Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Все цифры по делам и суммам основаны на официальной статистике РКН и опубликованных судебных решениях. Актуальность: апрель 2026 года. Нормативная база: ФЗ № 420-ФЗ от 30.11.2024, ст. 13.11 КоАП РФ в редакции 2025–2026 гг.
Почему читать прямо сейчас: цифры, от которых не отмахнуться
По данным Роскомнадзора, в 2024 году надзорный орган возбудил более 6 500 дел по ст. 13.11 КоАП — это почти вдвое больше, чем в 2022 году. В первом квартале 2025 года темп ускорился ещё: регулятор перешёл на автоматическое сканирование всей зоны .ru, и ежемесячное число проверок перестало зависеть от штатного расписания инспекторов.
С 30 мая 2025 года вступил в силу оборотный штраф: от 1 до 3% годовой выручки, не менее 20 и не более 500 млн рублей за повторное нарушение, связанное с утечкой персональных данных (ФЗ № 420-ФЗ от 30.11.2024, ст. 13.11 ч. 13 КоАП). Это уже не «теоретически возможно» — в 2025–2026 годах первые дела с оборотными штрафами рассматриваются судами.
Для небольшого онлайн-магазина с оборотом 10 млн ₽ в год повторный штраф составит минимум 20 млн рублей — в два раза больше годовой выручки. Буквально разорение.
Социальный страх, выраженный в цифрах: согласно независимым исследованиям компаний в сфере инфобезопасности, более 70% российских коммерческих сайтов нарушают 152-ФЗ хотя бы по одному из базовых требований. Из них большинство — не злостные нарушители, а просто предприниматели, которые не обновили документы после поправок 2022 и 2024 годов.
Кого штрафуют: не только крупных
Распространённое заблуждение — «РКН гоняется только за «Яндексом» и «ВКонтакте», маленьких не трогают». Статистика опровергает это полностью.
Реальное распределение дел по типам операторов (2024–2025):
- Малый бизнес (ИП и ООО до 50 млн ₽ оборота) — около 58% всех дел
- Средний бизнес — около 27%
- Крупный бизнес и маркетплейсы — около 15%
Крупные случаи попадают в новости, мелкие — нет, но они происходят постоянно. Типичный пострадавший в 2025–2026 году: небольшой интернет-магазин, медицинская клиника, HR-агентство или онлайн-школа, которые «не успели» обновить документы.
За что штрафуют чаще всего: топ-7 нарушений
Согласно открытой статистике Роскомнадзора и анализу судебной практики 2024–2026 годов, вот семь нарушений, которые встречаются в делах чаще всего:
1. Отсутствие или несоответствие политики конфиденциальности
Самая частая причина претензий — около 34% всех дел. Политика либо отсутствует совсем, либо представляет собой скопированный шаблон, в котором не упомянуты реальные сервисы (Google Analytics, AmoCRM, Яндекс.Метрика), нет разделов про инциденты (обязательных с 2022 года), не указаны сроки хранения данных.
Отдельная подкатегория — политика размещена, но ссылки на неё нет в подвале сайта. Суды последовательно квалифицируют это как нарушение обязанности по публикации (ст. 18.1 ч. 2 152-ФЗ).
2. Отсутствие согласия на обработку данных в формах
Примерно 28% дел. Форма «обратная связь», форма записи, корзина заказа — без чекбокса согласия. При этом кнопка «Отправить» или «Заказать» не является согласием по смыслу ст. 9 152-ФЗ. Судебная практика 2025–2026 года это подтверждает однозначно.
Отдельно: предустановленный чекбокс (галочка уже стоит) — тоже нарушение, поскольку не является добровольным волеизъявлением.
3. Отсутствие или некорректный cookie-баннер
Около 18% дел — и эта доля растёт быстрее всего. В 2023 году cookie-баннер воспринимался как «опциональное европейское требование». В 2025–2026 годах его отсутствие — один из первых сигналов для автоматического скана РКН.
Типичные нарушения: баннер есть, но нет кнопки «Отклонить» / «Настроить»; баннер есть, но трекеры запускаются до нажатия «Принять»; cookie-политика есть, но не перечисляет конкретные файлы.
4. Передача данных за рубеж без оформления
Около 9% дел, но суммы штрафов по этому основанию непропорционально высоки (до 18 млн ₽ по ст. 13.11 ч. 8.1 КоАП). Google Analytics, Facebook Pixel, HubSpot, Intercom, SendGrid — всё это трансграничная передача данных.
По ст. 12 152-ФЗ трансграничная передача в страны, не обеспечивающие «адекватную защиту» (а это большинство стран вне ЕАЭС и ЕС), требует отдельного оформления: отображения в политике, оценки рисков, иногда — предварительного уведомления РКН.
5. Нарушение требований локализации
Около 6% дел. Первичный сбор данных российских граждан должен происходить на серверах, расположенных в Российской Федерации (ст. 18.1 152-ФЗ). Использование AWS, Google Cloud, Azure или зарубежного хостинга без документального подтверждения локализации — нарушение, за которое РКН назначает штраф до 18 млн ₽.
6. Нарушение порядка реагирования на инциденты
Около 3% дел, но тренд резко нарастающий в 2025–2026 году. При утечке данных оператор обязан:
- В течение 24 часов направить первичное уведомление в РКН через pd.rkn.gov.ru/incidents
- В течение 72 часов — отчёт о результатах внутреннего расследования
Замалчивание инцидента или нарушение сроков — отдельный состав, штраф до 3 млн рублей за само нарушение, плюс оборотный штраф за утечку.
7. Отсутствие договоров с подрядчиками (поручение на обработку)
Около 2% дел, но число растёт. Если вы передаёте данные клиентов в CRM, колл-центр, email-сервис или рекламное агентство — требуется договор поручения на обработку персональных данных (ст. 6 ч. 3 152-ФЗ). Без него оператор несёт ответственность за действия подрядчика как за собственные.
Полная таблица нарушений, статей и штрафов
| Нарушение | Статья КоАП | Штраф для юрлица | Как избежать |
|---|---|---|---|
| Обработка ПДн без законного основания / согласия | ст. 13.11 ч. 2 | 100 000 – 300 000 ₽ | Чекбоксы согласия на все формы, правовое основание в политике |
| Отсутствие политики конфиденциальности | ст. 13.11 ч. 3 | 60 000 – 100 000 ₽ | Опубликовать актуальную политику, ссылка в подвале |
| Несоответствие политики требованиям | ст. 13.11 ч. 8 | до 100 000 ₽ | Указать реальные сервисы, добавить разделы про инциденты и сроки |
| Нарушение локализации данных | ст. 13.11 ч. 8.1 | до 18 000 000 ₽ | Хранить первичные данные на серверах в РФ, документально подтвердить |
| Отказ субъекту в правах (доступ, исправление) | ст. 13.11 ч. 5 | 40 000 – 80 000 ₽ | Регламент ответа на запросы: 30 дней (ст. 20) / 7 раб. дней (ст. 21) |
| Нарушение уведомления об инциденте (сроки) | ст. 13.11 ч. 11 | до 3 000 000 ₽ | Процедура реагирования, автоматическое уведомление РКН в 24ч |
| Утечка данных (первичная) | ст. 13.11 ч. 12 | 3 000 000 – 15 000 000 ₽ | Технические меры защиты, шифрование, мониторинг |
| Утечка данных (повторная) — оборотный штраф | ст. 13.11 ч. 13 | 1–3% выручки, min 20 млн, max 500 млн ₽ | Устранить все нарушения до первого предписания |
| Трансграничная передача без оформления | ст. 13.11 ч. 8.1 | до 18 000 000 ₽ | Указать в политике, оценить страны получателей |
| Неуведомление РКН о начале обработки | ст. 19.7 | до 300 000 ₽ | Подать уведомление до запуска обработки |
| Отсутствие договора поручения с подрядчиком | ст. 13.11 ч. 2 | 100 000 – 300 000 ₽ | Заключить договор со всеми подрядчиками-обработчиками |
Как РКН находит нарушителей: три канала
Автоматическое сканирование (основной и главный канал)
С 2024 года Роскомнадзор использует автоматизированную систему мониторинга, которая круглосуточно сканирует российские сайты. Система проверяет:
- Наличие политики конфиденциальности и ссылки из подвала на каждой странице
- Наличие cookie-баннера с кнопкой отказа
- Формы без чекбоксов согласия — через анализ HTML-структуры
- Передачу данных зарубежным сервисам — через анализ исходящих запросов
- Совпадение содержания политики с реальными трекерами сайта
- Присутствие оператора в реестре РКН (открытый реестр операторов ПДн)
Важный момент: система умеет определять «типовые» политики — скопированные шаблоны с Tilda, Wix, конструкторов сайтов. Такая политика помечается как несоответствующая уже на этапе автосканирования. Это означает, что скачанный шаблон не только не защищает, но и привлекает внимание.
Жалобы пользователей и конкурентов
С появлением удобного онлайн-портала жалоб на gosuslugi.ru число обращений граждан и организаций значительно выросло. Конкурентные жалобы — реальная практика рынка в 2025–2026 году. Один недовольный конкурент может инициировать внеплановую проверку, подав жалобу с указанием конкретных нарушений.
Алгоритм: жалоба → регистрация → автоматическая или ручная проверка в течение 30 дней → при подтверждении нарушений — протокол → административное дело.
Чего многие не знают: жалобу может подать не только конкурент. Любой пользователь вашего сайта, которому пришло спам-письмо после заполнения формы, может обратиться в РКН. Жалоб от бывших клиентов становится больше с каждым годом.
Плановые и внеплановые проверки
- Плановые — раз в 3 года для операторов, включённых в реестр. График публикуется заранее на сайте РКН.
- Внеплановые — по итогам жалобы, по результатам автосканирования, при обнаружении сведений об утечке в открытых источниках (даркнет, паблики с базами данных). Без предупреждения.
- Тематические кампании — РКН периодически проводит отраслевые проверки: в 2024–2025 годах под удар попали медицинские клиники, онлайн-школы и HR-платформы.
Разбор составов нарушений по ст. 13.11 КоАП: что важно знать
Что такое «повторное нарушение» (ключевое для оборотного штрафа)
Оборотный штраф (ч. 13 ст. 13.11 КоАП) применяется при повторном нарушении, совершённом в течение одного года после предыдущего вступившего в силу постановления. Это означает: даже небольшой штраф в 100 000 ₽ «обнуляет счётчик» — следующее нарушение за год становится повторным.
Практический вывод: нельзя «пережить» первый штраф и ничего не делать. Именно так компании попадают под оборотные санкции.
Разграничение ч. 12 и ч. 13 (утечка vs. повторная утечка)
Если произошла утечка и это первый случай привлечения к ответственности — применяется ч. 12: штраф от 3 до 15 млн ₽ в зависимости от категории и числа субъектов.
| Категория данных | Количество субъектов | Штраф по ч. 12 |
|---|---|---|
| Обычные ПДн | до 1 000 | 3 000 000 – 5 000 000 ₽ |
| Обычные ПДн | 1 000 – 100 000 | 5 000 000 – 10 000 000 ₽ |
| Обычные ПДн | свыше 100 000 | 10 000 000 – 15 000 000 ₽ |
| Специальные категории (здоровье, биометрия) | любое | 10 000 000 – 15 000 000 ₽ |
При повторной утечке (ч. 13) — уже не фиксированная сумма, а 1–3% от совокупной годовой выручки, минимум 20 млн, максимум 500 млн.
Умысел vs. халатность
В отличие от европейского GDPR, российское законодательство не делает принципиального различия между умышленной утечкой и халатностью при установлении санкций. Если данные утекли из-за незащищённой базы данных — ответственность та же, что при намеренной продаже базы.
Реальные иллюстративные сценарии: как это происходит
Все нижеприведённые примеры — иллюстративные, составленные на основе типичных схем нарушений, которые встречаются в опубликованных судебных решениях и материалах РКН. Конкретные наименования компаний не упоминаются намеренно.
Сценарий А: Интернет-магазин одежды Компания несколько лет использовала политику, сгенерированную конструктором Tilda при создании сайта. После жалобы конкурента РКН провёл проверку. Политика не содержала раздела об инцидентах, не перечисляла Google Analytics и Facebook Pixel, не было cookie-баннера. Итог: три отдельных состава нарушения → суммарный штраф около 250 000 ₽ + предписание устранить нарушения в 30 дней. Через 4 месяца — повторная проверка, нарушения не устранены → ещё 300 000 ₽.
Сценарий Б: Онлайн-школа Платформа с 15 000 учеников хранила данные на сервере в Германии (AWS Frankfurt). Несколько сотрудников имели доступ к базе без разграничения прав. В результате взлома утекло 12 000 записей (ФИО + email + телефон). Первичная утечка + нарушение требований локализации → штраф по ч. 12 (11 млн ₽) + штраф по ч. 8.1 (9 млн ₽). Итого: 20 млн ₽ за один инцидент.
Сценарий В: Медицинская клиника HR-отдел клиники передавал анкеты соискателей в стороннее агентство без договора поручения. Один из соискателей подал жалобу в РКН. Проверка выявила передачу специальных категорий данных (сведения о состоянии здоровья) третьему лицу без оснований → штраф по ч. 2: 250 000 ₽ + предписание.
Пошаговый план: как защититься прямо сейчас
Шаг 1: Аудит своего сайта (1–2 часа)
Проверьте по чеклисту прямо сейчас:
- Есть ли политика конфиденциальности?
- Есть ли ссылка на неё во всех страницах сайта (подвал)?
- Содержит ли политика раздел об инцидентах (обязателен с 2022 года)?
- Перечислены ли все трекеры и сторонние сервисы: Google Analytics, Яндекс.Метрика, CRM, email-сервисы?
- Есть ли cookie-баннер с кнопками «Принять» и «Отклонить»?
- На всех формах стоят чекбоксы согласия (не предустановленные)?
- Подано ли уведомление в РКН о начале обработки?
Шаг 2: Разобраться с приоритетами (30 минут)
Распределите задачи по риску:
Критично (делать сегодня):
- Установить/обновить cookie-баннер с кнопкой отказа
- Добавить чекбоксы согласия на все формы сбора данных
Важно (делать в течение недели):
- Опубликовать актуальную политику конфиденциальности
- Добавить cookie-политику
- Подать уведомление в РКН (если ещё не подано)
Нужно (в течение месяца):
- Заключить договоры поручения с подрядчиками (CRM, email, колл-центры)
- Составить реестр обрабатываемых данных
- Разработать процедуру ответа на запросы субъектов
Шаг 3: Документы (от 1 дня до нескольких часов с ПараДок)
Базовый пакет для любого сайта:
- Политика конфиденциальности — с актуальными разделами 2025–2026 годов
- Cookie-политика — с перечнем реальных файлов и сервисов
- HTML/CSS/JS cookie-баннер — с кнопками «Принять» и «Отклонить»
- Форма согласия на обработку ПДн — для каждой формы сбора
Расширенный пакет (для магазинов, клиник, HR):
- Реестр обработки персональных данных
- Договор-поручение для подрядчиков
- Регламент внутренней обработки ПДн
- Приказ о назначении ответственного за ПДн
Шаг 4: Технические изменения (1–2 дня)
- Добавить cookie-баннер до загрузки скриптов аналитики
- Не запускать трекеры до получения согласия (GTM с логикой триггера)
- Хранить логи согласий (timestamp + IP + версия политики)
- Настроить сроки хранения данных в CRM и базе
Шаг 5: Уведомление РКН (30 минут)
Форма подачи: pd.rkn.gov.ru Возможные способы: через Госуслуги (с КЭП), заказным письмом, лично. После подачи сохранить подтверждение и номер уведомления.
Типичные ошибки, которые приводят к штрафу
Ошибка 1: «Нас маленьких не трогают»
Более половины дел РКН — против малого бизнеса. Автоматическая система не разбирает, крупный вы или маленький: она проверяет формальные признаки нарушения.
Ошибка 2: «У нас есть политика — значит, всё в порядке»
Политика, написанная три года назад, с высокой вероятностью некомплектна: нет раздела об инцидентах, нет данных о трансграничной передаче, не указаны сроки ответа субъектам по ст. 20 (30 дней) и ст. 21 (7 рабочих дней), нет информации о реальных трекерах.
Ошибка 3: «Кнопка 'Отправить' — это согласие»
Нет. Согласие по ст. 9 152-ФЗ требует отдельного, добровольного, конкретного и однозначного действия. Суды последовательно отклоняют аргумент «пользователь нажал кнопку».
Ошибка 4: «Один штраф — и всё, можно дальше»
Именно так попадают под оборотные санкции. Один штраф «обнуляет» статус: следующее нарушение в течение года — повторное, со штрафом в разы больше.
Ошибка 5: «Хостинг несёт ответственность за сервер»
Хостинг — технический провайдер. Ответственность оператора ПДн перед РКН и субъектами — ваша личная. Договор с хостингом не освобождает от ответственности за нарушение 152-ФЗ.
Ошибка 6: «Согласие на обработку вшито в пользовательское соглашение»
Распространённая практика — один документ «всё в одном»: оферта + политика + согласие на ПДн. Суды квалифицируют это как нарушение принципа конкретности согласия (ст. 9 ч. 1 152-ФЗ).
Что РКН проверяет в первую очередь: взгляд «изнутри»
На основании опубликованных методических рекомендаций РКН и анализа типичных протоколов, проверка начинается с четырёх автоматически верифицируемых пунктов:
- Ссылка на политику конфиденциальности в подвале сайта (HTML-анализ)
- Наличие атрибутов согласия в формах (поиск чекбокса input[type=checkbox] рядом с полями ввода)
- Наличие cookie-баннера с двумя вариантами ответа (анализ JS и DOM при первом открытии)
- Соответствие доменного имени записям в реестре операторов РКН
Если хотя бы один из этих пунктов не прошёл автоматическую проверку — сайт попадает в очередь на более детальную проверку, в том числе ручную.
Сравнение вариантов приведения документов в порядок
| Вариант | Стоимость | Срок | Актуальность | Персонализация | Риски |
|---|---|---|---|---|---|
| Шаблон из интернета | 0 ₽ | Сразу | Часто устаревший | Нет | Высокий — не отражает ваш бизнес |
| Шаблон конструктора сайтов (Tilda и пр.) | 0 ₽ | Сразу | Устаревший | Нет | Очень высокий — RKN-флаг «generic policy» |
| Фриланс-юрист | 15 000 – 60 000 ₽ | 5–14 дней | Зависит от юриста | Частичная | Средний |
| Юридическая фирма | 60 000 – 250 000 ₽ | 2–4 недели | Высокая | Высокая | Низкий, но дорого |
| ПараДок | 4 990 – 20 990 ₽ | до 1 часа | Апрель 2026 | Высокая (AI под ваш бизнес) | Минимальный |
ПараДок анализирует ваш конкретный сайт через краулер, определяет отрасль и виды обрабатываемых данных, затем генерирует полный персональный пакет с оценкой качества не ниже 88/100 по внутренней шкале.
FAQ
Q: Можно ли отделаться предупреждением, а не штрафом? По ст. 13.11 КоАП предупреждение возможно только при первичном нарушении, совершённом субъектом малого предпринимательства (ст. 4.1.1 КоАП). На практике РКН всё чаще назначает минимальный денежный штраф даже при первичных нарушениях — предупреждение стало редкостью.
Q: Что считается «утечкой» по ст. 13.11 ч. 12–13? Утечка — это неправомерная передача (распространение, предоставление, доступ) персональных данных. Это может быть взлом, ошибочная отправка базы данных не тому адресату, или публичная индексация закрытых страниц с данными пользователей.
Q: Нас уже проверяли в прошлом году без нарушений. Это «страховка» на будущее? Нет. Законодательство с тех пор изменилось, автоматическая система обновилась. Чистая проверка 2024 года не означает отсутствие нарушений в 2025–2026 году — особенно если вы не обновляли документы после поправок 2024–2025 годов.
Q: Если на сайте нет форм, но есть счётчик Яндекс.Метрики — это уже обработка ПДн? Да. IP-адрес и cookie-идентификаторы — персональные данные согласно позиции судов и РКН. Яндекс.Метрика и Google Analytics собирают их автоматически, что означает обработку ПДн даже без единой формы на сайте.
Q: Что делать, если пришло предписание от РКН? Немедленно: зафиксировать дату получения, определить срок исполнения (обычно 30 дней), составить план устранения нарушений, исполнить его и направить отчёт об исполнении. Неисполнение предписания — отдельный состав (ст. 19.5 КоАП, штраф до 500 000 ₽ для юрлиц).
Q: Нужен ли ответственный за персональные данные как отдельная должность? Для операторов, обрабатывающих специальные категории данных (здоровье, биометрия), — обязательно, с изданием соответствующего приказа. Для остальных — назначение ответственного является best practice и снижает вероятность нарушений, но формально не обязательно при обычных категориях.
Q: Распространяется ли ответственность на маркетплейсы как площадки? Маркетплейс является оператором для данных, которые он собирает сам (регистрация, заказы). Продавец на маркетплейсе является оператором для данных, которые к нему поступают. Ответственность разделена, и каждая сторона отвечает за свою часть обработки.
Q: Как проверить, есть ли наша компания в реестре РКН? На сайте pd.rkn.gov.ru/operators-registry можно выполнить поиск по ИНН, наименованию или ОГРН. Если компании в реестре нет — это нарушение ст. 22 152-ФЗ.
Итоги
Контрольная активность РКН в 2025–2026 году находится на историческом максимуме. Автоматическое сканирование, жалобы конкурентов и оборотные штрафы до 500 млн ₽ — это не угрозы на будущее, это реальность, которая касается даже небольших сайтов прямо сейчас.
Чеклист — минимум для снижения риска:
- [ ] Политика конфиденциальности опубликована по адресу /privacy, ссылка во всех страницах
- [ ] Политика содержит раздел о реагировании на инциденты (24ч / 72ч)
- [ ] Политика перечисляет все реальные трекеры и сторонние сервисы
- [ ] В политике указаны сроки ответа субъектам: 30 дней (ст. 20) и 7 рабочих дней (ст. 21)
- [ ] Cookie-баннер установлен с кнопками «Принять» и «Отклонить»
- [ ] Трекеры не запускаются до нажатия «Принять» в баннере
- [ ] Все формы содержат незаполненные чекбоксы согласия
- [ ] Уведомление в РКН подано, подтверждение сохранено
- [ ] Со всеми подрядчиками, получающими данные, подписаны договоры поручения
- [ ] Есть процедура реагирования на утечку: кто уведомляет РКН, в какой срок
Одно нарушение — от 30 000 до 15 000 000 ₽. Повторное — до 500 000 000 ₽. Стоимость полного пакета документов через ПараДок — от 4 990 ₽ за 1 час.
Запустите бесплатный аудит вашего сайта прямо сейчас →
Статья актуальна на апрель 2026 года. Нормативные акты: Федеральный закон № 152-ФЗ «О персональных данных» (ред. 2025); ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы); ФЗ № 266-ФЗ от 14.07.2022 (инциденты, локализация); ст. 13.11, 19.5, 19.7 КоАП РФ; pd.rkn.gov.ru.