон, email, адрес, IP-адрес, cookie-идентификаторы (ст. 3 152-ФЗ).

Простое правило: если у вас есть сайт с формой обратной связи, интернет-магазин или CRM с данными клиентов — вы оператор ПДн и обязаны соблюдать 152-ФЗ.

Административная ответственность за нарушения 152-ФЗ сосредоточена в статье 13.11 КоАП РФ. Именно на неё ссылается Роскомнадзор в предписаниях и постановлениях о штрафе.

Какой закон регулирует штрафы за персональные данные

Хронология ключевых изменений:

  • 2017 — статья 13.11 КоАП расширена с одного состава до семи, штрафы выросли кратно
  • 2022 — введена обязанность уведомлять РКН об утечках в течение 24–72 часов
  • 2023 — Федеральный закон № 266-ФЗ от 14.07.2022 существенно переработал 152-ФЗ (вступил в силу поэтапно с 01.09.2022 и 01.03.2023): новые правила трансграничной передачи, расширение прав субъектов, ужесточение требований к согласию
  • 2024 — принят закон об оборотных штрафах за утечки персональных данных (Федеральный закон № 421-ФЗ от 30.11.2024), вступивший в силу с 30 мая 2025 года
  • 2025–2026 — оборотные штрафы применяются в полном объёме, Роскомнадзор наращивает число внеплановых проверок

Уточните в первоисточнике: конкретные даты поэтапного вступления в силу отдельных положений 266-ФЗ и 421-ФЗ рекомендуется проверять в актуальной редакции на официальном портале правовой информации (publication.pravo.gov.ru).

Почему это важно именно сейчас. До 2025 года даже крупная компания платила фиксированный штраф — неприятный, но не критичный. С мая 2025 года штраф за утечку данных привязан к выручке. Для бизнеса с оборотом от 100 млн рублей минимальная санкция начинается с 15 млн рублей — вне зависимости от расчётной суммы. Это меняет всё.

Размеры штрафов за персональные данные в 2026 году — полная таблица

По состоянию на июнь 2025 года, на основании редакции ст. 13.11 КоАП РФ с учётом изменений, внесённых Федеральным законом № 421-ФЗ от 30.11.2024 и Федеральным законом № 589-ФЗ от 12.12.2023. Конкретные размеры санкций уточняйте в актуальной редакции КоАП РФ на ras.consultant.ru или publication.pravo.gov.ru.

Состав нарушения Физлицо Должностное лицо ИП Юрлицо
Обработка ПДн без согласия (ч. 2 ст. 13.11) 6 000 – 10 000 руб. 20 000 – 40 000 руб. 20 000 – 40 000 руб. 30 000 – 150 000 руб.
Отсутствие политики конфиденциальности / непредоставление информации субъекту (ч. 3 ст. 13.11) 1 500 – 3 000 руб. 6 000 – 12 000 руб. 6 000 – 12 000 руб. 15 000 – 30 000 руб.
Обработка ПДн, несовместимая с целями сбора (ч. 1 ст. 13.11) 2 000 – 6 000 руб. 10 000 – 20 000 руб. 10 000 – 20 000 руб. 60 000 – 100 000 руб.
Нарушение прав субъекта при автоматизированной обработке (ч. 4 ст. 13.11) 4 000 – 6 000 руб. 10 000 – 22 000 руб. 10 000 – 22 000 руб. 25 000 – 50 000 руб.
Нарушение требований к защите ПДн (ч. 5 ст. 13.11) 700 – 2 000 руб. 4 000 – 10 000 руб. 4 000 – 10 000 руб. 25 000 – 50 000 руб.
Повторное нарушение ч. 2 (обработка без согласия) 10 000 – 20 000 руб. 40 000 – 100 000 руб. 40 000 – 100 000 руб. 300 000 – 500 000 руб.
Нарушение требований локализации (ч. 8 ст. 13.11) 800 000 – 1 000 000 руб. 6 000 000 – 18 000 000 руб.
Утечка ПДн (до 1 000 субъектов) 400 000 – 800 000 руб. 3 000 000 – 5 000 000 руб.
Утечка ПДн (от 10 000 субъектов и более) 800 000 – 1 000 000 руб. Оборотный штраф
Повторная утечка до 2 000 000 руб. Оборотный штраф (повышенный)

При наличии смягчающих обстоятельств штраф может быть снижен судом ниже минимального предела в порядке, предусмотренном ч. 2.2 и 2.3 ст. 4.1 КоАП РФ. Конкретный порог снижения применяется с учётом категории субъекта и состава нарушения — уточняйте в актуальной редакции КоАП.

Оборотные штрафы за утечку персональных данных: как считаются и кому грозят

Оборотный штраф — санкция, размер которой рассчитывается как процент от совокупной выручки компании за календарный год, предшествующий году нарушения. Не фиксированная сумма, а доля от вашего оборота.

За что назначается (по состоянию на июнь 2025 года; уточняйте в актуальной редакции 421-ФЗ и ст. 13.11 КоАП):

  • утечка персональных данных, затронувшая 10 000 субъектов и более
  • повторная утечка в течение одного года независимо от масштаба
  • умышленные действия, повлёкшие компрометацию биометрических данных или специальных категорий ПДн — сведений о здоровье, политических взглядах, религиозных убеждениях и т. д. (ст. 10 152-ФЗ)

Формула расчёта:

Штраф = Выручка за предшествующий год × Ставка (от 1% до 3%)
  • Минимальный порог: 15 000 000 рублей — даже если расчётная сумма окажется ниже
  • Максимальный порог: 500 000 000 рублей
  • При повторной утечке: ставка повышается до 3%, минимум 25 000 000 рублей

Уточните в первоисточнике: точные пороговые значения ставок и критерии их применения установлены непосредственно в ст. 13.11 КоАП РФ в редакции 421-ФЗ — сверяйтесь с актуальным текстом закона.

Пример расчёта для небольшой компании:

Интернет-магазин с годовой выручкой 800 млн рублей допустил утечку базы из 50 000 клиентских записей. Суд применяет ставку 1,5%.

800 000 000 × 0,015 = 12 000 000 руб.

Результат ниже минимума — штраф всё равно составит 15 000 000 рублей.

Для компании с выручкой 5 млрд рублей при той же ставке: 75 000 000 рублей.

Важно: оборотный штраф назначает суд по заявлению Роскомнадзора. Если вы сами уведомили РКН об утечке в срок — 24 часа на первичное уведомление, 72 часа на полное с описанием принятых мер — это смягчающее обстоятельство, которое суд учитывает при определении размера штрафа.

За что конкретно штрафует Роскомнадзор

Обработка персональных данных без согласия

Самый частый состав. Форма обратной связи, заявка на услугу, подписка на рассылку — всё это сбор персональных данных. Если нет чекбокса с явным согласием и ссылкой на политику конфиденциальности — оператор нарушает ч. 2 ст. 13.11 КоАП. Штраф для юрлица: от 30 000 до 150 000 рублей. При повторном нарушении — до 500 000 рублей.

Отсутствие политики конфиденциальности на сайте

Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (ч. 2 ст. 18.1 152-ФЗ). Документа нет, он не обновлялся несколько лет или в нём отсутствуют обязательные сведения — всё это нарушение ч. 3 ст. 13.11 КоАП. Штраф для юрлица: от 15 000 до 30 000 рублей. Сумма небольшая, но нарушение выявляется автоматически — РКН использует сканеры сайтов.

Передача данных третьим лицам без основания

Если вы отдаёте обработку данных подрядчику без договора поручения обработки (ст. 6 152-ФЗ) или передаёте данные третьим лицам без согласия субъекта или иного законного основания — это нарушение. Особенно актуально для компаний, подключивших аналитические сервисы и CRM-системы, которые обрабатывают данные за пределами России.

Нарушение трансграничной передачи

С 1 марта 2023 года (в соответствии с 266-ФЗ) до начала передачи данных за рубеж необходимо уведомить РКН. Передача в страны без адекватного уровня защиты без выполнения требований ст. 12 152-ФЗ — отдельный состав. Штраф за нарушение требований локализации (хранение данных российских пользователей на серверах за рубежом без оснований): от 6 до 18 млн рублей для юрлиц (ч. 8 ст. 13.11 КоАП).

Уточните в первоисточнике: перечень стран с адекватным уровнем защиты публикуется Роскомнадзором и может обновляться — сверяйтесь с актуальным перечнем на rkn.gov.ru.

Необработка запроса субъекта ПДн

Клиент вправе запросить сведения о своих данных, потребовать их уточнения, блокирования или удаления (ст. 14, 20, 21 152-ФЗ). На предоставление информации — 30 дней, на уничтожение или блокирование незаконно обрабатываемых данных — 7 рабочих дней. Игнорирование или формальная отписка — нарушение ч. 4 ст. 13.11 КоАП.

Уточните в первоисточнике: конкретные сроки ответа на различные виды обращений установлены в ст. 14, 20, 21 152-ФЗ — сверяйтесь с актуальной редакцией закона.

Утечка данных — новый самостоятельный состав

Федеральный закон № 421-ФЗ ввёл отдельный состав за утечку персональных данных. Ключевой момент: штраф назначается не только за сам факт утечки, но и за несвоевременное уведомление РКН. Первичное уведомление — в течение 24 часов; полное уведомление с описанием причин и принятых мер — в течение 72 часов с момента обнаружения инцидента.

Неуведомление РКН об операторской деятельности

Большинство организаций, обрабатывающих ПДн с использованием средств автоматизации, обязаны направить уведомление в Роскомнадзор до начала обработки (ст. 22 152-ФЗ). Исключения перечислены в ч. 2 ст. 22 152-ФЗ (например, обработка данных работников в рамках трудового договора), но они ограничены. Работа без уведомления при отсутствии оснований для освобождения влечёт административную ответственность.

Как проходят проверки Роскомнадзора в 2025–2026 годах

Плановые проверки включаются в ежегодный план РКН, публикуемый на официальном сайте ведомства. Крупные операторы — банки, медицинские организации, маркетплейсы — проверяются регулярно.

Внеплановые проверки инициируются:

  • по жалобе субъекта персональных данных
  • при поступлении информации об утечке (в том числе из публичных источников — Telegram-каналов с базами данных)
  • по межведомственным запросам (ФСБ, прокуратура)
  • по результатам автоматизированного мониторинга сайтов

Что проверяют на сайте:

  1. Наличие и содержание политики в отношении обработки персональных данных
  2. Форма согласия — явная, не предзаполненная по умолчанию
  3. Cookie-баннер с возможностью отказаться от нефункциональных cookies
  4. Формы сбора данных — корректность и наличие ссылки на политику
  5. Ссылки на политику при каждой форме сбора данных
  6. Контактные сведения оператора для обращений субъектов
  7. Соответствие политики реальной практике обработки

Если вам пришло письмо или предписание от РКН — не игнорируйте.

Предписание — это не штраф, а требование устранить нарушение. Срок исполнения обычно 30–60 дней. Если нарушение устранено и подтверждено документально — штраф может не последовать или быть снижен. Если предписание проигнорировано — штраф назначается по совокупности нарушений, к которым добавляется состав за неисполнение законного предписания контролирующего органа (ч. 1 ст. 19.5 КоАП РФ). Первое, что нужно сделать: разобраться, какое именно нарушение выявлено, и проверить сайт по чеклисту ниже.

Чеклист соответствия 152-ФЗ: минимум для бизнеса

  • Подать уведомление в Роскомнадзор о статусе оператора персональных данных (через портал РКН или Госуслуги) при отсутствии оснований для освобождения по ч. 2 ст. 22 152-ФЗ
  • Разработать политику в отношении обработки персональных данных с обязательными разделами: цели обработки, правовые основания, состав данных, сроки хранения, способы обработки, права субъекта, контакты оператора (ч. 2 ст. 18.1 152-ФЗ)
  • Разместить политику в публичном доступе и добавить ссылку на неё во всех формах сбора данных
  • Добавить чекбокс согласия к каждой форме — отдельный, не заполненный по умолчанию; содержание согласия должно соответствовать требованиям ч. 4 ст. 9 152-ФЗ
  • Установить cookie-баннер с возможностью принять или отказаться от нефункциональных cookies
  • Назначить ответственного за организацию обработки персональных данных (ч. 1 ст. 18.1 152-ФЗ; внутренний приказ)
  • Проверить договоры с подрядчиками — там, где они обрабатывают ПДн по поручению, необходим договор поручения обработки (ч. 3 ст. 6 152-ФЗ)
  • Убедиться, что первичная запись и накопление данных российских граждан ведётся на серверах, расположенных в России (ч. 5 ст. 18 152-ФЗ)
  • Настроить процедуру ответа на запросы субъектов — ответственный сотрудник, сроки, шаблоны
  • Настроить процедуру уведомления РКН при утечке — 24 часа на первичное уведомление, 72 часа на полное

Часто задаваемые вопросы

Штрафуют ли ИП по 152-ФЗ?

Да. ИП как оператор персональных данных несёт административную ответственность по статье 13.11 КоАП РФ. По большинству составов ИП приравнивается к должностным лицам либо выделяется в отдельную категорию. Оборотные штрафы за утечку формально распространяются и на ИП — их механика привязана к совокупной выручке, что на практике означает существенную нагрузку для ИП с оборотом выше пороговых значений.

Уточните в первоисточнике: применение оборотных штрафов к ИП и порядок расчёта базы для них рекомендуется уточнять в актуальной редакции 421-ФЗ и складывающейся правоприменительной практике.

Можно ли отделаться предупреждением вместо штрафа?

При первичном нарушении и добровольном устранении — возможно. КоАП РФ допускает замену штрафа предупреждением для субъектов малого и среднего предпринимательства при соблюдении условий ст. 4.1.1 КоАП: нарушение совершено впервые и не причинило вреда. Это не происходит автоматически: нужно активно взаимодействовать с РКН и представить доказательства устранения нарушения.

Как оспорить штраф Роскомнадзора?

Постановление о штрафе обжалуется: физическими и должностными лицами — в районный суд; юридическими лицами и ИП — в арбитражный суд. Срок обжалования — 10 суток с момента получения копии постановления (ст. 30.3 КоАП РФ). Основания: процессуальные нарушения при проверке, неверная квалификация состава, истечение срока давности (по большинству составов ст. 13.11 КоАП — 1 год со дня нарушения, ст. 4.5 КоАП РФ).

Форма обратной связи на сайте — это сбор ПДн?

Да, если через неё собираются имя, телефон, email или иные сведения, позволяющие идентифицировать физическое лицо (ст. 3 152-ФЗ). Такой сбор требует правового основания (как правило, согласия), ссылки на политику обработки ПДн и отражения соответствующей цели в уведомлении в РКН.

Что будет, если проигнорировать предписание РКН?

Неисполнение предписания в срок — самостоятельный состав нарушения по ч. 1 ст. 19.5 КоАП РФ, который добавляется к первоначальному. Итоговая сумма санкций суммируется. Кроме того, игнорирование предписания исключает возможность получить предупреждение вместо штрафа и сильно ослабляет позицию при обжаловании. Правильная тактика: ответить на предписание письменно, устранить нарушения и направить в РКН подтверждающие документы до истечения указанного срока.

Главное о штрафах за персональные данные в 2026 году

Ключевой вывод. С 30 мая 2025 года штрафы за персональные данные перестали быть «терпимыми издержками». Оборотные санкции за утечку стартуют от 15 млн рублей вне зависимости от размера бизнеса. При этом большинство нарушений, за которые штрафует Роскомнадзор, устраняются за один день: добавить чекбокс согласия, разместить политику конфиденциальности, настроить cookie-баннер. Проверьте сайт до того, как это сделает РКН.

  • Статья 13.11 КоАП содержит более десяти самостоятельных составов с разными санкциями для физических лиц, должностных лиц, ИП и организаций
  • С 30 мая 2025 года действуют оборотные штрафы за утечку ПДн: минимум 15 млн рублей, максимум 500 млн рублей (уточняйте в актуальной редакции 421-ФЗ)
  • Роскомнадзор проверяет сайты в том числе автоматически — отсутствие политики обработки ПДн или некорректный cookie-баннер выявляются без выезда
  • Повторное нарушение кратно увеличивает штраф и исключает замену предупреждением
  • Уведомление РКН об утечке в срок 24/72 часа — смягчающее обстоятельство при определении размера оборотного штрафа
  • Малый бизнес и ИП подпадают под действие 152-ФЗ в том же объёме, что и крупные компании

Проверьте свой сайт бесплатно

Получили письмо от РКН или просто не уверены, что сайт соответствует 152-ФЗ? Проверьте его прямо сейчас на ЧистыйСайт — сервис за несколько минут покажет, есть ли на вашем сайте нарушения по политике конфиденциальности, формам согласия и cookie-баннеру.

→ Бесплатно проверить сайт на ЧистыйСайт

Нормативные источники:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  • Статья 13.11 КоАП РФ (в редакции Федерального закона № 421-ФЗ от 30.11.2024)
  • Федеральный закон от 12.12.2023 № 589-ФЗ (поправки к ст. 13.11 КоАП РФ)
  • Федеральный закон от 14.07.2022 № 266-ФЗ (изменения 152-ФЗ)
  • Официальный сайт Роскомнадзора: rkn.gov.ru