Штрафы за нарушение 152-ФЗ в 2026 году: полный обзор
Какие штрафы грозят за нарушение закона о персональных данных в 2026 году. Оборотные штрафы до 500 млн ₽, новая редакция КоАП, практика применения.
Штрафы за нарушение 152-ФЗ в 2026 году: полный обзор
Федеральный закон №152-ФЗ «О персональных данных» обязывает каждую организацию, собирающую данные клиентов или сотрудников, соблюдать определённые правила. С 30 мая 2025 года ситуация кардинально изменилась — Федеральный закон №420-ФЗ от 30.11.2024 переписал статью 13.11 КоАП РФ. Штрафы выросли в десятки раз, появились оборотные штрафы до 500 млн ₽, отменена 50% скидка за быструю оплату. Разбираемся, что грозит бизнесу и как этого избежать.
Кого это касается
Если ваш бизнес хоть как-то работает с людьми — 152-ФЗ касается вас. Вот минимальный список:
- У вас есть сайт с формой обратной связи (имя + телефон = персональные данные)
- Вы ведёте базу клиентов в CRM или Excel
- У вас работают сотрудники (кадровый учёт = обработка ПДн)
- Вы рассылаете email или SMS клиентам
- На сайте установлены cookie-файлы или системы аналитики
Важно: Размер компании не имеет значения. ИП с одним сайтом и «Газпром» — оба являются операторами ПДн.
Полная таблица штрафов 2026 года для юрлиц
Все суммы — по статье 13.11 КоАП РФ в редакции от 30.05.2025:
| # | Нарушение | Часть 13.11 КоАП | Штраф для юрлиц |
|---|---|---|---|
| 1 | Обработка ПДн без основания / не по целям | ч. 1 | 150 000 – 300 000 ₽ |
| 2 | Повтор по ч. 1 | ч. 1.1 | 300 000 – 500 000 ₽ |
| 3 | Без согласия / нарушение формы согласия (с 01.09.2025) | ч. 2 | 300 000 – 700 000 ₽ |
| 4 | Повтор по ч. 2 | ч. 2.1 | 1 000 000 – 1 500 000 ₽ |
| 5 | Нет политики обработки ПДн на сайте | ч. 3 | 30 000 – 60 000 ₽ |
| 6 | Не предоставлена информация субъекту | ч. 4 | 40 000 – 80 000 ₽ |
| 7 | Не уточнили / не уничтожили ПДн | ч. 5 | 50 000 – 90 000 ₽ |
| 8 | Хранение ПДн вне РФ (локализация) | ч. 8 | 1 000 000 – 6 000 000 ₽ |
| 9 | Повтор локализации | ч. 9 | 6 000 000 – 18 000 000 ₽ |
| 10 | Не подано уведомление в РКН | ч. 10 | 100 000 – 300 000 ₽ |
| 11 | Не уведомили РКН об утечке (24/72 часа) | ч. 11 | 1 000 000 – 3 000 000 ₽ |
| 12 | Утечка 1–10 тыс. субъектов | ч. 12 | 3 000 000 – 5 000 000 ₽ |
| 13 | Утечка 10–100 тыс. субъектов | ч. 13 | 5 000 000 – 10 000 000 ₽ |
| 14 | Утечка более 100 тыс. субъектов | ч. 14 | 10 000 000 – 15 000 000 ₽ |
| 15 | 🔥 Повторная утечка | ч. 15 | 1–3% оборота, 20–500 млн ₽ |
| 16 | Утечка спец. категорий ПДн | ч. 16 | 10 000 000 – 15 000 000 ₽ |
| 17 | Утечка биометрии | ч. 17 | 15 000 000 – 20 000 000 ₽ |
| 18 | Повтор по ч. 16–17 | ч. 18 | 1–3% оборота, 25–500 млн ₽ |
Что изменилось с 30 мая 2025 года
До этой даты за утечку любого масштаба применялся общий состав ч. 1 ст. 13.11 КоАП — всего 60–100 тысяч рублей для юрлиц. Объём утечки не учитывался. Теперь всё по-другому:
- ✅ Введена дифференциация по масштабу — чем больше утечка, тем больше штраф
- ✅ Введены оборотные штрафы за повторные утечки — 1–3% годовой выручки, до 500 млн ₽
- ✅ Появилась отдельная ответственность за неуведомление РКН в сроки 24 и 72 часа
- ✅ Штрафы по «бумажным» составам (нет политики, нет уведомления, нет согласия) выросли в 5–30 раз
- ❌ Отменена 50% скидка за быструю оплату — теперь платите полную сумму
Важно для банков: При оборотных штрафах за повторные утечки (ч. 15, 18) база считается не от выручки, а от размера собственных средств (капитала) на дату нарушения.
Новые правила оформления согласий с 1 сентября 2025
С этой даты согласие на обработку ПДн должно быть отдельным документом. Запрещено «зашивать» его в:
- Договор с клиентом
- Публичную оферту
- Пользовательское соглашение
- Анкету при оформлении услуги
Нарушение тарифицируется по ч. 2 ст. 13.11 КоАП — от 300 до 700 тысяч рублей для юрлиц.
Хорошая новость: Согласия, оформленные ДО 01.09.2025 по старым правилам, остаются действительными — переоформлять весь архив не нужно. Но все новые согласия должны соответствовать новым требованиям.
Оборотные штрафы — главное оружие регулятора
С 2025 года за повторные утечки персональных данных действуют оборотные штрафы — от 1% до 3% годовой выручки компании. Что это означает на практике:
- Для компании с выручкой 100 млн ₽ — штраф от 1 до 3 млн рублей
- Для компании с выручкой 1 млрд ₽ — штраф от 10 до 30 млн рублей
- Для компании с выручкой 10 млрд ₽ — штраф от 100 до 300 млн рублей
- Минимум — 20 млн ₽, максимум — 500 млн ₽
Для повторных утечек спец. категорий ПДн или биометрии (ч. 18) — минимум уже 25 млн ₽.
5 самых частых нарушений на практике
По нашему опыту, вот что чаще всего находят проверяющие:
- Нет политики обработки ПДн на сайте — самое банальное и самое частое. Штраф до 60 000 ₽ для юрлица
- Согласие зашито в договор (с 01.09.2025) — теперь это самостоятельное нарушение со штрафом до 700 000 ₽
- Нет уведомления в Роскомнадзор — оператор не зарегистрирован в реестре. Штраф до 300 000 ₽
- Нет приказа о назначении ответственного — должен быть конкретный сотрудник, отвечающий за ПДн
- Нет модели угроз — для компаний с повышенными требованиями к защите
Как проверяет Роскомнадзор
Проверки бывают двух типов:
- Плановые — по ежегодному графику, публикуется на сайте прокуратуры. На 2026 год действует мораторий для большинства компаний до 2030 года, но есть исключения для объектов высокого риска.
- Внеплановые — по жалобам граждан, сотрудников, конкурентов. Мораторий на них не распространяется.
По статистике, 60% внеплановых проверок инициированы жалобами бывших сотрудников или конкурентов.
Что делать прямо сейчас
- Проверьте, есть ли на вашем сайте политика обработки персональных данных
- Убедитесь, что согласия — отдельные документы, а не часть договоров
- Проверьте, что ваши формы сбора данных собирают согласие правильно
- Проверьте свою компанию в реестре операторов Роскомнадзора
- Если вас нет в реестре — подайте уведомление
- Назначьте ответственного за обработку ПДн приказом
- Проверьте, что данные хранятся на серверах в РФ
Стоимость подготовки полного комплекта документов — от 15 000 ₽. Это в сотни раз меньше минимального штрафа за серьёзное нарушение.
Источники
- Статья 13.11 КоАП РФ — действующая редакция на КонсультантПлюс
- ФЗ № 420-ФЗ от 30.11.2024 — введение оборотных штрафов
- Приказ Роскомнадзора № 140 от 19.06.2025 — методы обезличивания
Не уверены, всё ли в порядке с вашей документацией? Пройдите бесплатный экспресс-аудит — 5 минут, и вы будете знать точно. Или оставьте заявку на консультацию эксперта.