Дата публикации: 08.07.2026

Штраф за персональные данные больше не измеряется десятками тысяч рублей. С 30 мая 2025 года действует редакция статьи 13.11 КоАП, по которой утёкшая база клиентов обходится компании в сумму до 15 миллионов рублей, утечка биометрии — до 20 миллионов, а вторая утечка считается уже в процентах от годовой выручки и доходит до 500 миллионов. При этом штрафуют не только за утечки. В статье восемнадцать составов, и большинство компаний нарушает «тихие»: про согласия, политику и уведомления. Часто про них даже не знают.

Ниже — полная таблица штрафов по частям статьи 13.11, разбор того, как считается масштаб утечки, и чеклист: за что вас реально могут наказать уже сегодня.

Коротко, три главные цифры 2026 года:

  • Утечка персональных данных: от 3 до 15 млн ₽ в зависимости от масштаба (ч. 12–14 ст. 13.11 КоАП).
  • Утечка биометрии: от 15 до 20 млн ₽ (ч. 17 ст. 13.11 КоАП).
  • Повторная утечка: оборотный штраф 1–3% годовой выручки, от 20 до 500 млн ₽ (ч. 15 ст. 13.11 КоАП).

Чтобы понять, какие из этих составов применимы к вашей компании, начните с аудита персональных данных: за несколько дней он покажет расхождения с законом раньше, чем их найдёт Роскомнадзор.

Полная таблица штрафов по ст. 13.11 КоАП (для юрлиц, 2026)

ЧастьЗа чтоШтраф для юрлица
ч. 1Обработка ПДн без законного основания или не по заявленной цели150–300 тыс. ₽
ч. 1.1Повтор нарушения по ч. 1300–500 тыс. ₽
ч. 2Обработка без письменного согласия (где оно обязательно)300–700 тыс. ₽
ч. 2.1Повтор по ч. 21–1,5 млн ₽
ч. 3Не опубликована политика обработки ПДн30–60 тыс. ₽
ч. 4Не предоставили субъекту информацию об обработке его данных40–80 тыс. ₽
ч. 5Не уточнили, не заблокировали или не удалили данные по требованию50–90 тыс. ₽
ч. 6Утрата носителей или доступ при неавтоматизированной обработке50–100 тыс. ₽
ч. 8База данных россиян хранится не в РФ (нет локализации)1–6 млн ₽
ч. 9Повтор по ч. 86–18 млн ₽
ч. 10Не уведомили Роскомнадзор о намерении обрабатывать ПДн100–300 тыс. ₽
ч. 11Не уведомили Роскомнадзор о произошедшей утечке1–3 млн ₽
ч. 12Утечка данных 1–10 тыс. субъектов3–5 млн ₽
ч. 13Утечка 10–100 тыс. субъектов5–10 млн ₽
ч. 14Утечка более 100 тыс. субъектов10–15 млн ₽
ч. 15Повторная утечка1–3% выручки, 20–500 млн ₽
ч. 16Утечка специальных категорий ПДн (здоровье и др.)10–15 млн ₽
ч. 17Утечка биометрических ПДн15–20 млн ₽
ч. 18Повторная утечка спецкатегорий или биометрииоборотный штраф

Суммы приведены по ст. 13.11 КоАП РФ в редакции закона № 420-ФЗ, которая действует с 30.05.2025. Для должностных лиц и ИП суммы другие; ИП по «утечным» составам отвечают как юрлица.

Штрафы за нарушение 152-ФЗ — полная таблица, PDF-справочник

Все 39 составов КоАП по персональным данным и защите информации — в одном PDF. Держите под рукой, чтобы за минуту оценить риск для компании.

  • Штрафы по ст. 13.11 — утечки, согласия, локализация (ч. 1–18)
  • Смежные статьи: биометрия и ЕБС, КИИ, защита информации, надзор
  • Суммы для граждан, должностных лиц и юрлиц + уголовная ст. 272.1 УК
  • Чеклист «5 обязанностей оператора». Актуально на 09.07.2026

Как считается масштаб утечки

Порог частей 12–14 привязан к числу субъектов или идентификаторов. Если утекла база на 1 500 клиентов, это уже часть 12 статьи 13.11 и минимум 3 миллиона рублей. Умысел доказывать не нужно: достаточно бездействия оператора, из-за которого данные оказались в открытом доступе.

За «чувствительные» данные арифметика жёстче. Здоровье, религия и другие специальные категории попадают под часть 16 статьи 13.11 (10–15 млн ₽) при любом объёме. Биометрия идёт по части 17, с максимумом 15–20 миллионов.

Оборотный штраф: как работает часть 15 статьи 13.11

Повторная утечка меняет саму логику расчёта. Штраф считают не фиксированной суммой, а долей выручки: от 1 до 3% за прошлый год, минимум 20 миллионов, максимум 500. «Повторной» утечка становится, если компанию уже наказывали по частям 12–14 или 16–18. За первую утечку платят миллионы, за вторую — проценты от оборота.

Реальная практика: сколько штрафуют на самом деле

Суммы из таблицы — это статутный потолок. Практика Роскомнадзора и судов 2025–2026 годов выглядит иначе: чаще всего наказание измеряется десятками и сотнями тысяч рублей, а за первое нарушение небольшого оператора нередко ограничиваются предупреждением. Но есть категории, где счёт уже идёт на миллионы.

Миллионы — за локализацию. Самые крупные реальные штрафы связаны не с утечками, а с хранением данных россиян за рубежом (ч. 8). Иностранные сервисы Bad Kitty’s Dad и NIC.UA получили по 6 млн ₽ (повторное нарушение), Miro — 2 млн ₽ за серверы в США, Domains By Proxy — 1 млн ₽. Зарубежные площадки под прицелом в первую очередь.

Утечки: реальные суммы умереннее максимумов. В вынесенных решениях 2025–2026 годов за утечку данных 36 544 абонентов «Орион Телеком» получил предупреждение, «Юкидс» за утечку более 300 000 субъектов — штраф 400 000 ₽, а ООО «ДЕВПАН» заплатило 150 000 ₽ за утечку данных всего одного человека. Оборотных штрафов по части 15 среди вынесенных решений на момент публикации нет.

«Тихие» составы — самые массовые. Больше всего дел приходится на рекламные рассылки после отзыва согласия, отсутствие политики и передачу данных третьим лицам. Почта Банк, «СКАЕНГ» и «Всеинструменты.ру» заплатили по 150 000 ₽ за рекламу после отписки; «МЕДКВАДРАТ» и «Гаскар Технологии» — по 75 000 ₽ за клиентские базы в открытом доступе; десятки ТСЖ и СНТ получили предупреждения и штрафы 25–150 тыс. за публикацию данных жильцов.

Предупреждение вместо штрафа — частый исход первого нарушения у небольших операторов: школ, СНТ, поликлиник. Но повтор переводит в деньги: ТСЖ «Связист» за повторную публикацию в Telegram оштрафовали на 150 000 ₽.

Вывод для бизнеса простой: «недорогие» составы складываются, а локализация и повторные нарушения уже стоят миллионы. Во что обойдётся конкретно ваше нарушение, можно понять, только зная реальную картину своей обработки данных.

Не только утечки: «тихие» составы, на которых ловят чаще

Утечка — повод громкий, но не самый частый. На плановой или внеплановой проверке Роскомнадзор изучает документы и находит нарушения, о которых компания обычно не задумывается:

  • Нет письменного согласия там, где оно обязательно: 300–700 тыс. ₽ (ч. 2). Типовая ошибка — одно согласие «на всё» вместо отдельных.
  • База клиентов в зарубежном облаке без первичной записи в РФ: 1–6 млн ₽ (ч. 8), при повторе до 18 млн. Самый дорогой «тихий» состав.
  • Не уведомили Роскомнадзор о начале обработки: 100–300 тыс. ₽ (ч. 10). С 2022 года уведомление обязательно почти для всех.
  • Нет опубликованной политики обработки: 30–60 тыс. ₽ (ч. 3). Проверяется за минуту, достаточно открыть сайт компании.
  • Не ответили на запрос субъекта «какие мои данные вы обрабатываете»: 40–80 тыс. ₽ (ч. 4).

Один визит проверяющего может собрать несколько составов сразу, а штрафы суммируются.

Когда КоАП превращается в уголовное дело

Административная ответственность действует, пока в действиях нет состава преступления. Это прямо оговаривает сама статья 13.11. Как только утечка становится следствием неправомерного доступа к системе, дело выходит за рамки КоАП. В конце 2024 года для таких случаев в Уголовный кодекс ввели отдельную статью 272.1: незаконные использование, передача, сбор и хранение персональных данных, полученных неправомерным путём. Наказание — вплоть до лишения свободы, и отвечают уже конкретные люди, а не только компания.

Что делать, если утечка уже произошла

Если персональные данные всё же утекли, порядок действий напрямую влияет на итоговую ответственность:

  1. Зафиксировать факт и объём: какие данные, сколько субъектов затронуто, как это произошло. От числа субъектов зависит часть статьи и сумма.
  2. Уведомить Роскомнадзор. Это отдельная обязанность оператора, и за её невыполнение штрафуют по части 11 статьи 13.11 (1–3 млн ₽) независимо от штрафа за саму утечку.
  3. Провести внутреннее расследование и устранить причину, чтобы утечка не повторилась и не стала «повторной» по части 15 с оборотным штрафом.
  4. Зафиксировать принятые меры документально: они учитываются при определении наказания.

Промедление с уведомлением превращает один инцидент в два состава сразу: и за утечку, и за молчание. Поэтому реакция на инцидент должна быть подготовлена заранее, а не собираться в момент проверки.

Как не попасть: пять обязанностей оператора

Все составы из таблицы выше — это невыполнение конкретных обязанностей по 152-ФЗ. Их немного:

  1. Законное основание на каждую обработку: согласие или иное из ст. 6.
  2. Уведомление Роскомнадзора об обработке (ст. 22) и об инцидентах.
  3. Меры защиты, организационные и технические (ст. 18.1, 19).
  4. Опубликованная политика обработки ПДн (ст. 18.1 ч. 2).
  5. Локализация баз с данными россиян в РФ.

Как выстроить каждую, разобрали в статье об основных требованиях 152-ФЗ и отдельно про организационную защиту ПДн в компании.

Как проверить, что грозит именно вам

Таблица отвечает на вопрос «сколько», но не на вопрос «что из этого про нас». Чтобы это выяснить, нужно сопоставить вашу реальную обработку (какие данные собираете, где храните, какие документы оформлены) с требованиями закона. Этим занимается аудит персональных данных на соответствие 152-ФЗ: на выходе вы получаете перечень расхождений с привязкой к конкретным частям статьи 13.11 и план устранения. Стоит он несопоставимо меньше младшей строчки таблицы штрафов.

Если аудит уже был и разрывы известны, выстраиваем защиту персональных данных под ключ: от документов до технических мер, силами лицензиата ФСТЭК.

Аудит персональных данных покажет, где ваша обработка расходится с 152-ФЗ и что нужно привести в порядок. Заказать аудит 152-ФЗ →

Часто задаваемые вопросы

Какой штраф за утечку персональных данных в 2026 году?
Для юрлица — от 3 до 15 млн ₽ в зависимости от масштаба: утечка данных 1–10 тыс. человек — 3–5 млн (ч. 12 ст. 13.11 КоАП), 10–100 тыс. — 5–10 млн (ч. 13), свыше 100 тыс. — 10–15 млн (ч. 14). Утечка специальных категорий — 10–15 млн, биометрии — 15–20 млн. Отдельно штрафуют за неуведомление Роскомнадзора об утечке — 1–3 млн ₽.
Что такое оборотный штраф за персональные данные?
Это штраф за повторную утечку (ч. 15 ст. 13.11): не фиксированная сумма, а 1–3% выручки компании за предыдущий год — минимум 20 млн ₽, максимум 500 млн ₽. Применяется, если компанию уже наказывали за утечку персональных данных.
Штрафуют ли малый бизнес и ИП за персональные данные?
Да. По «утечным» составам ИП отвечают как юрлица — те же миллионы рублей. Размер компании закон не учитывает: порог считается по числу субъектов в утёкшей базе, а 1–10 тысяч записей набирает даже небольшой интернет-магазин.
За что штрафуют чаще всего, если утечек не было?
За «бумажные» нарушения: нет уведомления Роскомнадзора об обработке (100–300 тыс. ₽), нет опубликованной политики обработки ПДн (30–60 тыс.), согласия оформлены неправильно (300–700 тыс.), база хранится за рубежом без локализации в РФ (1–6 млн). Эти составы находят при обычной проверке документов и сайта компании.
Как узнать, грозит ли штраф моей компании?
Нужно сопоставить вашу обработку данных с требованиями 152-ФЗ: какие данные и на каком основании собираете, где храните, что оформлено. Системно это делает аудит персональных данных — на выходе перечень нарушений с привязкой к конкретным частям ст. 13.11 КоАП и план их устранения до того, как их найдёт регулятор.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных