Штрафы по 152-ФЗ в 2026: полная таблица по ст. 13.11 КоАП
С 30 мая 2025 года в России действует новая редакция ст. 13.11 КоАП: девять старых частей превратились в восемнадцать, а штрафы для организаций выросли кратно. За обработку персональных данных без согласия юрлицо платит от 300 000 до 700 000 рублей, за повторные утечки спецкатегорий — до 500 миллионов или 3% годовой выручки. Для ИП по большинству «тяжёлых» частей ответственность такая же, как для юрлица. С декабря 2024 года действует уголовная статья 272.1 УК — до 10 лет за незаконный оборот персональных данных, полученных преступным путём.
Что изменилось: реформа ФЗ-420 и ФЗ-421
Раньше ст. 13.11 КоАП умещалась в девяти частях с относительно скромными санкциями. 30 ноября 2024 года вышли сразу два федеральных закона — ФЗ-420 и ФЗ-421 — и всё переиначили.
ФЗ-420 вступил в силу 30 мая 2025 года. Он расширил статью до восемнадцати частей, ввёл отдельные составы за неуведомление Роскомнадзора (ч. 10), за непередачу сведений об утечке (ч. 11), за сами утечки в зависимости от масштаба (ч. 12–17) и оборотные штрафы за повторные нарушения (ч. 15, 18).
ФЗ-421 добавил в Уголовный кодекс статью 272.1 — уголовная ответственность за незаконный оборот персональных данных, полученных преступным путём. Вступила в силу 11 декабря 2024 года.
С 1 июля 2025 года ужесточили требования к локализации: ФЗ-23 (28.02.2025) превратил ч. 5 ст. 18 152-ФЗ в прямой запрет хранить и обрабатывать ПДн граждан РФ в зарубежных базах при первичном сборе.
С 1 сентября 2025 года ФЗ-156 запретил «вшивать» согласие на обработку персональных данных в оферту или договор: каждая цель — отдельное согласие, отдельное действие.
Регуляторная нагрузка выросла резко. Штрафы стали реально болезненными, а не символическими.
Полная таблица штрафов по ст. 13.11 КоАП (ред. с 30.05.2025)
Формат колонок: граждане / должностные лица / ИП / юридические лица. По примечанию 1 к статье ИП несут ответственность как юрлицо по ч. 1.1 и ч. 8–18. По ч. 1 и ч. 2 ИП приравнивается к должностному лицу.
| Часть | Нарушение | Граждане | Должностные лица | ИП | Юрлица |
|---|---|---|---|---|---|
| ч. 1 | Обработка без законных оснований или несовместимо с целями | 10–15 тыс. | 50–100 тыс. | как должн. | 150–300 тыс. |
| ч. 1.1 | То же, повторно | 15–30 тыс. | 100–200 тыс. | как юрлицо | 300–500 тыс. |
| ч. 2 | Обработка без надлежащего согласия / нарушение состава согласия | 10–15 тыс. | 100–300 тыс. | как должн. | 300–700 тыс. |
| ч. 2.1 | То же, повторно | 15–30 тыс. | 300–500 тыс. | 500 тыс. – 1 млн | 1–1,5 млн |
| ч. 3 | Не опубликована Политика / нет сведений о защите | 1,5–3 тыс. | 6–12 тыс. | 10–20 тыс. | 30–60 тыс. |
| ч. 4 | Субъекту не предоставлена информация об обработке | 2–4 тыс. | 8–12 тыс. | 20–30 тыс. | 40–80 тыс. |
| ч. 5 | Не выполнено требование уточнить / блокировать / уничтожить | 2–4 тыс. | 8–20 тыс. | 20–40 тыс. | 50–90 тыс. |
| ч. 8 | Нарушение локализации (БД граждан РФ не в РФ) | 30–50 тыс. | 100–200 тыс. | как юрлицо | 1–6 млн |
| ч. 9 | То же, повторно | 50–100 тыс. | 500–800 тыс. | как юрлицо | 6–18 млн |
| ч. 10 | Неподача или просрочка уведомления в РКН | 5–10 тыс. | 30–50 тыс. | как юрлицо | 100–300 тыс. |
| ч. 11 | Несообщение в РКН об утечке в срок (24/72 ч) | 50–100 тыс. | 400–800 тыс. | как юрлицо | 1–3 млн |
| ч. 12 | Утечка 1–10 тыс. субъектов | — | — | как юрлицо | 3–5 млн |
| ч. 13 | Утечка 10–100 тыс. субъектов | — | — | как юрлицо | 5–10 млн |
| ч. 14 | Утечка более 100 тыс. субъектов | — | — | как юрлицо | 10–15 млн |
| ч. 15 | Повторная утечка обычных ПДн (оборотный штраф) | — | — | как юрлицо | 1–3% выручки, не менее 20 млн и не более 500 млн |
| ч. 16 | Утечка спецкатегорий ПДн | — | — | как юрлицо | 10–15 млн |
| ч. 17 | Утечка биометрических ПДн | — | — | как юрлицо | 15–20 млн |
| ч. 18 | Повторная утечка спецкатегорий / биометрии (оборотный) | — | — | как юрлицо | 1–3% выручки, не менее 25 млн и не более 500 млн |
Льгота добросовестным операторам. Если компания три года подряд тратила не менее 0,1% годовой выручки на защиту персональных данных и это подтверждено документально, оборотный штраф (ч. 15 и ч. 18) снижается до 1/10 от минимального порога.
Что наказывают чаще всего: топ-5 составов для сайта
Для большинства владельцев сайтов реальный риск сосредоточен в пяти составах.
Ч. 2 — обработка без согласия. Самый дорогой из «повседневных» нарушений: 300–700 тысяч рублей для организации за первое нарушение. Форма обратной связи без чекбокса согласия, предустановленная галочка, одна галочка на несколько целей сразу (с 1 сентября 2025 года это уже нарушение ФЗ-156) — всё сюда.
Ч. 3 — нет Политики конфиденциальности. Самый распространённый и самый простой в обнаружении: РКН видит это при беглом сканировании. Для юрлица 30–60 тысяч рублей, для ИП 10–20 тысяч. Политика должна быть опубликована на сайте при любом сборе данных через интернет.
Ч. 10 — неуведомление РКН. Новый состав, которого раньше не было. Почти каждый оператор обязан подать уведомление до начала обработки. За отсутствие регистрации юрлицо и ИП платят 100–300 тысяч рублей.
Ч. 8 — нарушение локализации. Если CRM, рассылочный сервис или аналитика хранят данные россиян за рубежом без их предварительного попадания в российскую базу — это ч. 8. Штраф 1–6 миллионов рублей за первое нарушение, 6–18 миллионов за повторное.
Ч. 11 — несообщение об утечке. При утечке оператор обязан уведомить РКН в течение 24 часов (первично) и 72 часов (по итогам расследования). Не уложился — 1–3 миллиона рублей. Это поверх штрафа за саму утечку по ч. 12–17.
Уголовная ответственность: ст. 272.1 УК (с 11.12.2024)
Статья 272.1 УК направлена против незаконного оборота персональных данных, которые были получены преступным путём. Ключевой признак: данные добыты неправомерно. Просто ошибиться с форматом согласия — это КоАП, не УК.
| Часть | Состав | Наказание |
|---|---|---|
| ч. 1 | Базовый состав (незаконное использование, передача, сбор, хранение) | до 4 лет / штраф до 300 тыс. ₽ |
| ч. 2 | Данные несовершеннолетних, спецкатегорий или биометрия | до 5 лет / штраф до 700 тыс. ₽ |
| ч. 3 | Корыстный мотив или совершено группой | до 6 лет / штраф до 1 млн ₽ |
| ч. 4 | Трансграничная передача | до 8 лет / штраф до 2 млн ₽ |
| ч. 5 | Тяжкие последствия или организованная группа | до 10 лет / штраф до 3 млн ₽ |
На физических лиц, обрабатывающих данные в личных целях, статья не распространяется.
Как РКН выявляет нарушения в 2026 году
Существует расхожий миф: «с 1 марта 2026 РКН штрафует автоматически за любое несоответствие». Такой нормы нет.
Что есть на самом деле: в 2025–2026 годах РКН усилил автоматизированный мониторинг сайтов. Роскомнадзор проводит «наблюдение без взаимодействия» — массовое сканирование доменов. Отсутствие Политики, незаполненные чекбоксы, иностранные аналитические скрипты без cookie-согласия — всё это фиксируется.
Дальше — по процедуре. При выявлении нарушения оператор обычно сначала получает требование об устранении. На практике это около 10 рабочих дней. Штраф — следующий шаг. Суды при первом нарушении нередко применяют предупреждение вместо штрафа (ст. 4.1.1 КоАП) — но это не гарантия и не повод тянуть с устранением.
Кто обязан уведомлять РКН и как это сделать
После реформы ФЗ-266 (вступившей в силу с 1 сентября 2022 года) массовые исключения отменили. Сейчас уведомить РКН обязаны почти все: юрлица, ИП, самозанятые и физлица-операторы, которые собирают данные работников, клиентов или посетителей сайта через формы и cookie.
Осталось ровно три исключения (пп. 7, 8, 9 ч. 2 ст. 22 152-ФЗ): обработка в государственных ИС безопасности; обработка исключительно без средств автоматизации (на практике почти нереализуемо — любая база в 1С, Excel, CRM или на сайте считается автоматизированной); данные по транспортной безопасности.
Подать уведомление можно тремя способами: (1) электронная форма на pd.rkn.gov.ru с усиленной квалифицированной ЭП (УКЭП); (2) через Госуслуги с подтверждённой учётной записью — отдельная УКЭП не нужна; (3) бумагой по почте в территориальный орган РКН.
Сроки: до начала обработки — первичное. Об изменениях — не позднее 15-го числа месяца, следующего за месяцем, в котором что-то изменилось. О прекращении — в течение 10 рабочих дней. Реестровая запись появляется в течение 30 дней.
Перед подачей проверьте, нет ли вашей организации в реестре — дублировать уведомление не нужно.
Если хотите разобраться быстро: на пдн152.рф есть бесплатный экспресс-аудит на 2 минуты. Он покажет, что именно нужно сделать в вашей ситуации.
Как минимизировать риски: что нужно сделать прямо сейчас
Разобраться с базовым минимумом реально за несколько дней.
Публичная сторона сайта:
- Политика обработки персональных данных опубликована и доступна по прямой ссылке (обязательно по ст. 18.1 ч. 2).
- У каждой формы — незаполненный чекбокс согласия со ссылкой на Политику. С 1 сентября 2025 года согласие на рекламную рассылку — отдельный чекбокс, одной галочкой совмещать нельзя.
- Cookie-баннер с реальным выбором («принять» и «только необходимые»), появляется до сбора необязательных cookie.
- Ссылка на Политику в подвале каждой страницы.
Организационная сторона:
- Уведомление в РКН подано до начала обработки данных.
- Назначен ответственный за обработку (для юрлиц — приказом, ст. 22.1).
- Хостинг, CRM и рассылочный сервис — российские (требование локализации по ст. 18 ч. 5, с 1 июля 2025 года).
- При утечке — алгоритм уведомления РКН за 24/72 часа готов заранее, не в момент пожара.
Если нужно привести сайт в порядок под ключ, посмотрите тарифы на пдн152.рф: от 9 900 ₽ за комплект документов и аудит форм, от 5 900 ₽ за подачу уведомления в РКН через Госуслуги (без ЭЦП). Срок — 2–4 рабочих дня, данные клиентов хранятся на серверах в России.
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию применительно к конкретной ситуации.
Пошаговый порядок действий
- Проверьте реестр РКН Зайдите на pd.rkn.gov.ru и найдите вашу организацию. Если уже внесены — повторно не подавайте; если нет — переходите к следующему шагу.
- Подайте уведомление в РКН Через Госуслуги (подтверждённая учётная запись, отдельная ЭЦП не нужна) или на pd.rkn.gov.ru с УКЭП. Уведомление должно быть подано до начала обработки данных.
- Опубликуйте Политику обработки ПДн Разместите документ на сайте так, чтобы он был доступен по прямой ссылке. Обязательно укажите: состав данных, цели, сроки, получателей (включая аналитические сервисы), права субъектов и порядок обжалования.
- Проверьте все формы на сайте У каждой формы должен быть незаполненный чекбокс со ссылкой на Политику. С 1 сентября 2025 года согласие на рассылку — отдельный чекбокс. Удалите все предустановленные галочки.
- Добавьте cookie-баннер Баннер должен появляться до сбора необязательных cookie и давать реальный выбор: принять / только необходимые. Опишите cookie и аналитику в Политике.
- Проверьте локализацию Хостинг, БД, CRM и рассылочный сервис должны хранить данные граждан РФ на серверах в России. Если используете Google Analytics, Mailchimp или зарубежную CRM — есть риск по ч. 8 ст. 13.11 КоАП.
- Назначьте ответственного за обработку ПДн Для юридических лиц — оформите приказом (ст. 22.1 152-ФЗ). Зафиксируйте контакты ответственного в Политике.
- Подготовьте алгоритм реагирования на утечку При инциденте у вас есть 24 часа на первичное уведомление РКН и 72 часа на итоговое. Алгоритм должен быть готов заранее, а не составляться в момент инцидента.
Коротко о главном
- С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей вместо прежних 9; штрафы для юрлиц выросли кратно.
- Самые дорогие «повседневные» риски для сайта: обработка без согласия (ч. 2, до 700 тыс. ₽), нарушение локализации (ч. 8, до 6 млн ₽), несообщение об утечке (ч. 11, до 3 млн ₽).
- За повторные утечки введены оборотные штрафы: до 3% годовой выручки, не менее 20–25 млн и не более 500 млн рублей.
- ИП по большинству «тяжёлых» частей (ч. 1.1, ч. 8–18) несёт ответственность наравне с юрлицом.
- С 1 сентября 2025 года (ФЗ-156) каждая цель обработки требует отдельного согласия — вшивать согласие в оферту или ставить одну галочку на всё запрещено.
- Автоматических штрафов «за любое несоответствие» нет: РКН сначала сканирует, потом выдаёт предписание. При повторном нарушении предписание уже не спасает.
Частые вопросы
Какой штраф за отсутствие политики конфиденциальности на сайте?
По ч. 3 ст. 13.11 КоАП: для ИП 10–20 тысяч рублей, для юридических лиц 30–60 тысяч рублей. Это одно из самых простых в обнаружении нарушений — РКН видит его при автоматическом сканировании сайта.
Чем грозит неуведомление Роскомнадзора об обработке персональных данных?
Штраф по ч. 10 ст. 13.11 КоАП: граждане 5–10 тысяч рублей, должностные лица 30–50 тысяч, ИП и юрлица 100–300 тысяч рублей. Уведомление обязаны подавать почти все операторы — исключений после реформы ФЗ-266 осталось только три.
Какой штраф за утечку персональных данных?
Зависит от объёма: 1–10 тыс. субъектов — 3–5 млн ₽ (ч. 12), 10–100 тыс. — 5–10 млн ₽ (ч. 13), свыше 100 тыс. — 10–15 млн ₽ (ч. 14). Спецкатегории — 10–15 млн ₽ (ч. 16), биометрия — 15–20 млн ₽ (ч. 17). За повторную утечку — оборотный штраф до 500 млн ₽.
Штрафы по 152-ФЗ для ИП и для юрлица одинаковые?
Не всегда. По ч. 1 и ч. 2 ИП несёт ответственность как должностное лицо — менее жёстко. Но по ч. 1.1 и всем «тяжёлым» частям (ч. 8–18) ИП приравнен к юридическому лицу: за повторную утечку платит те же 20–500 миллионов рублей.
Когда начинает действовать уголовная ответственность за персональные данные?
Статья 272.1 УК работает с 11 декабря 2024 года. Применяется только к незаконному обороту ПДн, которые были получены преступным путём. Ошибка с форматом согласия или забытое уведомление — это КоАП, не УК.
Нужен ли отдельный чекбокс для рекламной рассылки после ФЗ-156?
Да. С 1 сентября 2025 года согласие на обработку персональных данных и согласие на рекламную рассылку — это два отдельных действия. Одной галочкой совмещать нельзя. Нарушение = обработка без надлежащего согласия по ч. 2 ст. 13.11 КоАП (для юрлиц 300–700 тыс. ₽).
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.