Оборотные штрафы за утечку персональных данных
С 30 мая 2025 года за повторную утечку ПДн — оборотный штраф: 1–3% от годовой выручки. Минимум 20 млн ₽, максимум 500 млн ₽.
Формула расчёта
Оборотный штраф (ч. 15, 18 ст. 13.11 КоАП)
Штраф = 1–3% × Годовая выручка
Мин. 20 млн ₽ (25 млн для спецкатегорий) · Макс. 500 млн ₽
Когда применяется оборотный штраф
Ч. 15 ст. 13.11 КоАП — повторная утечка обычных ПДн
Повторное нарушение по ч. 12–14 (утечка от 1 000 субъектов). Мин. 20 млн ₽.
Ч. 18 ст. 13.11 КоАП — повторная утечка спец./биометрических ПДн
Повторное нарушение по ч. 16–17 (специальные категории или биометрия). Мин. 25 млн ₽.
Для банков: % от размера собственных средств (капитала) на дату нарушения
Шкала штрафов по масштабу утечки
Первичная утечка наказывается фиксированным штрафом. Оборотный — только при повторной.
1–10 тыс. ПДн
3–5 млн ₽
10–100 тыс. ПДн
5–10 млн ₽
100 тыс.+ ПДн
10–15 млн ₽
Повторная утечка
до 500 млн ₽
Примеры расчёта по выручке
| Выручка | 1% | 3% | Штраф факт. |
|---|---|---|---|
| 100 млн ₽ | 1 млн ₽ | 3 млн ₽ | 20 млн ₽ (минимум) |
| 500 млн ₽ | 5 млн ₽ | 15 млн ₽ | 20 млн ₽ (минимум) |
| 2 млрд ₽ | 20 млн ₽ | 60 млн ₽ | 20–60 млн ₽ |
| 10 млрд ₽ | 100 млн ₽ | 300 млн ₽ | 100–300 млн ₽ |
| 50 млрд ₽ | 500 млн ₽ | 1,5 млрд ₽ | 500 млн ₽ (максимум) |
Как смягчить оборотный штраф
Все три условия должны соблюдаться одновременно. При выполнении ставка оборотного штрафа снижается (вплоть до 0,1% выручки), но не ниже абсолютного минимума 20 млн ₽ (ч. 15 ст. 13.11 КоАП).
Инвестиции в кибербезопасность
Не менее 0,1% от годовой выручки ежегодно в течение последних 3 лет на услуги/средства защиты у лицензиатов ФСТЭК или ФСБ.
- ✓ Расходы на консалтинговые и интеграционные услуги по ИБ
- ✓ Сервисы кибербезопасности (SOC, пентесты, мониторинг)
- ✓ Приобретение средств защиты информации
Документированная оценка соответствия
За последний год перед утечкой — оценка соответствия с привлечением лицензиата ФСТЭК.
- ✓ Оценка соответствия требованиям по защите ПДн
- ✓ Оценка эффективности реализованных мер защиты
- ✓ Аттестация информационной системы
Отсутствие предыдущих нарушений
Отсутствие ранее наложенных наказаний за нарушения по статьям 13.11, 13.6, 13.12 КоАП РФ.
- ✓ Нет административных наказаний по ст. 13.11 КоАП
- ✓ Нет наказаний по ст. 13.6 КоАП
- ✓ Нет наказаний по ст. 13.12 КоАП
Пример: выручка 1 млрд ₽
Полный штраф (3%) — 30 млн ₽. При выполнении условий ставка снижается, но штраф не опускается ниже 20 млн ₽ — это абсолютный минимум по ч. 15 ст. 13.11 КоАП.
Снижённый штраф не может быть ниже 20 млн ₽ — это абсолютный минимум по ч. 15 ст. 13.11 КоАП.
Важно знать
⚠️ Скидка 50% НЕ применяется к штрафам по всем составам ст. 13.11 КоАП РФ
⏰ 24 часа — срок первичного уведомления РКН об утечке. 72 часа — срок представления результатов расследования в РКН
📅 Срок давности — 1 год. Дела рассматривают мировые судьи (с 28.12.2025 — ФЗ №508-ФЗ).
Не ждите повторной утечки
Оформите документы по 152-ФЗ и подготовьте регламент реагирования на инциденты.
Создать документы