С 30 мая 2025 года в России действуют оборотные штрафы за утечки персональных данных — до 3% выручки за год, верхняя планка 500 млн ₽. Обычные штрафы по 152-ФЗ тоже выросли в 2–3 раза. Эта статья — практический разбор: за что штрафуют, сколько, как обжаловать и как уменьшить риск.

Если нужен общий обзор всех законов, под которые попадает сайт — смотрите пиллар-чек-лист соответствия. Здесь — детально про штрафы.

1. Какие штрафы по 152-ФЗ действуют в 2026?

Основные размеры закреплены в ст. 13.11 КоАП РФ. После реформы 30.05.2025 пороги выросли в 2–3 раза. Базовые суммы для типичных нарушений:

  • Обработка ПД без согласия (ч. 1): 10–20 тыс. ₽ для ИП, 60–100 тыс. ₽ для должностных лиц, 300–700 тыс. ₽ для юрлиц.
  • Отсутствие политики обработки (ч. 3): 10–20 тыс. ₽ ИП, 30–60 тыс. ₽ юрлица.
  • Невыполнение требования об удалении (ч. 5): 100–200 тыс. ₽ ИП, 200–500 тыс. ₽ юрлица.
  • Нарушение локализации (ч. 8): 1–6 млн ₽ юрлица, повторно — 6–18 млн.
  • Утечка ПД (ч. 13–14): фиксированный диапазон 3–15 млн ₽ при первом нарушении, или оборотный штраф 0,1–3% выручки при повторе (см. вопрос 6).

«Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных… влечёт наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей.»

2. Сколько штраф за отсутствие согласия на обработку?

Это самое массовое нарушение — встречается у примерно 8 из 10 проверенных нами сайтов. Штраф по ст. 13.11 ч. 1 — до 100 тыс. ₽ для юрлиц при первом нарушении. Если у каждой формы (контактной, заявки, регистрации) нет ссылки на согласие на обработку ПД, проверка считает каждую такую форму отдельным эпизодом — суммы складываются.

Самые частые сценарии нарушения: pre-checked чек-боксы согласия, отсутствие ссылки на политику рядом с кнопкой, общее «согласие на всё» вместо раздельных согласий на обработку и рассылку.

3. Какой штраф за отсутствие политики конфиденциальности?

По ст. 13.11 ч. 3 КоАП: 30–60 тыс. ₽ для юрлиц, 10–20 тыс. для ИП. На первый взгляд немного, но нарушение «составное»: обычно с отсутствием политики идёт отсутствие согласия (вопрос 2) и неуведомление РКН (вопрос 4) — в сумме до 500 тыс. за один протокол. Политика должна быть размещена по постоянному URL (обычно /privacy) и содержать обязательные блоки по 152-ФЗ ст. 18.1.

4. Что грозит за неуведомление РКН?

Если сайт собирает ПД (имена, email, телефоны), оператор обязан подать уведомление об обработке в Роскомнадзор до начала обработки (152-ФЗ ст. 22). Уведомление подаётся бесплатно через портал РКН. Штраф за необоснованную обработку без уведомления — по ст. 19.7 КоАП: 3–5 тыс. ₽ ИП, 30–75 тыс. ₽ юрлица.

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных.»

5. Какой штраф за загрузку Яндекс.Метрики и Google Analytics до согласия?

Запуск аналитических скриптов до нажатия пользователем «Принять» в cookie-баннере = обработка ПД без согласия = ст. 13.11 ч. 1 КоАП. Штрафы — те же до 100 тыс. юрлица за первое нарушение. С 2024 года РКН активно работает по жалобам пользователей именно по этому пункту.

Технически правильно: до явного согласия — никакие скрипты-трекеры не грузятся. Только после клика «Принять» в баннере подгружается счётчик. На нашем сайте этот механизм реализован — пример работающего паттерна. Подробнее — в статье про cookie-согласие.

6. Сколько штраф за утечку персональных данных?

Самое серьёзное изменение 2025 года — введение оборотных штрафов по ст. 13.11 ч. 13–14 КоАП. Размеры зависят от объёма утечки и того, первое нарушение или повторное:

  • Первое нарушение, утечка <10 тыс. субъектов: 3–5 млн ₽ юрлица.
  • Первое нарушение, утечка 10 тыс.–100 тыс.: 5–10 млн ₽.
  • Первое нарушение, утечка >100 тыс. или идентификаторов >1 млн: 10–15 млн ₽.
  • Повторное нарушение: оборотный штраф 0,1–3% от годовой выручки, но не более 500 млн ₽.

При этом оператор обязан в течение 24 часов с момента обнаружения утечки уведомить РКН и опубликовать сообщение на сайте (152-ФЗ ст. 22.1, добавлена 14.07.2022). Невыполнение этой обязанности тоже штрафуется отдельно.

«В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных… оператор обязан в течение двадцати четырёх часов уведомить уполномоченный орган по защите прав субъектов персональных данных.»

7. Можно ли уменьшить штраф?

Да, есть три рабочих механизма:

  1. Замена штрафа предупреждением по ст. 4.1.1 КоАП — для субъектов малого и среднего бизнеса при первом нарушении и отсутствии вреда. Работает не всегда: для большинства составов по 152-ФЗ — да, для утечек (ч. 13–14) — нет.
  2. Скидка 50% при оплате в течение 20 дней с момента вынесения постановления (ст. 32.2 КоАП ч. 1.3). Распространяется на большинство штрафов по ст. 13.11, кроме оборотных за утечки.
  3. Снижение ниже минимальной планки по ст. 4.1 ч. 2.2 КоАП — при наличии исключительных обстоятельств. Требует юриста и документально подтверждённых причин.

8. Как обжаловать постановление РКН?

Срок — 10 суток с момента получения копии постановления (ст. 30.3 КоАП). Если срок пропущен — нужно сначала восстанавливать через ходатайство. Жалоба подаётся:

  • В вышестоящий орган РКН — для постановлений о штрафе.
  • В районный суд по месту совершения правонарушения — параллельно или альтернативно.
  • В арбитражный суд — если нарушение связано с предпринимательской деятельностью юрлица или ИП.

Типичные основания для отмены: нарушение процедуры составления протокола, отсутствие события правонарушения, истечение срока давности (1 год по 152-ФЗ), малозначительность (ст. 2.9 КоАП — редко срабатывает по ст. 13.11, но возможна).

9. Когда РКН проводит плановые проверки?

План проверок на год публикуется на rkn.gov.ru до 31 декабря предыдущего года. Уведомление о конкретной проверке поступает за 3 рабочих дня до её начала (294-ФЗ). Внеплановая проверка проводится по жалобе субъекта ПД, по информации СМИ или по обнаруженным РКН индикаторам — уведомление за 24 часа.

С 2022 года для малого бизнеса действует мораторий на плановые проверки (Постановление Правительства РФ № 336 от 10.03.2022, продлеваемое ежегодно). Внеплановые проверки по жалобам мораторий не ограничивает.

10. Какой штраф за отсутствие cookie-баннера?

Отдельной нормы «штраф за баннер» в КоАП нет. Но отсутствие баннера почти всегда означает, что cookie грузятся до согласия пользователя, а это уже обработка ПД без согласия — ст. 13.11 ч. 1: до 100 тыс. юрлица. То есть формально штрафуется не отсутствие баннера, а неполучение согласия на обработку идентификаторов и поведенческих данных.

Подробнее про корректное cookie-согласие — в отдельной статье.

11. Что грозит за хранение ПД на серверах за рубежом?

По 152-ФЗ ст. 18 ч. 5 (так называемая «локализация») первичная запись и систематизация ПД граждан РФ должна происходить в базах данных, расположенных на территории РФ. Хранение копий за рубежом возможно, но только после того, как данные сначала записаны в российскую БД.

Штраф по ст. 13.11 ч. 8 КоАП: 1–6 млн ₽ для юрлица за первое нарушение, 6–18 млн ₽ — за повторное. Самые громкие кейсы 2022–2024 годов — штрафы Twitter, Meta, Booking за нелокализацию.

12. Чем штрафы для ИП отличаются от штрафов для юрлиц?

В ст. 13.11 КоАП штрафы для ИП обычно в 3–5 раз меньше, чем для юрлиц. Например, по ч. 1 (обработка без согласия): юрлицо — 300–700 тыс., ИП — 20–40 тыс. Также ИП и малый бизнес чаще получают предупреждение вместо штрафа при первом нарушении (ст. 4.1.1).

Важный нюанс: оборотные штрафы за утечки (ч. 13–14) к ИП обычно не применяются, потому что считаются от «годовой выручки» — для ИП используются фиксированные суммы.

13. Реальные кейсы крупных штрафов 2024–2025

По данным открытых отчётов и СМИ за последние два года:

  • Крупные ИТ-компании получали штрафы за нарушение локализации — в диапазоне 1–60 млн ₽ за каждый эпизод.
  • Интернет-магазины — штрафы 100–700 тыс. за отсутствие политики и согласий.
  • EdTech и медицинские сервисы — штрафы за недостаточно защищённую обработку специальных категорий ПД (здоровье).
  • После 30.05.2025 уже зафиксированы первые оборотные штрафы за утечки — суммы в разы выше «обычных».

Конкретные дела можно найти в картотеке арбитражных дел по запросу «нарушение 152-ФЗ» или на сайте РКН в разделе пресс-релизов.

14. Как узнать, что РКН пришёл с проверкой?

Несколько каналов уведомления:

  • Бумажное письмо заказным с уведомлением на юридический адрес — основной способ.
  • Электронный документ через личный кабинет на ЕПГУ (если оператор подключён) или через систему МЭДО.
  • Email на адрес, указанный в уведомлении в РКН (если он там есть).
  • Уведомление субъекта ПД — если проверка по жалобе, заявитель тоже получает копию.

Игнорирование уведомления не останавливает проверку — она проводится в любом случае, а неявка добавляет штраф по ст. 19.4 КоАП.

15. Можно ли заплатить штраф через Госуслуги со скидкой 50%?

Да. Постановления РКН подгружаются в ЕПГУ автоматически в течение нескольких дней. Скидка 50% действует при оплате в течение 20 дней с момента вынесения постановления (ст. 32.2 ч. 1.3 КоАП).

Исключения: скидка не распространяется на штрафы за повторные нарушения, на штрафы из ст. 13.11 ч. 13–14 (утечки) и на ряд других составов. Перед оплатой стоит подтвердить применимость скидки с юристом.

«При уплате административного штрафа лицом, привлечённым к административной ответственности за совершение административного правонарушения… не позднее двадцати дней со дня вынесения постановления о наложении административного штрафа административный штраф может быть уплачен в размере половины суммы.»

Как узнать, есть ли у вас риск штрафа

Самый быстрый способ — запустить бесплатную экспресс-проверку на главной странице. За 30 секунд сервис покажет 5 базовых параметров (наличие политики, cookie-баннера, реквизитов, согласия на ПД, HTTPS) и оценит зону потенциального риска по остальным 9. Если есть нарушения — следующим шагом можно заказать полный отчёт по 14 параметрам с цитатами закона и конкретными суммами штрафов, чтобы передать разработчику или приложить к ответу регулятору.

Источники и дальнейшее чтение