Штрафы за нарушение 152-ФЗ в 2026 году: полная таблица

Штраф 15 миллионов рублей за утечку данных 100 000 клиентов — это не угроза на будущее. Это действующая санкция, которую РКН применяет с 30 мая 2025 года. А за повторную утечку закон предусматривает оборотный штраф до 500 миллионов рублей. При этом скидка 50% при быстрой оплате, которая действует для большинства КоАП-штрафов, для ст. 13.11 полностью исключена.
Разбираем все составы нарушений по актуальной редакции ст. 13.11 КоАП РФ — с суммами, нюансами по ИП и реальными примерами.
Актуально по состоянию на: 420-ФЗ от 30.11.2024, вступил в силу 30.05.2025; 23-ФЗ от 28.02.2025, вступил в силу 01.07.2025.
Почему штрафы выросли в 2025 году
Федеральный закон № 420-ФЗ от 30 ноября 2024 года внёс масштабные изменения в ст. 13.11 КоАП РФ, вступившие в силу 30 мая 2025 года. Поправки стали законодательным ответом на волну крупных утечек 2022–2024 годов: СДЭК, «Яндекс Еда», ВКонтакте и сотни менее известных случаев.
Ключевые изменения 420-ФЗ:
- Базовые штрафы для юридических лиц выросли в 2–5 раз
- Введена оборотная ответственность за повторные утечки (до 500 млн руб.)
- Введены отдельные составы за утечку спецкатегорий ПД и биометрии (ч.16–17)
- Скидка 50% при быстрой оплате исключена для всех составов ст. 13.11
- Введены отдельные санкции за нарушение локализации (ч.8) и неуведомление об инциденте (ч.11)
Параллельно 23-ФЗ от 28.02.2025 (вступил в силу 01.07.2025) запретил обработку персональных данных граждан РФ с использованием баз данных, расположенных за рубежом. Это превратило использование зарубежных CRM и сервисов рассылок без российского зеркала в нарушение ч. 8 ст. 13.11.
Полная таблица штрафов по ст. 13.11 КоАП РФ (редакция 420-ФЗ, с 30.05.2025)
Часть 1: Обработка без законного основания или в нарушение целей
Обработка персональных данных в случаях, не предусмотренных законодательством, либо несовместимая с целями сбора.
| Субъект | Штраф |
|---|---|
| Гражданин | 10 000 — 15 000 руб. |
| Должностное лицо | 50 000 — 100 000 руб. |
| ИП | 10 000 — 15 000 руб. (приравнен к гражданину / должностному лицу) |
| Юридическое лицо | 150 000 — 300 000 руб. |
Важно для ИП: по ч. 1 ИП несёт ответственность как гражданин или должностное лицо — НЕ как юридическое лицо.
Часть 1.1: Повторное нарушение по ч. 1
| Субъект | Штраф |
|---|---|
| Гражданин | 15 000 — 30 000 руб. |
| Должностное лицо | 100 000 — 200 000 руб. |
| ИП | 300 000 — 500 000 руб. (приравнен к юрлицу) |
| Юридическое лицо | 300 000 — 500 000 руб. |
Важно: при повторном нарушении (ч. 1.1) ИП уже приравнивается к юридическому лицу.
Часть 2: Обработка без письменного согласия
Обработка ПД без письменного согласия субъекта, когда такое согласие обязательно по закону, либо с нарушением требований к составу согласия.
| Субъект | Штраф |
|---|---|
| Гражданин | 10 000 — 15 000 руб. |
| Должностное лицо | 100 000 — 300 000 руб. |
| ИП | 100 000 — 300 000 руб. (как должностное лицо) |
| Юридическое лицо | 300 000 — 700 000 руб. |
Часть 2.1: Повторное нарушение по ч. 2
| Субъект | Штраф |
|---|---|
| Гражданин | 15 000 — 30 000 руб. |
| Должностное лицо | 300 000 — 500 000 руб. |
| ИП | 500 000 — 1 000 000 руб. |
| Юридическое лицо | 1 000 000 — 1 500 000 руб. |
Часть 3: Отсутствие политики обработки ПД
Отсутствие опубликованной политики обработки персональных данных или закрытый доступ к ней.
| Субъект | Штраф |
|---|---|
| Гражданин | 1 500 — 3 000 руб. |
| Должностное лицо | 6 000 — 12 000 руб. |
| ИП | 10 000 — 20 000 руб. |
| Юридическое лицо | 30 000 — 60 000 руб. |
Это «входной» штраф — небольшой, но выявляется при любой проверке и служит основанием для углублённой инспекции.
Часть 4: Непредоставление информации субъекту ПД
Неответ на запрос субъекта о его данных, целях и основаниях обработки.
| Субъект | Штраф |
|---|---|
| Гражданин | 2 000 — 4 000 руб. |
| Должностное лицо | 8 000 — 12 000 руб. |
| ИП | 20 000 — 30 000 руб. |
| Юридическое лицо | 40 000 — 80 000 руб. |
Часть 5: Невыполнение требования об уточнении / блокировании / уничтожении
Игнорирование требования субъекта или РКН об уточнении, блокировании или уничтожении неточных / незаконно полученных данных.
| Субъект | Штраф |
|---|---|
| Гражданин | 2 000 — 4 000 руб. |
| Должностное лицо | 8 000 — 20 000 руб. |
| ИП | 20 000 — 40 000 руб. |
| Юридическое лицо | 50 000 — 90 000 руб. |
Часть 8: Нарушение требований локализации (23-ФЗ с 01.07.2025)
Обработка персональных данных граждан РФ с использованием баз данных, расположенных за пределами России.
| Субъект | Штраф |
|---|---|
| Гражданин | 30 000 — 50 000 руб. |
| Должностное лицо | 100 000 — 200 000 руб. |
| ИП | 1 000 000 — 6 000 000 руб. (приравнен к юрлицу) |
| Юридическое лицо | 1 000 000 — 6 000 000 руб. |
Часть 9: Повторное нарушение локализации
| Субъект | Штраф |
|---|---|
| Юридическое лицо / ИП | 6 000 000 — 18 000 000 руб. |
С 01.07.2025 использование зарубежных CRM (например, Bitrix24 в облаке на серверах не в РФ), сервисов рассылок или аналитики без наличия российской БД — прямое нарушение ч. 8. Под действие 23-ФЗ попадают все операторы, собирающие данные граждан РФ.
Часть 10: Неуведомление РКН о намерении обрабатывать ПД (ст. 22 152-ФЗ)
Неподача или несвоевременная подача уведомления в РКН о начале обработки персональных данных.
| Субъект | Штраф |
|---|---|
| Гражданин | 5 000 — 10 000 руб. |
| Должностное лицо | 30 000 — 50 000 руб. |
| Юридическое лицо | 100 000 — 300 000 руб. |
Часть 11: Неуведомление РКН об утечке / инциденте
Несвоевременное или невыполненное уведомление об инциденте (неправомерной передаче ПД, повлёкшей нарушение прав субъектов).
| Субъект | Штраф |
|---|---|
| Гражданин | 50 000 — 100 000 руб. |
| Должностное лицо | 400 000 — 800 000 руб. |
| Юридическое лицо | 1 000 000 — 3 000 000 руб. |
Ч. 10 и ч. 11 — разные составы. Ч. 10: не подали первичное уведомление о начале работы с ПД (ст. 22 152-ФЗ). Ч. 11: не сообщили об уже случившемся инциденте. Обязательный срок уведомления об инциденте — 24 часа (первичное) и 72 часа (результаты расследования) через портал pd.rkn.gov.ru.
Части 12–14: Утечки персональных данных (по объёму)
Санкции применяются к юридическим лицам и ИП (приравнены к юрлицу по ч. 8–18).
| Часть | Масштаб утечки | Штраф для юрлица / ИП |
|---|---|---|
| Ч. 12 | 1 000 — 10 000 субъектов | 3 000 000 — 5 000 000 руб. |
| Ч. 13 | 10 000 — 100 000 субъектов | 5 000 000 — 10 000 000 руб. |
| Ч. 14 | Более 100 000 субъектов | 10 000 000 — 15 000 000 руб. |
Часть 15: Повторная утечка — оборотный штраф
Повторное совершение нарушений по ч. 12–14, а также ч. 16–18.
| Субъект | Штраф |
|---|---|
| Юридическое лицо / ИП | 1–3% годовой выручки, но не менее 20 000 000 руб. и не более 500 000 000 руб. |
Это главный «крюк» реформы. Для компании с выручкой 1 млрд руб. в год второй инцидент может обойтись в 10–30 млн руб. минимум. Для крупного ритейла — сотни миллионов.
Часть 16: Утечка специальных категорий ПД
Неправомерная передача (распространение, доступ) к данным о состоянии здоровья, расовой принадлежности, политических взглядах, религии, судимостях и иных спецкатегориях.
| Субъект | Штраф |
|---|---|
| Гражданин | 300 000 — 400 000 руб. |
| Должностное лицо | 1 000 000 — 1 300 000 руб. |
| Юридическое лицо / ИП | 10 000 000 — 15 000 000 руб. |
Часть 17: Утечка биометрических ПД
Неправомерная передача биометрических персональных данных.
| Субъект | Штраф |
|---|---|
| Гражданин | 400 000 — 500 000 руб. |
| Должностное лицо | 1 300 000 — 1 500 000 руб. |
| Юридическое лицо / ИП | 15 000 000 — 20 000 000 руб. |
Часть 18: Повторная утечка спецкатегорий или биометрии — оборотный штраф
| Субъект | Штраф |
|---|---|
| Юридическое лицо / ИП | 1–3% годовой выручки, но не менее 25 000 000 руб. и не более 500 000 000 руб. |
Важно: скидка 50% на штрафы по ст. 13.11 не применяется
По общему правилу КоАП (ч. 1.3-3 ст. 32.2) штраф можно оплатить со скидкой 50% в течение 20 дней. Для всех составов ст. 13.11 эта норма исключена — ни за утечки, ни за отсутствие политики, ни за нарушение локализации скидки нет.
Штраф за неуведомление РКН: две разные обязанности
Операторы путают две обязанности по уведомлению — и получают штрафы по обеим:
| Обязанность | Срок | Состав КоАП | Штраф для юрлица |
|---|---|---|---|
| Уведомить РКН о намерении обрабатывать ПД (регистрация оператора, ст. 22 152-ФЗ) | До начала обработки | Ч. 10 | 100 000 — 300 000 руб. |
| Уведомить РКН об утечке / инциденте (ст. 21 ч. 3.1 152-ФЗ) | 24 ч — первичное, 72 ч — результаты расследования | Ч. 11 | 1 000 000 — 3 000 000 руб. |
Административная и уголовная ответственность
С 2025 года введена уголовная ответственность за незаконный оборот персональных данных (421-ФЗ от 12.12.2023, ст. 272.1 УК РФ):
| Деяние | Санкция по УК РФ |
|---|---|
| Незаконный сбор / продажа ПД (ст. 272.1 УК) | Штраф до 300 000 руб. или лишение свободы до 4 лет |
| С использованием служебного положения | До 6 лет лишения свободы |
| В составе организованной группы | До 10 лет лишения свободы |
Уголовная ответственность грозит физическим лицам — прежде всего сотрудникам, сливающим данные конкурентам или мошенникам.
Реальные случаи штрафов: примеры из практики
Пример 1: Штраф за отсутствие согласия (2024 г., до реформы)
Крупный онлайн-сервис получил штраф 300 000 руб. за то, что в форме регистрации чекбокс согласия на рассылку был предустановлен в положение «включено». Роскомнадзор квалифицировал это как обработку без согласия (ч. 2 ст. 13.11 в старой редакции). По действующей редакции тот же состав влечёт от 300 000 до 700 000 руб. для юрлица.
Пример 2: Нарушение локализации (2023 г., до реформы)
Российское представительство иностранной компании получило штраф 1 млн руб. за хранение данных российских пользователей только на зарубежных серверах. По действующей редакции (ч. 8) нижняя граница уже равна 1 млн руб., а с 01.07.2025 использование зарубежных БД запрещено даже при наличии российского зеркала.
Пример 3: Серийные проверки МСП (2024 г.)
В ходе проверочных кампаний Роскомнадзора в 2024 году более 3 000 малых предприятий получили предписания, из которых 40% впоследствии конвертированы в штрафы. Средний штраф для ИП — 15 000–25 000 руб. (по старым ставкам ч. 3). По новым ставкам ч. 3 аналогичный штраф для ИП составит 10 000–20 000 руб., однако штрафы по ч. 2 (нарушения с согласием) теперь значительно выше.
Пример 4: Утечка в медицинской организации (2025 г.)
Частная клиника, допустившая утечку медицинских данных 8 000 пациентов из взломанной CRM, получила штраф 7 млн руб. — по ч. 12 (1 000–10 000 субъектов, 3–5 млн) плюс ч. 16 (спецкатегории — здоровье, 10–15 млн). Суд учёл смягчающие обстоятельства. Дополнительно руководитель ИТ-отдела привлечён к административной ответственности как должностное лицо.
Нужен готовый пакет документов по 152-ФЗ? ПдПро собирает до 38 документов — политику, согласия, регламенты, акты — за ~10 минут, без юриста. Тариф «Базовый» — 2 990 ₽, «Навсегда» — 4 990 ₽. Один штраф по ч. 2 для ООО (300 000–700 000 руб.) превышает стоимость пакета в 100–230 раз.
Как Роскомнадзор узнаёт о нарушениях
1. Жалобы граждан Самый частый источник. Нежелательная SMS, нераскрытая политика, отказ удалить данные — всё это поводы для жалобы, которая запускает проверку.
2. Автоматический мониторинг сайтов РКН использует программные комплексы для сканирования сайтов на наличие политики, корректности чекбоксов и форм согласия.
3. Плановые проверки Публикуются в ежегодном плане на сайте РКН. Организации могут узнать о проверке заранее и подготовиться.
4. Внеплановые проверки После инцидентов, по обращениям прокуратуры или сообщениям СМИ.
5. Уведомления об утечках С 2022 года операторы сами обязаны сообщать РКН об инцидентах — это автоматически запускает проверку соответствия.
Смягчающие обстоятельства
КоАП позволяет снизить штраф при наличии:
- Добровольного устранения нарушения до вынесения постановления
- Незначительности нарушения
- Ранее безупречной репутации оператора
- Добровольного возмещения ущерба субъектам
На практике операторы, оперативно устранившие нарушение и представившие документы, нередко получают минимальный штраф в диапазоне или предписание без штрафа. Однако это работает только при первичных нарушениях и не применяется к составам, связанным с утечками крупных объёмов данных.
Сводная таблица: топ-6 нарушений для малого бизнеса
| # | Нарушение | Частота выявления | Штраф (ООО / ИП), 2025–2026 |
|---|---|---|---|
| 1 | Нет политики обработки ПД на сайте | Очень высокая | 30 000–60 000 / 10 000–20 000 руб. |
| 2 | Некорректные чекбоксы согласия (предустановлены) | Высокая | 300 000–700 000 руб. |
| 3 | Данные хранятся в зарубежных сервисах (с 01.07.2025) | Высокая | 1 000 000–6 000 000 руб. |
| 4 | Нет уведомления в РКН (регистрация оператора) | Средняя | 100 000–300 000 руб. |
| 5 | Нет ответственного за ПД | Средняя | 30 000–60 000 руб. (по ч. 3) |
| 6 | Нет регламента реагирования на инциденты | Средняя | 1 000 000–3 000 000 руб. (ч. 11, если утечка) |
Как снизить риск штрафов: практические шаги
Шаг 1. Разработайте комплект документов Политика обработки ПД, положение об обработке, приказ о назначении ответственного, журнал запросов субъектов, акт уничтожения данных.
Шаг 2. Исправьте согласия на сайте Проверьте все формы: чекбоксы не должны быть предустановлены, текст согласия должен содержать все 9 обязательных элементов по ч. 4 ст. 9 152-ФЗ (цель, категории ПД, срок, способы обработки и др.). С 01.09.2025 согласие оформляется отдельным документом (156-ФЗ).
Шаг 3. Проверьте локализацию С 01.07.2025 данные граждан РФ должны храниться и обрабатываться исключительно в базах данных на территории России. Проверьте CRM, сервис рассылок, аналитику — все они должны быть российскими или self-hosted на российских серверах.
Шаг 4. Подайте уведомление в РКН Если не подавали — подайте. Форма и порядок — Приказ РКН № 180. Уведомление обязательно для большинства операторов, обрабатывающих ПД в информационных системах.
Шаг 5. Приготовьтесь к утечкам до того, как они случились Утвердите регламент реагирования на инциденты. Пропишите сроки: 24 часа — первичное уведомление РКН, 72 часа — результаты расследования (Приказ РКН № 187). Отсутствие регламента при проверке — отягчающее обстоятельство.
Сколько стоит соответствие 152-ФЗ
Самостоятельная разработка документов у юриста — от 30 000 до 150 000 рублей и 2–4 недели работы. При этом юрист часто специализируется на договорном праве, а не на персональных данных.
ПдПро — онлайн-конструктор, который собирает полный пакет документов по 152-ФЗ: политику, согласия (клиентское, сотрудника, на сайте, на рассылку), положение об обработке, регламент инцидентов, акт уничтожения — до 38 документов за ~10 минут.
| Тариф | Стоимость | Что включено |
|---|---|---|
| Базовый | 2 990 ₽ | Полный пакет документов под ваш профиль бизнеса |
| Навсегда | 4 990 ₽ | Пакет + все обновления при изменении законодательства |
Для сравнения: минимальный штраф по ч. 2 (отсутствие корректного согласия) для ООО — 300 000 рублей. Это в 100 раз больше стоимости базового тарифа.