Какой штраф за обработку персональных данных без согласия?

Для граждан — 10 000–15 000 руб., для должностных лиц — 100 000–300 000 руб., для юрлиц — 300 000–700 000 руб. (ст. 13.11 ч.2 КоАП). При повторном нарушении суммы увеличиваются.

Какой штраф за неподачу уведомления в Роскомнадзор?

Для должностных лиц — 300–500 руб., для юрлиц — 3 000–5 000 руб. С учётом последних поправок суммы увеличены.

Предусмотрена ли уголовная ответственность за ПДн?

Да. Ст. 137 УК РФ: штраф до 200 000 руб. или лишение свободы до 2 лет. За использование служебного положения — до 5 лет.

Что такое оборотные штрафы за утечку ПДн?

Рассчитываются как процент от годовой выручки. Первичная утечка — 3–15 млн руб., повторная — 0,1%–3% выручки (не менее 15 млн, не более 500 млн руб.).

Как избежать штрафов по 152-ФЗ?

Оформите документы, подайте уведомление в РКН, назначьте ответственного, проводите аудит. Используйте конструктор Кибероснова для быстрого создания документов.

Какой штраф за обработку персональных данных без согласия?

Для граждан — 10 000–15 000 руб., для должностных лиц — 100 000–300 000 руб., для юрлиц — 300 000–700 000 руб. (ст. 13.11 ч.2 КоАП). При повторном нарушении суммы увеличиваются.

Какой штраф за неподачу уведомления в Роскомнадзор?

Для должностных лиц — 300–500 руб., для юрлиц — 3 000–5 000 руб. С учётом последних поправок суммы увеличены.

Предусмотрена ли уголовная ответственность за ПДн?

Да. Ст. 137 УК РФ: штраф до 200 000 руб. или лишение свободы до 2 лет. За использование служебного положения — до 5 лет.

Что такое оборотные штрафы за утечку ПДн?

Рассчитываются как процент от годовой выручки. Первичная утечка — 3–15 млн руб., повторная — 0,1%–3% выручки (не менее 15 млн, не более 500 млн руб.).

Как избежать штрафов по 152-ФЗ?

Оформите документы, подайте уведомление в РКН, назначьте ответственного, проводите аудит. Используйте конструктор Кибероснова для быстрого создания документов.

Штрафы за нарушение закона о персональных данных

Штрафы за нарушение закона о персональных данных — одна из самых болезненных тем для бизнеса в России. С каждым годом суммы увеличиваются, а контроль со стороны Роскомнадзора становится жёстче. В 2025 году были введены оборотные штрафы за утечку персональных данных, а также увеличены санкции по целому ряду составов. В этой статье разберём актуальную таблицу штрафов по 152-ФЗ, объясним, за что именно наказывают, и покажем, как минимизировать риски.

Основной нормативный акт, регулирующий ответственность за нарушения в области персональных данных, — статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Помимо административных штрафов, за грубые нарушения предусмотрена уголовная ответственность по статье 137 Уголовного кодекса РФ.

Актуальная таблица штрафов за персональные данные в 2026 году

Ниже представлена сводная таблица основных штрафов за нарушения в области обработки персональных данных. Суммы актуальны с учётом последних поправок.

Нарушение	Граждане	Должностные лица	Юридические лица	Статья КоАП
Обработка ПДн без письменного согласия субъекта (когда оно обязательно)	10 000 – 15 000 руб.	100 000 – 300 000 руб.	300 000 – 700 000 руб.	ст. 13.11 ч.2
Повторная обработка ПДн без согласия	15 000 – 30 000 руб.	300 000 – 500 000 руб.	1 000 000 – 1 500 000 руб.	ст. 13.11 ч.2.1
Обработка ПДн без законного основания	2 000 – 6 000 руб.	10 000 – 20 000 руб.	60 000 – 100 000 руб.	ст. 13.11 ч.1
Повторная обработка без основания	4 000 – 12 000 руб.	20 000 – 50 000 руб.	100 000 – 300 000 руб.	ст. 13.11 ч.1.1
Непредоставление информации субъекту ПДн	2 000 – 4 000 руб.	8 000 – 12 000 руб.	40 000 – 80 000 руб.	ст. 13.11 ч.4
Нарушение сроков уничтожения ПДн	2 000 – 4 000 руб.	8 000 – 20 000 руб.	50 000 – 90 000 руб.	ст. 13.11 ч.5
Повторное нарушение сроков уничтожения	15 000 – 30 000 руб.	30 000 – 50 000 руб.	300 000 – 500 000 руб.	ст. 13.11 ч.5.1
Нарушение порядка обезличивания ПДн	—	6 000 – 12 000 руб.	—	ст. 13.11 ч.7
Неуведомление Роскомнадзора о начале обработки ПДн	—	300 – 500 руб.	3 000 – 5 000 руб.	ст. 19.7
Нарушение локализации ПДн граждан РФ	—	100 000 – 200 000 руб.	2 000 000 – 6 000 000 руб.	ст. 13.11 ч.8
Повторное нарушение локализации	—	500 000 – 800 000 руб.	6 000 000 – 18 000 000 руб.	ст. 13.11 ч.9
Непринятие мер по обеспечению безопасности ПДн	2 000 – 4 000 руб.	8 000 – 20 000 руб.	50 000 – 100 000 руб.	ст. 13.11 ч.6
Утечка ПДн (первичная, оборотные штрафы)	—	—	3 000 000 – 15 000 000 руб.	ст. 13.11 ч.12
Утечка ПДн (повторная)	—	—	0,1% – 3% годовой выручки (15 – 500 млн руб.)	ст. 13.11 ч.13
Незаконная обработка специальных категорий ПДн	4 000 – 10 000 руб.	20 000 – 40 000 руб.	100 000 – 300 000 руб.	ст. 13.11 ч.3

Обратите внимание: суммы штрафов могут отличаться в зависимости от конкретных обстоятельств дела. Судебная практика показывает, что повторные нарушения караются значительно строже.

Штрафы за обработку без согласия субъекта — ст. 13.11 ч.2 КоАП

Обработка персональных данных без письменного согласия субъекта, когда такое согласие требуется по закону, — самое распространённое нарушение, выявляемое Роскомнадзором при проверках.

Когда согласие обязательно

Согласие субъекта на обработку персональных данных требуется, если отсутствуют иные правовые основания для обработки, перечисленные в статье 6 Федерального закона от 27.07.2006 N 152-ФЗ. К ситуациям, когда согласие необходимо, относятся:

Обработка ПДн в рекламных и маркетинговых целях (рассылки, таргетированная реклама)
Передача ПДн третьим лицам, не являющимся стороной договора
Обработка биометрических персональных данных
Обработка специальных категорий ПДн (здоровье, расовая принадлежность, политические взгляды)
Трансграничная передача ПДн в страны, не обеспечивающие адекватную защиту

Размеры штрафов за первичное нарушение

За первичное нарушение (обработка без согласия) предусмотрены следующие штрафы:

Граждане: от 10 000 до 15 000 рублей
Должностные лица: от 100 000 до 300 000 рублей
Юридические лица: от 300 000 до 700 000 рублей

Повторные нарушения

Если организация не устранила нарушение или допустила его повторно, суммы значительно возрастают:

Граждане: от 15 000 до 30 000 рублей
Должностные лица: от 300 000 до 500 000 рублей
Юридические лица: от 1 000 000 до 1 500 000 рублей

На практике Роскомнадзор часто выявляет сразу несколько составов нарушений при одной проверке. Это означает, что штрафы суммируются. Организация может получить несколько протоколов одновременно — за отсутствие согласия, за непредоставление информации субъекту, за отсутствие политики обработки ПДн на сайте. Итоговая сумма штрафов легко превышает один миллион рублей.

Типичные ошибки

Наиболее частые причины штрафов по этой статье:

Формальное согласие — галочка на сайте без ссылки на полный текст согласия
Устаревшее согласие — содержание не соответствует актуальным требованиям закона
Избыточный сбор данных — запрос данных, не соответствующих целям обработки
Отсутствие разграничения целей — одно согласие на все виды обработки вместо отдельных
Непредоставление права отзыва — субъект не может легко отозвать согласие

Чтобы избежать этих ошибок, рекомендуем использовать конструктор документов, который формирует согласия в соответствии с актуальными требованиями 152-ФЗ.

Штрафы за утечку персональных данных

Введение оборотных штрафов за утечку персональных данных — одно из самых значимых изменений в российском законодательстве о защите ПДн последних лет. Подробнее об этих штрафах читайте в нашей статье оборотные штрафы за утечку ПДн.

Что считается утечкой

Утечка персональных данных — это неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия. Сюда входят:

Взлом базы данных и публикация информации
Несанкционированный доступ сотрудника к ПДн
Потеря носителя с персональными данными
Случайная отправка данных не тому адресату
Публикация ПДн в открытом доступе по ошибке

Оборотные штрафы: формула расчёта

Оборотные штрафы были введены для того, чтобы наказание стало ощутимым для крупных компаний, для которых фиксированные штрафы в несколько сотен тысяч рублей были незначительными.

Первичная утечка:

Фиксированный штраф от 3 000 000 до 15 000 000 рублей
Размер зависит от объёма утекших данных и категории ПДн

Повторная утечка:

Оборотный штраф: от 0,1% до 3% годовой выручки компании
Минимальная сумма: 15 000 000 рублей
Максимальная сумма: 500 000 000 рублей

Примеры расчёта

Рассмотрим несколько примеров для наглядности:

Пример 1. Небольшая компания (выручка 50 млн руб./год) Повторная утечка: 0,1% от 50 млн = 50 000 руб. Но минимальный порог — 15 млн руб. Значит, штраф составит 15 000 000 рублей. Для такой компании это может быть фатальным.

Пример 2. Средний бизнес (выручка 500 млн руб./год) Повторная утечка: 1% от 500 млн = 5 000 000 руб. Минимальный порог — 15 млн. Штраф: 15 000 000 рублей.

Пример 3. Крупная компания (выручка 10 млрд руб./год) Повторная утечка: 1% от 10 млрд = 100 000 000 руб. Штраф: 100 000 000 рублей.

Пример 4. Крупнейшие корпорации (выручка 50 млрд руб./год) Повторная утечка: 3% от 50 млрд = 1 500 000 000 руб. Но максимальный порог — 500 млн. Штраф: 500 000 000 рублей.

Обязанность уведомления об утечке

Помимо штрафов, оператор персональных данных обязан уведомить Роскомнадзор и субъектов ПДн об утечке в течение 24 часов с момента обнаружения инцидента. Неуведомление влечёт дополнительные санкции. В течение 72 часов необходимо также направить информацию о результатах внутреннего расследования.

Смягчающие обстоятельства

Размер штрафа может быть снижен, если организация:

Оперативно уведомила Роскомнадзор и субъектов ПДн
Провела внутреннее расследование и предоставила результаты
Предприняла меры по минимизации последствий утечки
Прошла аудит информационной безопасности до инцидента
Внедрила сертифицированные средства защиты информации

Штрафы за неподачу уведомления в Роскомнадзор

Каждый оператор персональных данных обязан до начала обработки ПДн подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные. Исключения предусмотрены статьёй 22 Федерального закона N 152-ФЗ, но на практике они применяются редко.

Кто обязан подавать уведомление

Уведомление обязаны подавать:

Все юридические лица, обрабатывающие ПДн сотрудников, клиентов, контрагентов
Индивидуальные предприниматели с наёмными работниками
Владельцы интернет-сайтов, собирающих данные пользователей
Организации, работающие с CRM-системами и базами данных клиентов
Медицинские, образовательные и иные учреждения

Размеры штрафов

На сегодняшний день штрафы за неподачу уведомления формально невелики:

Должностные лица: от 300 до 500 рублей
Юридические лица: от 3 000 до 5 000 рублей

Однако не стоит недооценивать это нарушение. Неподача уведомления часто становится отправной точкой для полноценной проверки Роскомнадзора, в ходе которой выявляются и другие нарушения с гораздо более серьёзными штрафами.

Последствия отсутствия уведомления

Помимо штрафа, отсутствие уведомления может повлечь:

Внеплановую проверку Роскомнадзора
Включение в план проверок на следующий период
Выявление сопутствующих нарушений (отсутствие политики, согласий и т.д.)
Репутационные риски при публикации результатов проверки

Если вы ещё не подали уведомление, рекомендуем сделать это незамедлительно. Подробную инструкцию по подаче уведомления вы найдёте в соответствующем разделе нашего сайта.

Другие штрафы по 152-ФЗ

Помимо основных составов, рассмотренных выше, существует ряд других нарушений, за которые предусмотрена ответственность.

Непредоставление информации субъекту ПДн

Субъект персональных данных имеет право запросить у оператора информацию об обработке его данных. Оператор обязан предоставить ответ в течение 10 рабочих дней. Нарушение этого требования влечёт штраф:

Граждане: от 2 000 до 4 000 рублей
Должностные лица: от 8 000 до 12 000 рублей
Юридические лица: от 40 000 до 80 000 рублей

Нарушение требований локализации

С 2015 года персональные данные граждан РФ должны храниться и первично обрабатываться на серверах, расположенных на территории России. Нарушение этого требования карается серьёзными штрафами:

Должностные лица: от 100 000 до 200 000 рублей (первичное), от 500 000 до 800 000 рублей (повторное)
Юридические лица: от 2 000 000 до 6 000 000 рублей (первичное), от 6 000 000 до 18 000 000 рублей (повторное)

Это требование особенно актуально для компаний, использующих зарубежные облачные сервисы, CRM-системы и сервисы аналитики.

Неуничтожение персональных данных в установленный срок

Оператор обязан уничтожить ПДн после достижения цели обработки или по требованию субъекта. Нарушение сроков уничтожения влечёт:

Граждане: от 2 000 до 4 000 рублей
Должностные лица: от 8 000 до 20 000 рублей
Юридические лица: от 50 000 до 90 000 рублей

При повторном нарушении штрафы значительно возрастают — до 500 000 рублей для юридических лиц.

Уголовная ответственность — статья 137 УК РФ

За грубые нарушения в области персональных данных предусмотрена уголовная ответственность. Статья 137 УК РФ «Нарушение неприкосновенности частной жизни» устанавливает:

Часть 1 (незаконный сбор или распространение сведений о частной жизни):

Штраф до 200 000 рублей или в размере дохода за 18 месяцев
Обязательные работы до 360 часов
Исправительные работы до 1 года
Принудительные работы до 2 лет
Арест до 4 месяцев
Лишение свободы до 2 лет

Часть 2 (с использованием служебного положения):

Штраф от 100 000 до 300 000 рублей или в размере дохода за 1–2 года
Лишение права занимать определённые должности на срок от 2 до 5 лет
Принудительные работы до 4 лет
Арест до 6 месяцев
Лишение свободы до 4 лет (в отдельных случаях — до 5 лет)

Уголовная ответственность наступает, как правило, при умышленных действиях: продажа баз данных, намеренное разглашение медицинской информации, шантаж с использованием персональных данных.

Ответственность за незаконную обработку специальных категорий ПДн

К специальным категориям относятся данные о расовой принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни. Их обработка без явного согласия субъекта или иного законного основания влечёт:

Граждане: от 4 000 до 10 000 рублей
Должностные лица: от 20 000 до 40 000 рублей
Юридические лица: от 100 000 до 300 000 рублей

Медицинские организации, HR-службы и образовательные учреждения находятся в зоне особого риска по этому составу.

Как избежать штрафов: пошаговая инструкция

Предотвратить штрафы значительно проще и дешевле, чем их оплачивать. Ниже приведена пошаговая инструкция, которая поможет привести обработку персональных данных в соответствие с законом.

Шаг 1. Проведите аудит обработки персональных данных

Прежде всего необходимо понять текущее состояние дел:

Какие персональные данные вы собираете (ФИО, контакты, паспортные данные и т.д.)
На каком основании обрабатываете (договор, согласие, закон)
Где хранятся данные (серверы, облачные сервисы, бумажные архивы)
Кто имеет доступ к ПДн
Передаёте ли данные третьим лицам
Есть ли трансграничная передача

Шаг 2. Оформите все необходимые документы

Минимальный комплект документов включает:

Политику обработки персональных данных (публикуется на сайте)
Приказ о назначении ответственного за обработку ПДн
Формы согласий на обработку ПДн (для сотрудников, клиентов, посетителей сайта)
Положение об обработке и защите персональных данных
Акт оценки вреда субъектам ПДн
Модель угроз безопасности ПДн (если есть ИСПДн)

Полный перечень документов зависит от специфики вашей деятельности. Ознакомьтесь со статьёй какие документы нужны по 152-ФЗ для получения полного чек-листа.

Шаг 3. Подайте уведомление в Роскомнадзор

Направьте уведомление в Роскомнадзор о начале обработки персональных данных. Уведомление подаётся через портал персональных данных pd.rkn.gov.ru или на бумажном носителе в территориальный орган.

Шаг 4. Внедрите технические и организационные меры защиты

Обеспечьте безопасность персональных данных:

Настройте разграничение доступа к ПДн
Используйте шифрование при передаче данных
Ведите журнал учёта операций с ПДн
Проводите регулярное резервное копирование
Обучите сотрудников правилам работы с ПДн
Внедрите антивирусное ПО и межсетевые экраны

Шаг 5. Проводите регулярный мониторинг и аудит

Соответствие 152-ФЗ — это не разовое мероприятие, а непрерывный процесс:

Ежегодно пересматривайте документы и актуализируйте их
Отслеживайте изменения в законодательстве
Проводите внутренние проверки не реже одного раза в год
Обновляйте модель угроз при изменении ИТ-инфраструктуры
Ведите учёт обращений субъектов ПДн и своевременно отвечайте на запросы

Используйте конструктор документов

Создание полного комплекта документов вручную — трудоёмкая задача, требующая глубоких знаний законодательства. Конструктор документов Кибероснова позволяет сформировать все необходимые документы за несколько минут:

Автоматическая генерация документов под вашу организацию
Соответствие актуальным требованиям 152-ФЗ
Регулярное обновление шаблонов при изменении законодательства
Юридически грамотные формулировки
Возможность скачать готовый комплект в удобном формате

Не откладывайте приведение в порядок документации по персональным данным. Размер штрафов в десятки и сотни раз превышает стоимость подготовки документов. Оборотные штрафы за утечку способны поставить под угрозу существование даже крупных компаний. Действуйте сейчас — перейдите в конструктор документов и создайте необходимые документы уже сегодня.