420-ФЗ: новые штрафы за персональные данные
Самое масштабное ужесточение штрафов за ПДн в истории. 9 новых частей в ст. 13.11 КоАП, оборотные штрафы до 500 млн ₽, отмена скидки 50%.
Что изменил 420-ФЗ: ключевые цифры
9
новых частей в ст. 13.11
500 млн ₽
макс. оборотный штраф
30.05.2025
дата вступления в силу
0%
скидка — отменена
Главные нововведения
1. Оборотные штрафы за повторные утечки
1–3% от годовой выручки (мин. 20 млн, макс. 500 млн ₽). Применяются при повторном нарушении по ч. 12–14 или ч. 16–17 ст. 13.11. Для банков — % от капитала.
2. Градация штрафов по масштабу утечки
Три уровня: 1–10 тыс. субъектов (3–5 млн), 10–100 тыс. (5–10 млн), 100 тыс.+ (10–15 млн). Отдельно — утечка спецкатегорий и биометрии.
3. Штрафы за неуведомление РКН
Ч. 10 — неуведомление о начале обработки (до 300 тыс.). Ч. 11 — неуведомление об утечке в 24 часа (до 3 млн ₽). Ранее таких составов не существовало.
4. Отмена скидки 50%
Скидка 50% при оплате штрафа в первые 20 дней НЕ применяется ко всем составам ст. 13.11 КоАП.
Сравнение: было / стало
| Нарушение | Было (юрлица) | Стало (юрлица) |
|---|---|---|
| Обработка ПДн без оснований или несовместимая с целями сбора ч. 1 ст. 13.11 | 60 000 – 100 000 ₽ | 150 000 – 300 000 ₽ |
| Повторное: обработка без оснований или несовместимая с целями ч. 1.1 ст. 13.11 | 100 000 – 300 000 ₽ | 300 000 – 500 000 ₽ |
Новые составы (14)
Обработка ПДн без оснований или несовместимая с целями сбора
Повторное: обработка без оснований или несовместимая с целями
Неуведомление или несвоевременное уведомление РКН о начале обработки ПДн
Неуведомление РКН об утечке ПДн (24ч — инцидент, 72ч — расследование)
Утечка ПДн: 1 000–10 000 субъектов или 10 000–100 000 идентификаторов
Утечка ПДн: 10 000–100 000 субъектов или 100 000–1 000 000 идентификаторов
Утечка ПДн: более 100 000 субъектов или более 1 000 000 идентификаторов
ПОВТОРНАЯ утечка ПДн — оборотный штраф
Доп. см. ч. 34-2 ст. 4.1 КоАП (смягчающие обстоятельства). Для банков: % от собственных средств (капитала)
Утечка специальных категорий ПДн (здоровье, раса, политические взгляды)
Утечка биометрических ПДн
ПОВТОРНАЯ утечка спец./биометрических ПДн — оборотный штраф
Доп. см. ч. 34-2 ст. 4.1 КоАП (смягчающие обстоятельства). Для банков: % от собственных средств (капитала)
Нарушение порядка обработки биометрических ПДн в ЕБС
Непринятие мер безопасности биометрических ПДн в ЕБС
Обработка биометрии без аккредитации или с прекращённой аккредитацией
Дополнение: ФЗ №508-ФЗ от 28.12.2025
С 28 декабря 2025 года дела по ст. 13.11 КоАП переданы из арбитражных судов в юрисдикцию мировых судей. Это означает: более короткие сроки рассмотрения, иной порядок обжалования (районные суды вместо арбитражных апелляций), усиление позиции Роскомнадзора при привлечении к ответственности.
Хронология ключевых законов
27.07.2006
Принят 152-ФЗ
Федеральный закон «О персональных данных» — базовый закон о защите ПДн в России.
26.07.2017
Принят 187-ФЗ о КИИ
Введены требования к безопасности критической информационной инфраструктуры и штрафы за их нарушение.
02.12.2019
Штрафы за локализацию
Введены штрафы до 6 млн ₽ за хранение ПДн граждан РФ за рубежом (ст. 13.11, ч. 8).
30.11.2024
Подписан 420-ФЗ
Введены оборотные штрафы до 500 млн ₽ за повторные утечки, дифференцированная шкала по масштабу.
30.11.2024
Подписан 421-ФЗ
Введена ст. 272.1 УК РФ — уголовная ответственность за незаконное использование ПДн (до 10 лет).
11.12.2024
Ст. 272.1 УК вступила в силу
Уголовная ответственность за незаконный сбор, хранение, использование и передачу персональных данных.
30.05.2025
420-ФЗ вступил в силу
Оборотные штрафы, градация по масштабу утечек, новые составы (ч. 10–18 ст. 13.11 КоАП). Ключевая дата.
Приведите документы в соответствие 420-ФЗ
Обновите политики, согласия и регламенты с учётом новых требований.
Создать документы