ФЗ №420-ФЗ от 30.11.2024

Оборотные штрафы за утечку персональных данных

С 30 мая 2025 года за повторную утечку ПДн — оборотный штраф: 1–3% от годовой выручки. Минимум 20 млн ₽, максимум 500 млн ₽.

Формула расчёта

Оборотный штраф (ч. 15, 18 ст. 13.11 КоАП)

Штраф = 1–3% × Годовая выручка

Мин. 20 млн ₽ (25 млн для спецкатегорий) · Макс. 500 млн ₽

Ч. 15 ст. 13.11 КоАП — повторная утечка обычных ПДн

Повторное нарушение по ч. 12–14 (утечка от 1 000 субъектов). Мин. 20 млн ₽.

Ч. 18 ст. 13.11 КоАП — повторная утечка спец./биометрических ПДн

Повторное нарушение по ч. 16–17 (специальные категории или биометрия). Мин. 25 млн ₽.

Для банков: % от размера собственных средств (капитала) на дату нарушения

Первичная утечка наказывается фиксированным штрафом. Оборотный — только при повторной.

1–10 тыс. ПДн

3–5 млн ₽

10–100 тыс. ПДн

5–10 млн ₽

100 тыс.+ ПДн

10–15 млн ₽

Оборотный

Повторная утечка

до 500 млн ₽

Выручка	1%	3%	Штраф факт.
100 млн ₽	1 млн ₽	3 млн ₽	20 млн ₽ (минимум)
500 млн ₽	5 млн ₽	15 млн ₽	20 млн ₽ (минимум)
2 млрд ₽	20 млн ₽	60 млн ₽	20–60 млн ₽
10 млрд ₽	100 млн ₽	300 млн ₽	100–300 млн ₽
50 млрд ₽	500 млн ₽	1,5 млрд ₽	500 млн ₽ (максимум)

Все три условия должны соблюдаться одновременно. При выполнении штраф снижается в 10 раз.

Не менее 0,1% от годовой выручки ежегодно в течение последних 3 лет на услуги/средства защиты у лицензиатов ФСТЭК или ФСБ.

За последний год перед утечкой — оценка соответствия с привлечением лицензиата ФСТЭК.

Отсутствие ранее наложенных наказаний за нарушения по статьям 13.11, 13.6, 13.12 КоАП РФ.

Инвестиции 3 млн за 3 года → экономия 27 млн на штрафе = ROI 9x

⚠️ Скидка 50% НЕ применяется к штрафам по всем составам ст. 13.11 КоАП РФ

⏰ 24 часа — срок первичного уведомления РКН об утечке. 72 часа — срок представления результатов расследования в РКН

📅 Срок давности — 1 год. Дела рассматривают мировые судьи (с 28.12.2025 — ФЗ №508-ФЗ).

Оформите документы по 152-ФЗ и подготовьте регламент реагирования на инциденты.