Кибероснова152-ФЗ

Штрафы за нарушение закона о персональных данных

3 ноября 2025 г.12 мин чтения

Штрафы за нарушение закона о персональных данных — одна из самых болезненных тем для бизнеса в России. С 30 мая 2025 года (Федеральный закон 420-ФЗ от 30.11.2024) штрафы по ст. 13.11 КоАП РФ выросли в 5-10 раз. Параллельно 589-ФЗ от 30.11.2024 ввёл оборотные штрафы за утечку персональных данных — от 1% до 3% годовой выручки, с минимумом 25 млн ₽ и максимумом 500 млн ₽. В этой статье разберём актуальную таблицу штрафов по 152-ФЗ на 2026 год, объясним за что именно наказывают, и покажем как минимизировать риски.

Основной нормативный акт, регулирующий ответственность за нарушения в области персональных данных, — статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). За крупные утечки персональных данных с 30 мая 2025 года предусмотрена уголовная ответственность по ст. 272.1 УК РФ (введена 420-ФЗ) — до 5 лет лишения свободы. Это новая статья УК, специально предназначенная для случаев умышленной утечки или неправомерного использования ПДн в крупных размерах (ранее применялась только общая ст. 137 УК «О незаконном сборе сведений о частной жизни»).

Актуальная таблица штрафов за персональные данные в 2026 году

Ниже представлена сводная таблица основных штрафов за нарушения в области обработки персональных данных. Суммы актуальны с учётом последних поправок.

НарушениеГражданеДолжностные лицаЮридические лицаСтатья КоАП
Обработка ПДн без письменного согласия субъекта (когда оно обязательно)10 000 – 15 000 руб.100 000 – 300 000 руб.300 000 – 700 000 руб.ст. 13.11 ч.2
Повторная обработка ПДн без согласия15 000 – 30 000 руб.300 000 – 500 000 руб.1 000 000 – 1 500 000 руб.ст. 13.11 ч.2.1
Обработка ПДн без законного основания2 000 – 6 000 руб.10 000 – 20 000 руб.60 000 – 100 000 руб.ст. 13.11 ч.1
Повторная обработка без основания4 000 – 12 000 руб.20 000 – 50 000 руб.100 000 – 300 000 руб.ст. 13.11 ч.1.1
Непредоставление информации субъекту ПДн2 000 – 4 000 руб.8 000 – 12 000 руб.40 000 – 80 000 руб.ст. 13.11 ч.4
Нарушение сроков уничтожения ПДн2 000 – 4 000 руб.8 000 – 20 000 руб.50 000 – 90 000 руб.ст. 13.11 ч.5
Повторное нарушение сроков уничтожения15 000 – 30 000 руб.30 000 – 50 000 руб.300 000 – 500 000 руб.ст. 13.11 ч.5.1
Нарушение порядка обезличивания ПДн6 000 – 12 000 руб.ст. 13.11 ч.7
Неуведомление Роскомнадзора о начале обработки ПДн300 – 500 руб.3 000 – 5 000 руб.ст. 19.7
Нарушение локализации ПДн граждан РФ100 000 – 200 000 руб.2 000 000 – 6 000 000 руб.ст. 13.11 ч.8
Повторное нарушение локализации500 000 – 800 000 руб.6 000 000 – 18 000 000 руб.ст. 13.11 ч.9
Непринятие мер по обеспечению безопасности ПДн2 000 – 4 000 руб.8 000 – 20 000 руб.50 000 – 100 000 руб.ст. 13.11 ч.6
Утечка ПДн (первичная, оборотные штрафы)3 000 000 – 15 000 000 руб.ст. 13.11 ч.12
Утечка ПДн (повторная)0,1% – 3% годовой выручки (15 – 500 млн руб.)ст. 13.11 ч.13
Незаконная обработка специальных категорий ПДн4 000 – 10 000 руб.20 000 – 40 000 руб.100 000 – 300 000 руб.ст. 13.11 ч.3

Обратите внимание: суммы штрафов могут отличаться в зависимости от конкретных обстоятельств дела. Судебная практика показывает, что повторные нарушения караются значительно строже.

Штрафы за обработку без согласия субъекта — ст. 13.11 ч.2 КоАП

Обработка персональных данных без письменного согласия субъекта, когда такое согласие требуется по закону, — самое распространённое нарушение, выявляемое Роскомнадзором при проверках.

Когда согласие обязательно

Согласие субъекта на обработку персональных данных требуется, если отсутствуют иные правовые основания для обработки, перечисленные в статье 6 Федерального закона от 27.07.2006 N 152-ФЗ. К ситуациям, когда согласие необходимо, относятся:

  • Обработка ПДн в рекламных и маркетинговых целях (рассылки, таргетированная реклама)
  • Передача ПДн третьим лицам, не являющимся стороной договора
  • Обработка биометрических персональных данных
  • Обработка специальных категорий ПДн (здоровье, расовая принадлежность, политические взгляды)
  • Трансграничная передача ПДн в страны, не обеспечивающие адекватную защиту

Размеры штрафов за первичное нарушение

За первичное нарушение (обработка без согласия) предусмотрены следующие штрафы:

  • Граждане: от 10 000 до 15 000 рублей
  • Должностные лица: от 100 000 до 300 000 рублей
  • Юридические лица: от 300 000 до 700 000 рублей

Повторные нарушения

Если организация не устранила нарушение или допустила его повторно, суммы значительно возрастают:

  • Граждане: от 15 000 до 30 000 рублей
  • Должностные лица: от 300 000 до 500 000 рублей
  • Юридические лица: от 1 000 000 до 1 500 000 рублей

На практике Роскомнадзор часто выявляет сразу несколько составов нарушений при одной проверке. Это означает, что штрафы суммируются. Организация может получить несколько протоколов одновременно — за отсутствие согласия, за непредоставление информации субъекту, за отсутствие политики обработки ПДн на сайте. Итоговая сумма штрафов легко превышает один миллион рублей.

Типичные ошибки

Наиболее частые причины штрафов по этой статье:

  1. Формальное согласие — галочка на сайте без ссылки на полный текст согласия
  2. Устаревшее согласие — содержание не соответствует актуальным требованиям закона
  3. Избыточный сбор данных — запрос данных, не соответствующих целям обработки
  4. Отсутствие разграничения целей — одно согласие на все виды обработки вместо отдельных
  5. Непредоставление права отзыва — субъект не может легко отозвать согласие

Чтобы избежать этих ошибок, рекомендуем использовать конструктор документов, который формирует согласия в соответствии с актуальными требованиями 152-ФЗ.

Штрафы за утечку персональных данных

Введение оборотных штрафов за утечку персональных данных — одно из самых значимых изменений в российском законодательстве о защите ПДн последних лет. Подробнее об этих штрафах читайте в нашей статье оборотные штрафы за утечку ПДн.

Что считается утечкой

Утечка персональных данных — это неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия. Сюда входят:

  • Взлом базы данных и публикация информации
  • Несанкционированный доступ сотрудника к ПДн
  • Потеря носителя с персональными данными
  • Случайная отправка данных не тому адресату
  • Публикация ПДн в открытом доступе по ошибке

Оборотные штрафы: формула расчёта

Оборотные штрафы были введены для того, чтобы наказание стало ощутимым для крупных компаний, для которых фиксированные штрафы в несколько сотен тысяч рублей были незначительными.

Первичная утечка:

  • Фиксированный штраф от 3 000 000 до 15 000 000 рублей
  • Размер зависит от объёма утекших данных и категории ПДн

Повторная утечка:

  • Оборотный штраф: от 0,1% до 3% годовой выручки компании
  • Минимальная сумма: 15 000 000 рублей
  • Максимальная сумма: 500 000 000 рублей

Примеры расчёта

Рассмотрим несколько примеров для наглядности:

Пример 1. Небольшая компания (выручка 50 млн руб./год) Повторная утечка: 0,1% от 50 млн = 50 000 руб. Но минимальный порог — 15 млн руб. Значит, штраф составит 15 000 000 рублей. Для такой компании это может быть фатальным.

Пример 2. Средний бизнес (выручка 500 млн руб./год) Повторная утечка: 1% от 500 млн = 5 000 000 руб. Минимальный порог — 15 млн. Штраф: 15 000 000 рублей.

Пример 3. Крупная компания (выручка 10 млрд руб./год) Повторная утечка: 1% от 10 млрд = 100 000 000 руб. Штраф: 100 000 000 рублей.

Пример 4. Крупнейшие корпорации (выручка 50 млрд руб./год) Повторная утечка: 3% от 50 млрд = 1 500 000 000 руб. Но максимальный порог — 500 млн. Штраф: 500 000 000 рублей.

Обязанность уведомления об утечке

Помимо штрафов, оператор персональных данных обязан уведомить Роскомнадзор и субъектов ПДн об утечке в течение 24 часов с момента обнаружения инцидента. Неуведомление влечёт дополнительные санкции. В течение 72 часов необходимо также направить информацию о результатах внутреннего расследования.

Смягчающие обстоятельства

Размер штрафа может быть снижен, если организация:

  • Оперативно уведомила Роскомнадзор и субъектов ПДн
  • Провела внутреннее расследование и предоставила результаты
  • Предприняла меры по минимизации последствий утечки
  • Прошла аудит информационной безопасности до инцидента
  • Внедрила сертифицированные средства защиты информации

Штрафы за неподачу уведомления в Роскомнадзор

Каждый оператор персональных данных обязан до начала обработки ПДн подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные. Исключения предусмотрены статьёй 22 Федерального закона N 152-ФЗ, но на практике они применяются редко.

Кто обязан подавать уведомление

Уведомление обязаны подавать:

  • Все юридические лица, обрабатывающие ПДн сотрудников, клиентов, контрагентов
  • Индивидуальные предприниматели с наёмными работниками
  • Владельцы интернет-сайтов, собирающих данные пользователей
  • Организации, работающие с CRM-системами и базами данных клиентов
  • Медицинские, образовательные и иные учреждения

Размеры штрафов

На сегодняшний день штрафы за неподачу уведомления формально невелики:

  • Должностные лица: от 300 до 500 рублей
  • Юридические лица: от 3 000 до 5 000 рублей

Однако не стоит недооценивать это нарушение. Неподача уведомления часто становится отправной точкой для полноценной проверки Роскомнадзора, в ходе которой выявляются и другие нарушения с гораздо более серьёзными штрафами.

Последствия отсутствия уведомления

Помимо штрафа, отсутствие уведомления может повлечь:

  • Внеплановую проверку Роскомнадзора
  • Включение в план проверок на следующий период
  • Выявление сопутствующих нарушений (отсутствие политики, согласий и т.д.)
  • Репутационные риски при публикации результатов проверки

Если вы ещё не подали уведомление, рекомендуем сделать это незамедлительно. Подробную инструкцию по подаче уведомления вы найдёте в соответствующем разделе нашего сайта.

Другие штрафы по 152-ФЗ

Помимо основных составов, рассмотренных выше, существует ряд других нарушений, за которые предусмотрена ответственность.

Непредоставление информации субъекту ПДн

Субъект персональных данных имеет право запросить у оператора информацию об обработке его данных. Оператор обязан предоставить ответ в течение 10 рабочих дней. Нарушение этого требования влечёт штраф:

  • Граждане: от 2 000 до 4 000 рублей
  • Должностные лица: от 8 000 до 12 000 рублей
  • Юридические лица: от 40 000 до 80 000 рублей

Нарушение требований локализации

С 2015 года персональные данные граждан РФ должны храниться и первично обрабатываться на серверах, расположенных на территории России. Нарушение этого требования карается серьёзными штрафами:

  • Должностные лица: от 100 000 до 200 000 рублей (первичное), от 500 000 до 800 000 рублей (повторное)
  • Юридические лица: от 2 000 000 до 6 000 000 рублей (первичное), от 6 000 000 до 18 000 000 рублей (повторное)

Это требование особенно актуально для компаний, использующих зарубежные облачные сервисы, CRM-системы и сервисы аналитики.

Неуничтожение персональных данных в установленный срок

Оператор обязан уничтожить ПДн после достижения цели обработки или по требованию субъекта. Нарушение сроков уничтожения влечёт:

  • Граждане: от 2 000 до 4 000 рублей
  • Должностные лица: от 8 000 до 20 000 рублей
  • Юридические лица: от 50 000 до 90 000 рублей

При повторном нарушении штрафы значительно возрастают — до 500 000 рублей для юридических лиц.

Уголовная ответственность — статья 137 УК РФ

За грубые нарушения в области персональных данных предусмотрена уголовная ответственность. Статья 137 УК РФ «Нарушение неприкосновенности частной жизни» устанавливает:

Часть 1 (незаконный сбор или распространение сведений о частной жизни):

  • Штраф до 200 000 рублей или в размере дохода за 18 месяцев
  • Обязательные работы до 360 часов
  • Исправительные работы до 1 года
  • Принудительные работы до 2 лет
  • Арест до 4 месяцев
  • Лишение свободы до 2 лет

Часть 2 (с использованием служебного положения):

  • Штраф от 100 000 до 300 000 рублей или в размере дохода за 1–2 года
  • Лишение права занимать определённые должности на срок от 2 до 5 лет
  • Принудительные работы до 4 лет
  • Арест до 6 месяцев
  • Лишение свободы до 4 лет (в отдельных случаях — до 5 лет)

Уголовная ответственность наступает, как правило, при умышленных действиях: продажа баз данных, намеренное разглашение медицинской информации, шантаж с использованием персональных данных.

Ответственность за незаконную обработку специальных категорий ПДн

К специальным категориям относятся данные о расовой принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни. Их обработка без явного согласия субъекта или иного законного основания влечёт:

  • Граждане: от 4 000 до 10 000 рублей
  • Должностные лица: от 20 000 до 40 000 рублей
  • Юридические лица: от 100 000 до 300 000 рублей

Медицинские организации, HR-службы и образовательные учреждения находятся в зоне особого риска по этому составу.

Как избежать штрафов: пошаговая инструкция

Предотвратить штрафы значительно проще и дешевле, чем их оплачивать. Ниже приведена пошаговая инструкция, которая поможет привести обработку персональных данных в соответствие с законом.

Шаг 1. Проведите аудит обработки персональных данных

Прежде всего необходимо понять текущее состояние дел:

  • Какие персональные данные вы собираете (ФИО, контакты, паспортные данные и т.д.)
  • На каком основании обрабатываете (договор, согласие, закон)
  • Где хранятся данные (серверы, облачные сервисы, бумажные архивы)
  • Кто имеет доступ к ПДн
  • Передаёте ли данные третьим лицам
  • Есть ли трансграничная передача

Шаг 2. Оформите все необходимые документы

Минимальный комплект документов включает:

  • Политику обработки персональных данных (публикуется на сайте)
  • Приказ о назначении ответственного за обработку ПДн
  • Формы согласий на обработку ПДн (для сотрудников, клиентов, посетителей сайта)
  • Положение об обработке и защите персональных данных
  • Акт оценки вреда субъектам ПДн
  • Модель угроз безопасности ПДн (если есть ИСПДн)

Полный перечень документов зависит от специфики вашей деятельности. Ознакомьтесь со статьёй какие документы нужны по 152-ФЗ для получения полного чек-листа.

Шаг 3. Подайте уведомление в Роскомнадзор

Направьте уведомление в Роскомнадзор о начале обработки персональных данных. Уведомление подаётся через портал персональных данных pd.rkn.gov.ru или на бумажном носителе в территориальный орган.

Шаг 4. Внедрите технические и организационные меры защиты

Обеспечьте безопасность персональных данных:

  • Настройте разграничение доступа к ПДн
  • Используйте шифрование при передаче данных
  • Ведите журнал учёта операций с ПДн
  • Проводите регулярное резервное копирование
  • Обучите сотрудников правилам работы с ПДн
  • Внедрите антивирусное ПО и межсетевые экраны

Шаг 5. Проводите регулярный мониторинг и аудит

Соответствие 152-ФЗ — это не разовое мероприятие, а непрерывный процесс:

  • Ежегодно пересматривайте документы и актуализируйте их
  • Отслеживайте изменения в законодательстве
  • Проводите внутренние проверки не реже одного раза в год
  • Обновляйте модель угроз при изменении ИТ-инфраструктуры
  • Ведите учёт обращений субъектов ПДн и своевременно отвечайте на запросы

Используйте конструктор документов

Создание полного комплекта документов вручную — трудоёмкая задача, требующая глубоких знаний законодательства. Конструктор документов Кибероснова позволяет сформировать все необходимые документы за несколько минут:

  • Автоматическая генерация документов под вашу организацию
  • Соответствие актуальным требованиям 152-ФЗ
  • Регулярное обновление шаблонов при изменении законодательства
  • Юридически грамотные формулировки
  • Возможность скачать готовый комплект в удобном формате

Сравнение способов подготовки документов

ПараметрЮрист по ИБСамостоятельноКибероснова
Стоимость пакета 152-ФЗ200 000 – 700 000 ₽0 ₽ прямых затратБесплатно при регистрации, тариф под проект
Срок подготовки1-2 месяца2-4 месяца15-30 минут
Учёт 420-ФЗ + 589-ФЗ + ст. 272.1 УКЗависит от юристаСами отслеживайтеАвтоматически в SaaS
Регламент инцидентов 24/72 часаПлатный документСамостоятельноВ стандартном пакете
Подписка = расход на ИБ (смягчающий фактор)Не применимоНе применимоЗасчитывается по ч.12 ст.13.11 КоАП
Multi-org для холдинговПлатно за каждое юрлицоДублированиеОдин аккаунт = много юрлиц

Чем Кибероснова отличается от конкурентов

  • 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
  • Единый пакет ОРД — 15-25 связанных документов с правильной перекрёстной структурой генерируются вместе, а не по одному.
  • Multi-org для холдингов — один аккаунт работает на все юрлица без отдельных подписок.
  • Подписка = расход на ИБ. Стоимость SaaS можно зачесть в обязательные 0,1% от выручки на ИБ — прямое смягчающее обстоятельство по ч. 12 ст. 13.11 КоАП.

Не откладывайте приведение в порядок документации по персональным данным. Размер штрафов в десятки и сотни раз превышает стоимость подготовки документов. Оборотные штрафы за утечку способны поставить под угрозу существование даже крупных компаний. Действуйте сейчас — перейдите в конструктор документов и создайте необходимые документы уже сегодня.

Воронов Дмитрий

Воронов Дмитрий

Эксперт Киберосновы

Консультант по комплаенсу и регуляторным требованиям. Специализируется на отраслевой специфике: медицина, образование, финансы. Автор методических материалов по 152-ФЗ.

комплаенсотраслевая спецификамедицинаобразование

Часто задаваемые вопросы

Для граждан — 10 000–15 000 руб., для должностных лиц — 100 000–300 000 руб., для юрлиц — 300 000–700 000 руб. (ст. 13.11 ч.2 КоАП). При повторном нарушении суммы увеличиваются.
За неуведомление РКН о намерении обрабатывать ПДн (ст. 13.11 ч.10 КоАП) для юрлиц — 100 000–300 000 руб. После поправок ФЗ-420 суммы существенно увеличены.
Да. Ст. 137 УК РФ: штраф до 200 000 руб. или лишение свободы до 2 лет. За использование служебного положения — лишение свободы до 4 лет (с лишением права занимать должности до 5 лет).
Рассчитываются как процент от годовой выручки. Первичная утечка — 3–15 млн руб., повторная — 1%–3% выручки (не менее 20 млн, не более 500 млн руб.).
Оформите документы, подайте уведомление в РКН, назначьте ответственного, проводите аудит. Используйте конструктор Кибероснова для быстрого создания документов.

Оформите документы по 152-ФЗ за 15 минут

Создайте пакет документов сами в конструкторе или закажите готовый комплект под ключ.

Создать документ

Связанные материалы