Штрафы за нарушение 152-ФЗ в 2026: как избежать

С 30 мая 2025 года ответственность за нарушения в области персональных данных резко выросла: статья 13.11 КоАП РФ перестроена Федеральным законом № 420-ФЗ от 30.11.2024 (актуально на июнь 2026 года). За утечку персональных данных юридическому лицу грозит фиксированный штраф от 3 до 15 млн рублей, а за повторную утечку — оборотный штраф от 1 до 3 % годовой выручки (ч. 15, 18 ст. 13.11 КоАП РФ, актуально на июнь 2026 года). Дополнительно с 11 декабря 2024 года действует уголовная статья 272.1 УК РФ за незаконный оборот персональных данных. Эти правила распространяются и на самозанятых, и на ИП, если они обрабатывают чужие персональные данные.

Главное

• Обработка персональных данных без законного основания (ч. 1 ст. 13.11 КоАП РФ) наказывается для юрлиц штрафом от 150 до 300 тыс. рублей, при повторе (ч. 1.1) — от 300 до 500 тыс. (актуально на июнь 2026 года).
• Обработка без надлежащего согласия или с нарушением требований к составу согласия (ч. 2 ст. 13.11 КоАП РФ) наказывается для юрлиц штрафом от 300 до 700 тыс. рублей, при повторе (ч. 2.1) — от 1 до 1,5 млн (актуально на июнь 2026 года).
• За утечку персональных данных введены отдельные фиксированные штрафы для юрлиц от 3 до 15 млн рублей в зависимости от числа пострадавших (ч. 12–14 ст. 13.11 КоАП РФ, актуально на июнь 2026 года).
• Повторная утечка влечёт оборотный штраф — от 1 до 3 % совокупной выручки за прошлый год, но не менее 20 млн (для спецкатегорий и биометрии — не менее 25 млн) и не более 500 млн рублей (ч. 15, 18 ст. 13.11 КоАП РФ, актуально на июнь 2026 года).
• Непубликация Политики обработки на сайте — от 30 до 60 тыс. рублей для юрлиц; неуведомление Роскомнадзора об обработке — от 100 до 300 тыс. рублей для ИП и юрлиц (ч. 3, 10 ст. 13.11 КоАП РФ, актуально на июнь 2026 года).
• С 1 сентября 2025 года согласие нужно оформлять отдельным документом — «вшить» его в договор или оферту больше нельзя (ст. 5 Закона № 156-ФЗ от 24.06.2025).
• Уголовная статья 272.1 УК РФ применяется прежде всего к тем, кто незаконно завладел данными или торгует ими; добросовестный оператор при утечке отвечает по КоАП, а не по УК.

Что изменилось в санкциях за персональные данные

Новая редакция ст. 13.11 КоАП РФ

Статья 13.11 КоАП РФ перестроена Федеральным законом № 420-ФЗ от 30.11.2024; новые части 10–18 действуют с 30 мая 2025 года (актуально на июнь 2026 года). По примечанию к статье индивидуальные предприниматели по ряду составов несут ответственность как юридические лица, поэтому формулировка «для юрлиц» в большинстве случаев касается и ИП.

Базовые составы (размеры для юрлиц, актуально на июнь 2026 года):

• обработка без законного основания или несовместимая с целями (ч. 1) — от 150 до 300 тыс. рублей; повторно (ч. 1.1) — от 300 до 500 тыс.;
• обработка без письменного согласия либо с нарушением требований к составу согласия (ч. 2) — от 300 до 700 тыс. рублей; повторно (ч. 2.1) — от 1 до 1,5 млн;
• непубликация Политики обработки персональных данных (ч. 3) — от 30 до 60 тыс. рублей;
• нарушение локализации баз данных граждан РФ (ч. 8) — от 1 до 6 млн рублей, повторно (ч. 9) — от 6 до 18 млн.

Требования к составу согласия установлены ч. 4 ст. 9 ФЗ-152: документ должен содержать данные субъекта и оператора, цель обработки, перечень данных, перечень действий и способов, срок действия и порядок отзыва, подпись субъекта. Несоответствие этому составу — это и есть «нарушение требований к согласию» по ч. 2 ст. 13.11 КоАП РФ.

Штрафы за утечки и оборотные санкции

Главная новость 2025–2026 годов — отдельные составы за утечку персональных данных (ч. 12–18 ст. 13.11 КоАП РФ, актуально на июнь 2026 года):

• утечка данных 1 000–10 000 субъектов (ч. 12) — для юрлиц от 3 до 5 млн рублей;
• утечка 10 000–100 000 субъектов (ч. 13) — от 5 до 10 млн;
• утечка более 100 000 субъектов (ч. 14) — от 10 до 15 млн;
• утечка специальных категорий данных (ч. 16) — от 10 до 15 млн; утечка биометрии (ч. 17) — от 15 до 20 млн рублей.

Повторная утечка наказывается оборотным штрафом: по ч. 15 — от 1 до 3 % совокупной выручки за предшествующий календарный год, но не менее 20 млн и не более 500 млн рублей; по ч. 18 (повторная утечка спецкатегорий или биометрии) — от 1 до 3 % выручки, но не менее 25 млн и не более 500 млн рублей (актуально на июнь 2026 года). Точная сумма зависит от выручки конкретного оператора и наличия смягчающих обстоятельств, и итоговый размер определяет суд.

Отдельно наказывается работа с Роскомнадзором: неуведомление о намерении обрабатывать данные (ч. 10) — для ИП и юрлиц от 100 до 300 тыс. рублей; неуведомление об утечке (ч. 11) — для ИП и юрлиц от 1 до 3 млн рублей (актуально на июнь 2026 года).

Какие обязанности нарушают чаще всего

Согласие оформлено неправильно

Самый частый дефект, который тянет штраф по ч. 2 ст. 13.11 КоАП РФ, — это согласие, не отвечающее требованиям закона. С 1 сентября 2025 года согласие должно быть оформлено отдельным документом, а не «вшито» в договор, анкету или оферту (ст. 5 Закона № 156-ФЗ от 24.06.2025); бланкетные формулировки вроде «согласен на обработку любых данных в любых целях» тоже подпадают под ч. 2 ст. 13.11 КоАП РФ. Само согласие при этом — лишь одно из оснований обработки (ст. 6 ФЗ-152), и для исполнения договора или требований закона его не требуется. Подробный разбор реквизитов и правила отдельного документа — в материале кому нужно согласие на обработку персональных данных.

Реклама и рассылки без отдельного согласия

Обработка данных для продвижения товаров и услуг через прямые контакты допускается только при предварительном согласии субъекта; если оператор не докажет получение согласия, она считается осуществлённой без него (ст. 15 ФЗ-152). Рекламная рассылка дополнительно требует отдельного согласия по ст. 18 Закона № 38-ФЗ «О рекламе». Согласие на обработку данных и согласие на рекламу нельзя объединять под одной галочкой — нарушение влечёт риск штрафов и по ст. 13.11, и по ст. 14.3 КоАП РФ.

Нет Политики, уведомления и локализации

Три базовые обязанности оператора, которые проверяют в первую очередь:

• опубликовать Политику обработки персональных данных в открытом доступе на сайте (ст. 18.1 ФЗ-152) — иначе ч. 3 ст. 13.11 КоАП РФ;
• уведомить Роскомнадзор о намерении обрабатывать данные до начала обработки (ст. 22 ФЗ-152) — иначе ч. 10 ст. 13.11 КоАП РФ;
• обеспечить первичный сбор и хранение данных граждан РФ в базах на территории РФ (ч. 5 ст. 18 ФЗ-152) — иначе ч. 8 ст. 13.11 КоАП РФ.

При утечке оператор обязан уведомить Роскомнадзор в течение 24 часов о самом инциденте и в течение 72 часов — о результатах внутреннего расследования (ч. 3.1 ст. 21 ФЗ-152, актуально на июнь 2026 года).

Уголовная ответственность по ст. 272.1 УК РФ

Статья 272.1 УК РФ введена Федеральным законом № 421-ФЗ от 30.11.2024 и действует с 11 декабря 2024 года (актуально на июнь 2026 года). Она наказывает незаконные сбор, хранение, использование и передачу компьютерной информации, содержащей персональные данные. Верхние пределы санкций: по ч. 1 — штраф до 300 тыс. рублей либо лишение свободы до 4 лет; по ч. 4 (трансграничная передача) — лишение свободы до 8 лет; по ч. 5 (тяжкие последствия или организованная группа) — лишение свободы до 10 лет со штрафом до 3 млн рублей.

Ключевое условие — данные изначально получены незаконным путём. Добросовестный оператор, законно собравший данные, при утечке отвечает по ст. 13.11 КоАП РФ, а не по уголовной статье; ст. 272.1 УК РФ нацелена прежде всего на тех, кто неправомерно завладел базами или торгует ими. По примечанию к статье она не распространяется на обработку данных физлицами исключительно для личных и семейных нужд. Практика по новой статье пока формируется, и разграничение со ст. 13.11 КоАП в спорных случаях не устоялось.

Пошагово: минимум, чтобы снизить риск штрафа

1. Определите, оператор ли вы: если собираете или храните данные клиентов, сотрудников или посетителей сайта — да, и это касается самозанятых и ИП тоже.
2. Подайте уведомление в Роскомнадзор о намерении обрабатывать данные до начала обработки (ст. 22 ФЗ-152).
3. Опубликуйте на сайте Политику обработки персональных данных в открытом доступе (ст. 18.1 ФЗ-152).
4. Проверьте основание обработки по ст. 6 ФЗ-152: согласие нужно только для необязательных операций, для договора и требований закона — нет.
5. Оформите согласие отдельным документом с полным составом реквизитов ч. 4 ст. 9 ФЗ-152; не объединяйте его с договором или с согласием на рекламу.
6. Для рассылок соберите отдельное согласие на рекламу (ст. 15 ФЗ-152, ст. 18 Закона № 38-ФЗ).
7. Убедитесь, что первичный сбор и хранение данных граждан РФ идут в базах на территории РФ (ч. 5 ст. 18 ФЗ-152).
8. Подготовьте регламент на случай утечки: уведомление в 24 часа и отчёт в 72 часа (ч. 3.1 ст. 21 ФЗ-152).

Частые вопросы

Распространяются ли штрафы на самозанятых и ИП? Да. Отдельного режима для самозанятых ФЗ-152 не устанавливает — они и ИП подпадают под общие правила как операторы, если обрабатывают чужие персональные данные. По примечанию к ст. 13.11 КоАП РФ ИП по ряду составов отвечают как юридические лица. Прямой судебной практики именно по самозанятым пока немного.

Какой штраф за отсутствие согласия в правильной форме? Обработка без письменного согласия либо с нарушением требований к его составу наказывается по ч. 2 ст. 13.11 КоАП РФ: для юрлиц от 300 до 700 тыс. рублей, при повторе — от 1 до 1,5 млн (актуально на июнь 2026 года). Состав согласия задан ч. 4 ст. 9 ФЗ-152.

Правда ли, что за утечку грозит до 3 % выручки? Оборотный штраф от 1 до 3 % годовой выручки применяется при повторной утечке (ч. 15, 18 ст. 13.11 КоАП РФ). За первую утечку действуют фиксированные штрафы — для юрлиц от 3 до 15 млн рублей в зависимости от числа пострадавших (ч. 12–14, актуально на июнь 2026 года).

Можно ли по-прежнему включать согласие в договор? Нет. С 1 сентября 2025 года согласие оформляется отдельным документом (ст. 5 Закона № 156-ФЗ от 24.06.2025) — иначе риск штрафа по ч. 2 ст. 13.11 КоАП РФ. Как это сделать и что менять в ранее полученных согласиях — в разборе кому нужно согласие на обработку персональных данных.

Грозит ли мне уголовная статья за случайную утечку? Как правило, нет. Уголовная ст. 272.1 УК РФ требует, чтобы данные были изначально получены незаконным путём. Добросовестный оператор, законно собравший данные, при утечке отвечает по ст. 13.11 КоАП РФ. Однако оценка конкретной ситуации остаётся за следствием и судом.

Что дальше

Самый частый и самый дешёвый для устранения дефект — неправильно оформленное согласие. Чтобы документ соответствовал ч. 4 ст. 9 ФЗ-152 и требованию об отдельном оформлении с 1 сентября 2025 года, удобнее всего составить согласие на обработку персональных данных в генераторе: он подставляет все обязательные реквизиты под нужный случай (сотрудник, клиент сайта, распространение, несовершеннолетний) и не даёт оставить бланкетные формулировки. Если вы собираете данные через сайт и не уверены, нужно ли вообще согласие, посмотрите разбор кому нужно согласие на обработку персональных данных.