Штрафы за нарушение закона о персональных данных — одна из самых болезненных тем для бизнеса в России. С 30 мая 2025 года (Федеральный закон 420-ФЗ от 30.11.2024) штрафы по ст. 13.11 КоАП РФ выросли в 5-10 раз. Параллельно 589-ФЗ от 30.11.2024 ввёл оборотные штрафы за утечку персональных данных — от 1% до 3% годовой выручки, с минимумом 25 млн ₽ и максимумом 500 млн ₽. В этой статье разберём актуальную таблицу штрафов по 152-ФЗ на 2026 год, объясним за что именно наказывают, и покажем как минимизировать риски.
Основной нормативный акт, регулирующий ответственность за нарушения в области персональных данных, — статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). За крупные утечки персональных данных с 30 мая 2025 года предусмотрена уголовная ответственность по ст. 272.1 УК РФ (введена 420-ФЗ) — до 5 лет лишения свободы. Это новая статья УК, специально предназначенная для случаев умышленной утечки или неправомерного использования ПДн в крупных размерах (ранее применялась только общая ст. 137 УК «О незаконном сборе сведений о частной жизни»).
Актуальная таблица штрафов за персональные данные в 2026 году
Ниже представлена сводная таблица основных штрафов за нарушения в области обработки персональных данных. Суммы актуальны с учётом последних поправок.
| Нарушение | Граждане | Должностные лица | Юридические лица | Статья КоАП |
|---|---|---|---|---|
| Обработка ПДн без письменного согласия субъекта (когда оно обязательно) | 10 000 – 15 000 руб. | 100 000 – 300 000 руб. | 300 000 – 700 000 руб. | ст. 13.11 ч.2 |
| Повторная обработка ПДн без согласия | 15 000 – 30 000 руб. | 300 000 – 500 000 руб. | 1 000 000 – 1 500 000 руб. | ст. 13.11 ч.2.1 |
| Обработка ПДн без законного основания | 2 000 – 6 000 руб. | 10 000 – 20 000 руб. | 60 000 – 100 000 руб. | ст. 13.11 ч.1 |
| Повторная обработка без основания | 4 000 – 12 000 руб. | 20 000 – 50 000 руб. | 100 000 – 300 000 руб. | ст. 13.11 ч.1.1 |
| Непредоставление информации субъекту ПДн | 2 000 – 4 000 руб. | 8 000 – 12 000 руб. | 40 000 – 80 000 руб. | ст. 13.11 ч.4 |
| Нарушение сроков уничтожения ПДн | 2 000 – 4 000 руб. | 8 000 – 20 000 руб. | 50 000 – 90 000 руб. | ст. 13.11 ч.5 |
| Повторное нарушение сроков уничтожения | 15 000 – 30 000 руб. | 30 000 – 50 000 руб. | 300 000 – 500 000 руб. | ст. 13.11 ч.5.1 |
| Нарушение порядка обезличивания ПДн | — | 6 000 – 12 000 руб. | — | ст. 13.11 ч.7 |
| Неуведомление Роскомнадзора о начале обработки ПДн | — | 300 – 500 руб. | 3 000 – 5 000 руб. | ст. 19.7 |
| Нарушение локализации ПДн граждан РФ | — | 100 000 – 200 000 руб. | 2 000 000 – 6 000 000 руб. | ст. 13.11 ч.8 |
| Повторное нарушение локализации | — | 500 000 – 800 000 руб. | 6 000 000 – 18 000 000 руб. | ст. 13.11 ч.9 |
| Непринятие мер по обеспечению безопасности ПДн | 2 000 – 4 000 руб. | 8 000 – 20 000 руб. | 50 000 – 100 000 руб. | ст. 13.11 ч.6 |
| Утечка ПДн (первичная, оборотные штрафы) | — | — | 3 000 000 – 15 000 000 руб. | ст. 13.11 ч.12 |
| Утечка ПДн (повторная) | — | — | 0,1% – 3% годовой выручки (15 – 500 млн руб.) | ст. 13.11 ч.13 |
| Незаконная обработка специальных категорий ПДн | 4 000 – 10 000 руб. | 20 000 – 40 000 руб. | 100 000 – 300 000 руб. | ст. 13.11 ч.3 |
Обратите внимание: суммы штрафов могут отличаться в зависимости от конкретных обстоятельств дела. Судебная практика показывает, что повторные нарушения караются значительно строже.
Штрафы за обработку без согласия субъекта — ст. 13.11 ч.2 КоАП
Обработка персональных данных без письменного согласия субъекта, когда такое согласие требуется по закону, — самое распространённое нарушение, выявляемое Роскомнадзором при проверках.
Когда согласие обязательно
Согласие субъекта на обработку персональных данных требуется, если отсутствуют иные правовые основания для обработки, перечисленные в статье 6 Федерального закона от 27.07.2006 N 152-ФЗ. К ситуациям, когда согласие необходимо, относятся:
- Обработка ПДн в рекламных и маркетинговых целях (рассылки, таргетированная реклама)
- Передача ПДн третьим лицам, не являющимся стороной договора
- Обработка биометрических персональных данных
- Обработка специальных категорий ПДн (здоровье, расовая принадлежность, политические взгляды)
- Трансграничная передача ПДн в страны, не обеспечивающие адекватную защиту
Размеры штрафов за первичное нарушение
За первичное нарушение (обработка без согласия) предусмотрены следующие штрафы:
- Граждане: от 10 000 до 15 000 рублей
- Должностные лица: от 100 000 до 300 000 рублей
- Юридические лица: от 300 000 до 700 000 рублей
Повторные нарушения
Если организация не устранила нарушение или допустила его повторно, суммы значительно возрастают:
- Граждане: от 15 000 до 30 000 рублей
- Должностные лица: от 300 000 до 500 000 рублей
- Юридические лица: от 1 000 000 до 1 500 000 рублей
На практике Роскомнадзор часто выявляет сразу несколько составов нарушений при одной проверке. Это означает, что штрафы суммируются. Организация может получить несколько протоколов одновременно — за отсутствие согласия, за непредоставление информации субъекту, за отсутствие политики обработки ПДн на сайте. Итоговая сумма штрафов легко превышает один миллион рублей.
Типичные ошибки
Наиболее частые причины штрафов по этой статье:
- Формальное согласие — галочка на сайте без ссылки на полный текст согласия
- Устаревшее согласие — содержание не соответствует актуальным требованиям закона
- Избыточный сбор данных — запрос данных, не соответствующих целям обработки
- Отсутствие разграничения целей — одно согласие на все виды обработки вместо отдельных
- Непредоставление права отзыва — субъект не может легко отозвать согласие
Чтобы избежать этих ошибок, рекомендуем использовать конструктор документов, который формирует согласия в соответствии с актуальными требованиями 152-ФЗ.
Штрафы за утечку персональных данных
Введение оборотных штрафов за утечку персональных данных — одно из самых значимых изменений в российском законодательстве о защите ПДн последних лет. Подробнее об этих штрафах читайте в нашей статье оборотные штрафы за утечку ПДн.
Что считается утечкой
Утечка персональных данных — это неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия. Сюда входят:
- Взлом базы данных и публикация информации
- Несанкционированный доступ сотрудника к ПДн
- Потеря носителя с персональными данными
- Случайная отправка данных не тому адресату
- Публикация ПДн в открытом доступе по ошибке
Оборотные штрафы: формула расчёта
Оборотные штрафы были введены для того, чтобы наказание стало ощутимым для крупных компаний, для которых фиксированные штрафы в несколько сотен тысяч рублей были незначительными.
Первичная утечка:
- Фиксированный штраф от 3 000 000 до 15 000 000 рублей
- Размер зависит от объёма утекших данных и категории ПДн
Повторная утечка:
- Оборотный штраф: от 0,1% до 3% годовой выручки компании
- Минимальная сумма: 15 000 000 рублей
- Максимальная сумма: 500 000 000 рублей
Примеры расчёта
Рассмотрим несколько примеров для наглядности:
Пример 1. Небольшая компания (выручка 50 млн руб./год) Повторная утечка: 0,1% от 50 млн = 50 000 руб. Но минимальный порог — 15 млн руб. Значит, штраф составит 15 000 000 рублей. Для такой компании это может быть фатальным.
Пример 2. Средний бизнес (выручка 500 млн руб./год) Повторная утечка: 1% от 500 млн = 5 000 000 руб. Минимальный порог — 15 млн. Штраф: 15 000 000 рублей.
Пример 3. Крупная компания (выручка 10 млрд руб./год) Повторная утечка: 1% от 10 млрд = 100 000 000 руб. Штраф: 100 000 000 рублей.
Пример 4. Крупнейшие корпорации (выручка 50 млрд руб./год) Повторная утечка: 3% от 50 млрд = 1 500 000 000 руб. Но максимальный порог — 500 млн. Штраф: 500 000 000 рублей.
Обязанность уведомления об утечке
Помимо штрафов, оператор персональных данных обязан уведомить Роскомнадзор и субъектов ПДн об утечке в течение 24 часов с момента обнаружения инцидента. Неуведомление влечёт дополнительные санкции. В течение 72 часов необходимо также направить информацию о результатах внутреннего расследования.
Смягчающие обстоятельства
Размер штрафа может быть снижен, если организация:
- Оперативно уведомила Роскомнадзор и субъектов ПДн
- Провела внутреннее расследование и предоставила результаты
- Предприняла меры по минимизации последствий утечки
- Прошла аудит информационной безопасности до инцидента
- Внедрила сертифицированные средства защиты информации
Штрафы за неподачу уведомления в Роскомнадзор
Каждый оператор персональных данных обязан до начала обработки ПДн подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные. Исключения предусмотрены статьёй 22 Федерального закона N 152-ФЗ, но на практике они применяются редко.
Кто обязан подавать уведомление
Уведомление обязаны подавать:
- Все юридические лица, обрабатывающие ПДн сотрудников, клиентов, контрагентов
- Индивидуальные предприниматели с наёмными работниками
- Владельцы интернет-сайтов, собирающих данные пользователей
- Организации, работающие с CRM-системами и базами данных клиентов
- Медицинские, образовательные и иные учреждения
Размеры штрафов
На сегодняшний день штрафы за неподачу уведомления формально невелики:
- Должностные лица: от 300 до 500 рублей
- Юридические лица: от 3 000 до 5 000 рублей
Однако не стоит недооценивать это нарушение. Неподача уведомления часто становится отправной точкой для полноценной проверки Роскомнадзора, в ходе которой выявляются и другие нарушения с гораздо более серьёзными штрафами.
Последствия отсутствия уведомления
Помимо штрафа, отсутствие уведомления может повлечь:
- Внеплановую проверку Роскомнадзора
- Включение в план проверок на следующий период
- Выявление сопутствующих нарушений (отсутствие политики, согласий и т.д.)
- Репутационные риски при публикации результатов проверки
Если вы ещё не подали уведомление, рекомендуем сделать это незамедлительно. Подробную инструкцию по подаче уведомления вы найдёте в соответствующем разделе нашего сайта.
Другие штрафы по 152-ФЗ
Помимо основных составов, рассмотренных выше, существует ряд других нарушений, за которые предусмотрена ответственность.
Непредоставление информации субъекту ПДн
Субъект персональных данных имеет право запросить у оператора информацию об обработке его данных. Оператор обязан предоставить ответ в течение 10 рабочих дней. Нарушение этого требования влечёт штраф:
- Граждане: от 2 000 до 4 000 рублей
- Должностные лица: от 8 000 до 12 000 рублей
- Юридические лица: от 40 000 до 80 000 рублей
Нарушение требований локализации
С 2015 года персональные данные граждан РФ должны храниться и первично обрабатываться на серверах, расположенных на территории России. Нарушение этого требования карается серьёзными штрафами:
- Должностные лица: от 100 000 до 200 000 рублей (первичное), от 500 000 до 800 000 рублей (повторное)
- Юридические лица: от 2 000 000 до 6 000 000 рублей (первичное), от 6 000 000 до 18 000 000 рублей (повторное)
Это требование особенно актуально для компаний, использующих зарубежные облачные сервисы, CRM-системы и сервисы аналитики.
Неуничтожение персональных данных в установленный срок
Оператор обязан уничтожить ПДн после достижения цели обработки или по требованию субъекта. Нарушение сроков уничтожения влечёт:
- Граждане: от 2 000 до 4 000 рублей
- Должностные лица: от 8 000 до 20 000 рублей
- Юридические лица: от 50 000 до 90 000 рублей
При повторном нарушении штрафы значительно возрастают — до 500 000 рублей для юридических лиц.
Уголовная ответственность — статья 137 УК РФ
За грубые нарушения в области персональных данных предусмотрена уголовная ответственность. Статья 137 УК РФ «Нарушение неприкосновенности частной жизни» устанавливает:
Часть 1 (незаконный сбор или распространение сведений о частной жизни):
- Штраф до 200 000 рублей или в размере дохода за 18 месяцев
- Обязательные работы до 360 часов
- Исправительные работы до 1 года
- Принудительные работы до 2 лет
- Арест до 4 месяцев
- Лишение свободы до 2 лет
Часть 2 (с использованием служебного положения):
- Штраф от 100 000 до 300 000 рублей или в размере дохода за 1–2 года
- Лишение права занимать определённые должности на срок от 2 до 5 лет
- Принудительные работы до 4 лет
- Арест до 6 месяцев
- Лишение свободы до 4 лет (в отдельных случаях — до 5 лет)
Уголовная ответственность наступает, как правило, при умышленных действиях: продажа баз данных, намеренное разглашение медицинской информации, шантаж с использованием персональных данных.
Ответственность за незаконную обработку специальных категорий ПДн
К специальным категориям относятся данные о расовой принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни. Их обработка без явного согласия субъекта или иного законного основания влечёт:
- Граждане: от 4 000 до 10 000 рублей
- Должностные лица: от 20 000 до 40 000 рублей
- Юридические лица: от 100 000 до 300 000 рублей
Медицинские организации, HR-службы и образовательные учреждения находятся в зоне особого риска по этому составу.
Как избежать штрафов: пошаговая инструкция
Предотвратить штрафы значительно проще и дешевле, чем их оплачивать. Ниже приведена пошаговая инструкция, которая поможет привести обработку персональных данных в соответствие с законом.
Шаг 1. Проведите аудит обработки персональных данных
Прежде всего необходимо понять текущее состояние дел:
- Какие персональные данные вы собираете (ФИО, контакты, паспортные данные и т.д.)
- На каком основании обрабатываете (договор, согласие, закон)
- Где хранятся данные (серверы, облачные сервисы, бумажные архивы)
- Кто имеет доступ к ПДн
- Передаёте ли данные третьим лицам
- Есть ли трансграничная передача
Шаг 2. Оформите все необходимые документы
Минимальный комплект документов включает:
- Политику обработки персональных данных (публикуется на сайте)
- Приказ о назначении ответственного за обработку ПДн
- Формы согласий на обработку ПДн (для сотрудников, клиентов, посетителей сайта)
- Положение об обработке и защите персональных данных
- Акт оценки вреда субъектам ПДн
- Модель угроз безопасности ПДн (если есть ИСПДн)
Полный перечень документов зависит от специфики вашей деятельности. Ознакомьтесь со статьёй какие документы нужны по 152-ФЗ для получения полного чек-листа.
Шаг 3. Подайте уведомление в Роскомнадзор
Направьте уведомление в Роскомнадзор о начале обработки персональных данных. Уведомление подаётся через портал персональных данных pd.rkn.gov.ru или на бумажном носителе в территориальный орган.
Шаг 4. Внедрите технические и организационные меры защиты
Обеспечьте безопасность персональных данных:
- Настройте разграничение доступа к ПДн
- Используйте шифрование при передаче данных
- Ведите журнал учёта операций с ПДн
- Проводите регулярное резервное копирование
- Обучите сотрудников правилам работы с ПДн
- Внедрите антивирусное ПО и межсетевые экраны
Шаг 5. Проводите регулярный мониторинг и аудит
Соответствие 152-ФЗ — это не разовое мероприятие, а непрерывный процесс:
- Ежегодно пересматривайте документы и актуализируйте их
- Отслеживайте изменения в законодательстве
- Проводите внутренние проверки не реже одного раза в год
- Обновляйте модель угроз при изменении ИТ-инфраструктуры
- Ведите учёт обращений субъектов ПДн и своевременно отвечайте на запросы
Используйте конструктор документов
Создание полного комплекта документов вручную — трудоёмкая задача, требующая глубоких знаний законодательства. Конструктор документов Кибероснова позволяет сформировать все необходимые документы за несколько минут:
- Автоматическая генерация документов под вашу организацию
- Соответствие актуальным требованиям 152-ФЗ
- Регулярное обновление шаблонов при изменении законодательства
- Юридически грамотные формулировки
- Возможность скачать готовый комплект в удобном формате
Сравнение способов подготовки документов
| Параметр | Юрист по ИБ | Самостоятельно | Кибероснова |
|---|---|---|---|
| Стоимость пакета 152-ФЗ | 200 000 – 700 000 ₽ | 0 ₽ прямых затрат | Бесплатно при регистрации, тариф под проект |
| Срок подготовки | 1-2 месяца | 2-4 месяца | 15-30 минут |
| Учёт 420-ФЗ + 589-ФЗ + ст. 272.1 УК | Зависит от юриста | Сами отслеживайте | Автоматически в SaaS |
| Регламент инцидентов 24/72 часа | Платный документ | Самостоятельно | В стандартном пакете |
| Подписка = расход на ИБ (смягчающий фактор) | Не применимо | Не применимо | Засчитывается по ч.12 ст.13.11 КоАП |
| Multi-org для холдингов | Платно за каждое юрлицо | Дублирование | Один аккаунт = много юрлиц |
Чем Кибероснова отличается от конкурентов
- 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
- Единый пакет ОРД — 15-25 связанных документов с правильной перекрёстной структурой генерируются вместе, а не по одному.
- Multi-org для холдингов — один аккаунт работает на все юрлица без отдельных подписок.
- Подписка = расход на ИБ. Стоимость SaaS можно зачесть в обязательные 0,1% от выручки на ИБ — прямое смягчающее обстоятельство по ч. 12 ст. 13.11 КоАП.
Не откладывайте приведение в порядок документации по персональным данным. Размер штрафов в десятки и сотни раз превышает стоимость подготовки документов. Оборотные штрафы за утечку способны поставить под угрозу существование даже крупных компаний. Действуйте сейчас — перейдите в конструктор документов и создайте необходимые документы уже сегодня.
