Кибероснова | 152-ФЗ — документы по защите персональных данных

Оборотные штрафы за утечку ПДн: сколько и за что

16 февраля 2026 г.8 мин чтения

С 2024 года в России действуют оборотные штрафы за утечку персональных данных. Это означает, что размер санкций теперь привязан к выручке компании и может достигать сотен миллионов рублей. В этой статье разберём, как работает новая система штрафов, за какие нарушения они назначаются, и что сделать, чтобы защитить бизнес от финансовых потерь.

До введения оборотных штрафов максимальная санкция за утечку персональных данных составляла 300 тысяч рублей — сумма, которую крупный бизнес даже не замечал в бюджете. Теперь ситуация кардинально изменилась: штрафы за персональные данные выросли в сотни раз и стали реальным финансовым риском для компаний любого масштаба.

Что такое оборотные штрафы за утечку ПДн

Оборотные штрафы — это вид административной ответственности, при котором размер санкции рассчитывается как процент от годовой выручки (оборота) компании. Такой подход давно применяется в антимонопольном законодательстве, а с 2024 года распространился и на сферу защиты персональных данных.

Ключевое отличие оборотных штрафов от фиксированных: для компании с выручкой 100 млн рублей штраф составит одну сумму, а для компании с выручкой 10 млрд рублей — совершенно другую. Это делает санкции одинаково болезненными для бизнеса любого размера.

Законодательная база

Оборотные штрафы за утечку персональных данных были введены Федеральным законом от 30 ноября 2024 года № 420-ФЗ, который внёс изменения в Кодекс об административных правонарушениях (КоАП РФ). Закон вступил в силу поэтапно: фиксированные повышенные штрафы — с 30 мая 2025 года, оборотные штрафы за повторные нарушения — с 30 ноября 2025 года.

Эти изменения стали частью масштабной реформы законодательства о персональных данных, которая также включает ужесточение требований к уведомлениям, согласиям и трансграничной передаче данных.

Кого касаются оборотные штрафы

Оборотные штрафы применяются ко всем операторам персональных данных:

  • Юридические лица — коммерческие и некоммерческие организации любой организационно-правовой формы
  • Индивидуальные предприниматели — штраф рассчитывается от дохода ИП
  • Государственные и муниципальные учреждения — хотя на практике к ним чаще применяются фиксированные штрафы и дисциплинарная ответственность должностных лиц

По факту, если ваша организация обрабатывает персональные данные — а это делает практически каждая компания — оборотные штрафы вас касаются.

Размеры штрафов: первичная и повторная утечка

Система штрафов за утечку персональных данных двухуровневая: за первое нарушение предусмотрены фиксированные штрафы, за повторное — оборотные.

Штрафы за первичную утечку

Объём утечкиШтраф для юрлицШтраф для должностных лиц
От 1 000 до 10 000 субъектов3–5 млн ₽200–400 тыс. ₽
От 10 000 до 100 000 субъектов5–10 млн ₽300–500 тыс. ₽
Более 100 000 субъектов10–15 млн ₽400–600 тыс. ₽
Утечка специальных категорий ПДн10–15 млн ₽500–800 тыс. ₽

Штрафы за повторную утечку (оборотные)

ПоказательЗначение
Процент от выручки1–3% годового оборота
Минимальный штраф15 000 000 ₽
Максимальный штраф500 000 000 ₽
Период расчёта выручкиКалендарный год, предшествующий нарушению

Таким образом, даже для относительно небольшой компании минимальный оборотный штраф составит 15 миллионов рублей — сумма, способная поставить под угрозу существование бизнеса.

Как рассчитывается оборотный штраф

Формула расчёта оборотного штрафа выглядит следующим образом:

Штраф = Выручка за предшествующий год × Процент (от 1% до 3%)

При этом результат ограничен коридором: не менее 15 млн ₽ и не более 500 млн ₽.

Пример 1: компания с выручкой 500 млн рублей

Допустим, интернет-магазин с годовой выручкой 500 млн рублей допустил повторную утечку базы клиентов.

  • Минимальный штраф (1%): 500 000 000 × 0,01 = 5 000 000 ₽ — но это меньше минимального порога, поэтому штраф составит 15 000 000 ₽
  • Максимальный штраф (3%): 500 000 000 × 0,03 = 15 000 000 ₽

Итого штраф: 15 000 000 ₽ (минимальный порог).

Пример 2: компания с выручкой 2 млрд рублей

Крупная сеть клиник с годовой выручкой 2 млрд рублей допустила повторную утечку медицинских данных пациентов.

  • Минимальный штраф (1%): 2 000 000 000 × 0,01 = 20 000 000 ₽
  • Максимальный штраф (3%): 2 000 000 000 × 0,03 = 60 000 000 ₽

Итого штраф: от 20 до 60 млн рублей — в зависимости от обстоятельств дела.

Обратите внимание: для компании с выручкой от 16,7 млрд рублей максимальный штраф (3%) упрётся в потолок 500 млн рублей. Но даже для крупнейших корпораций потеря полумиллиарда — серьёзный удар.

Что входит в расчёт выручки

В расчёт берётся совокупная выручка юридического лица за календарный год, предшествующий году совершения правонарушения. Это включает:

  • Выручку от основной деятельности
  • Выручку от прочей реализации
  • Данные из бухгалтерской отчётности, сданной в ФНС

Если компания существует менее года, расчёт производится на основании имеющихся данных за фактический период деятельности.

За что именно штрафуют

Оборотные штрафы назначаются не за любое нарушение 152-ФЗ, а конкретно за утечку — неправомерную или случайную передачу персональных данных третьим лицам. Вот основные типы инцидентов:

Хакерские атаки и взломы

Наиболее распространённый сценарий: злоумышленники получают доступ к базе данных компании и публикуют или продают персональные данные. Даже если компания стала жертвой преступления, она несёт административную ответственность за недостаточную защиту данных.

Утечки по вине сотрудников

Инсайдерские утечки: сотрудник копирует базу клиентов на флешку, пересылает данные на личную почту или передаёт конкурентам. Ответственность несёт и сотрудник (уголовная), и компания (административная).

Технические ошибки и неправильная настройка

Незащищённые API, открытые бакеты облачных хранилищ, отсутствие шифрования — технические ошибки, приводящие к доступности данных из интернета. Такие случаи регулярно выявляются при проверках Роскомнадзора.

Потеря или кража носителей

Утрата ноутбука, жёсткого диска или бумажных документов с персональными данными также квалифицируется как утечка, если данные не были зашифрованы.

Несанкционированная передача третьим лицам

Передача базы контактов партнёру без согласия субъектов, предоставление данных клиентов рекламным платформам без правового основания и подобные случаи.

Смягчающие и отягчающие обстоятельства

При определении размера оборотного штрафа суд учитывает обстоятельства дела. Они могут как снизить, так и увеличить итоговую сумму.

Смягчающие обстоятельстваОтягчающие обстоятельства
Уведомление РКН об утечке в течение 24 часовСокрытие факта утечки или задержка уведомления
Расходы на ИБ не менее 0,1% от выручки за последние 3 годаОтсутствие организационных мер защиты ПДн
Наличие сертифицированных средств защитыРанее выявленные нарушения в сфере ПДн
Полное содействие расследованиюПротиводействие проверке или расследованию
Добровольная компенсация ущерба субъектамОсобо крупный объём утечки (более 100 000 субъектов)
Самостоятельное обнаружение и локализация инцидентаУтечка специальных категорий ПДн (здоровье, биометрия)
Проведение аудита ИБ в предшествующие 12 месяцевПовторность в течение года после предыдущего штрафа

Наличие нескольких смягчающих обстоятельств позволяет рассчитывать на штраф ближе к нижней границе (1% от выручки), тогда как отягчающие обстоятельства могут привести к назначению штрафа по верхней границе (3%).

Особый случай: расходы на информационную безопасность

Законодатель ввёл важный критерий: если компания на протяжении трёх лет, предшествующих утечке, тратила на информационную безопасность не менее 0,1% от своей выручки, это рассматривается как существенное смягчающее обстоятельство. Фактически это стимулирует бизнес инвестировать в защиту данных: расходы на ИБ становятся не только мерой безопасности, но и страховкой от максимальных штрафов.

Как защитить компанию от оборотных штрафов

Полностью исключить риск утечки невозможно, но можно существенно снизить как вероятность инцидента, так и размер потенциального штрафа. Вот пять ключевых шагов:

Шаг 1. Приведите документы в порядок

Базовая защита начинается с правильного документального оформления обработки персональных данных. Убедитесь, что у вас есть:

  • Актуальная политика обработки персональных данных
  • Согласия на обработку ПДн по каждому основанию
  • Приказ о назначении ответственного за обработку ПДн
  • Модель угроз безопасности персональных данных
  • Уведомление в Роскомнадзор об обработке ПДн

Подготовить все необходимые документы можно с помощью нашего конструктора документов по 152-ФЗ — это займёт 15 минут вместо нескольких дней работы юриста.

Шаг 2. Внедрите технические меры защиты

Технические меры должны соответствовать уровню защищённости, определённому для вашей информационной системы:

  • Шифрование данных при хранении и передаче
  • Разграничение прав доступа (принцип минимальных привилегий)
  • Системы обнаружения и предотвращения вторжений
  • Регулярное обновление программного обеспечения
  • Резервное копирование с проверкой восстановления

Шаг 3. Обеспечьте расходы на ИБ не менее 0,1% от выручки

Как мы отметили выше, это прямое смягчающее обстоятельство, предусмотренное законом. Фиксируйте все расходы на информационную безопасность: лицензии на средства защиты, оплату услуг специалистов, обучение сотрудников, проведение аудитов.

Шаг 4. Разработайте план реагирования на инциденты

У вас должен быть чёткий регламент действий при обнаружении утечки:

  1. Обнаружение и фиксация инцидента
  2. Локализация — остановка утечки
  3. Уведомление Роскомнадзора в течение 24 часов
  4. Уведомление субъектов персональных данных
  5. Расследование причин и устранение уязвимости
  6. Подготовка отчёта о результатах расследования (72 часа)

Шаг 5. Проводите регулярные аудиты

Ежегодный аудит системы защиты персональных данных — это не только хорошая практика, но и документальное подтверждение вашей добросовестности. Результаты аудита станут аргументом в пользу снижения штрафа, если инцидент всё-таки произойдёт.

Оборотные штрафы — это новая реальность для российского бизнеса. Суммы в десятки и сотни миллионов рублей делают защиту персональных данных не прихотью, а необходимостью. Начните с документов: правильно оформленная обработка ПДн — это фундамент, без которого остальные меры теряют смысл.

Создайте документы по 152-ФЗ за 15 минут в нашем конструкторе — и закройте базовые требования закона уже сегодня.

Котов Алексей

Котов Алексей

Эксперт Киберосновы

Специалист по информационной безопасности с 12-летним опытом. Сертифицированный аудитор по 152-ФЗ. Провёл более 200 аудитов обработки персональных данных для компаний различных отраслей.

152-ФЗаудит ПДнмодель угрозуровни защищённости

Часто задаваемые вопросы

Оборотные штрафы — это санкции, размер которых рассчитывается как процент от годовой выручки компании. Они введены за утечку персональных данных и могут достигать от 1% до 3% годового оборота, но не менее 15 млн и не более 500 млн рублей.
Оборотные штрафы применяются при повторной утечке персональных данных, то есть если компания уже была привлечена к ответственности за аналогичное нарушение ранее. За первичную утечку предусмотрены фиксированные штрафы до 15 млн рублей.
Размер оборотного штрафа составляет от 1% до 3% совокупной выручки компании за календарный год, предшествующий нарушению. При этом штраф не может быть менее 15 млн рублей и более 500 млн рублей.
Да, суд учитывает смягчающие обстоятельства: добровольное уведомление Роскомнадзора об утечке в течение 24 часов, наличие сертифицированных средств защиты, ежегодные расходы на информационную безопасность не менее 0,1% от выручки, а также полное содействие расследованию.
Да, оборотные штрафы распространяются на всех операторов персональных данных, включая индивидуальных предпринимателей. Размер штрафа рассчитывается исходя из дохода ИП за предшествующий календарный год.

Оформите документы по 152-ФЗ за 5 минут

Конструктор создаст полный пакет документов под вашу организацию. Соответствие закону, актуальные формы, понятные шаблоны.

Создать документВсе документы

Связанные материалы

Все штрафы за персональные данныеПодготовка к проверке РоскомнадзораКонструктор документов по 152-ФЗУведомление в Роскомнадзор