Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024.

Почему штрафы за персональные данные выросли в разы

30 ноября 2024 года был подписан Федеральный закон № 420-ФЗ, который радикально изменил систему санкций за нарушение 152-ФЗ. Если раньше максимальный штраф по ст. 13.11 КоАП составлял 300 000 рублей для юридических лиц, то теперь потолок вырос до 500 миллионов рублей в случае оборотных штрафов за повторные утечки данных.

Закон вступил в силу 30 мая 2025 года. Это значит, что все нарушения, выявленные Роскомнадзором с этой даты, квалифицируются уже по новым ставкам. Переходного периода нет — штрафы применяются немедленно.

Главная цель законодателя — создать экономический стимул для бизнеса вкладываться в защиту данных. До реформы штраф за утечку базы с миллионами записей мог составить 75 000 рублей — сумму, которая не мотивировала даже малый бизнес.

Таблица штрафов по ст. 13.11 КоАП РФ (актуально на 2026 год)

Обработка без правовых оснований (ч. 1 ст. 13.11)

Это самый распространённый состав: сайт собирает данные через формы, но нет правового основания — ни согласия, ни оферты, ни легитимного интереса.

  • Граждане: 10 000 - 15 000 рублей
  • Должностные лица: 100 000 - 300 000 рублей
  • Юридические лица: 300 000 - 700 000 рублей

При повторном нарушении суммы удваиваются: до 500 000 для должностных лиц и до 1 500 000 для юрлиц.

Обработка несовместимая с целями сбора (ч. 1.1 ст. 13.11)

Собрали email для доставки заказа, а потом используете для рассылки рекламы без отдельного согласия. Штраф аналогичен ч. 1.

Отсутствие согласия в письменной форме (ч. 2 ст. 13.11)

Для обработки специальных категорий данных (здоровье, биометрия, расовая принадлежность) требуется письменное согласие.

  • Граждане: 15 000 - 30 000 рублей
  • Должностные лица: 100 000 - 300 000 рублей
  • Юридические лица: до 6 000 000 рублей

Это ключевой штраф для медицинских учреждений, фитнес-клубов и образовательных организаций.

Неопубликование политики конфиденциальности (ч. 3 ст. 13.11)

Оператор обязан обеспечить неограниченный доступ к документу, определяющему политику обработки ПДн (ст. 18.1 152-ФЗ).

  • Граждане: 3 000 - 6 000 рублей
  • Должностные лица: 15 000 - 30 000 рублей
  • Юридические лица: 60 000 - 150 000 рублей

На практике Роскомнадзор проверяет наличие ссылки на политику в подвале сайта и содержание самого документа.

Невыполнение требования субъекта (ч. 5 ст. 13.11)

Субъект запросил уточнение, блокирование или уничтожение данных, а оператор не уложился в сроки: 7 рабочих дней на уточнение/уничтожение (ст. 21 ч. 1) и 30 дней на предоставление информации (ст. 20 ч. 3).

  • Граждане: 5 000 - 10 000 рублей
  • Должностные лица: 50 000 - 80 000 рублей
  • Юридические лица: 200 000 - 500 000 рублей

Утечка персональных данных (ч. 12-14 ст. 13.11) — НОВОЕ

Это самые серьёзные санкции, введённые ФЗ-420:

Первичная утечка (по количеству записей):

  • 1 000 - 10 000 субъектов: штраф 3 000 000 - 5 000 000 ₽
  • 10 000 - 100 000 субъектов: штраф 5 000 000 - 10 000 000 ₽
  • Более 100 000 субъектов: штраф 10 000 000 - 15 000 000 ₽
  • Утечка биометрии или специальных категорий: до 20 000 000 ₽

Повторная утечка — оборотный штраф:

  • от 1% до 3% выручки за календарный год
  • Минимум: 20 000 000 ₽
  • Максимум: 500 000 000 ₽

Важно: уведомить Роскомнадзор об инциденте нужно в течение 24 часов, а результаты расследования предоставить за 72 часа через портал pd.rkn.gov.ru/incidents/.

Кто и как проверяет

Роскомнадзор проводит проверки двух типов:

Плановые проверки — включены в план на год, публикуются заранее. В 2025 году план проверок существенно расширен за счёт digital-компаний.

Внеплановые проверки — по жалобам граждан, по фактам утечек, по результатам мониторинга. Роскомнадзор активно мониторит сайты и мобильные приложения автоматическими средствами.

В 2025-2026 годах Роскомнадзор акцентирует внимание на:

  • Сайтах без политики конфиденциальности
  • Формах без чекбокса согласия
  • Отсутствии cookie-баннера при использовании трекеров
  • Компаниях, не подавших уведомление в реестр операторов

Как минимизировать риски: 5 шагов

  1. Разместите политику конфиденциальности — настоящую, с реквизитами, перечнем данных и целей, не шаблон из интернета
  2. Добавьте согласия на формы — каждая форма, собирающая данные, должна иметь чекбокс с ссылкой на политику
  3. Установите cookie-баннер — с реальными кнопками «Принять» и «Отклонить», блокирующий аналитику до получения согласия
  4. Подайте уведомление в Роскомнадзор — через pd.rkn.gov.ru, это обязательно для большинства операторов
  5. Подготовьте внутренние документы — реестр обработки, согласия сотрудников, регламент инцидентов

Сколько это стоит на практике

Средний бизнес тратит на полное приведение в соответствие 152-ФЗ от 50 000 до 300 000 рублей, если обращается к юристам. При этом минимальный штраф за совокупность типичных нарушений (нет политики + нет согласий + нет уведомления РКН) составляет от 400 000 рублей для юридического лица.

Автоматические сервисы позволяют закрыть базовые требования за 4 990 - 20 990 рублей — это в 10-15 раз дешевле ручной работы юриста и в 20 раз дешевле минимального штрафа.

Проверьте свой сайт прямо сейчас. Бесплатный аудит на соответствие 152-ФЗ →

Статья актуальна на апрель 2026 года. Нормативные акты: 152-ФЗ «О персональных данных», КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024. Суммы штрафов приведены по состоянию на апрель 2026 года.