Штраф за персональные данные больше не измеряется десятками тысяч рублей. С 30 мая 2025 года действует редакция статьи 13.11 КоАП, по которой утёкшая база клиентов обходится компании в сумму до 15 миллионов рублей, утечка биометрии — до 20 миллионов, а вторая утечка считается уже в процентах от годовой выручки и доходит до 500 миллионов. При этом штрафуют не только за утечки. В статье восемнадцать составов, и большинство компаний нарушает «тихие»: про согласия, политику и уведомления. Часто про них даже не знают.
Ниже — полная таблица штрафов по частям статьи 13.11, разбор того, как считается масштаб утечки, и чеклист: за что вас реально могут наказать уже сегодня.
Коротко, три главные цифры 2026 года:
- Утечка персональных данных: от 3 до 15 млн ₽ в зависимости от масштаба (ч. 12–14 ст. 13.11 КоАП).
- Утечка биометрии: от 15 до 20 млн ₽ (ч. 17 ст. 13.11 КоАП).
- Повторная утечка: оборотный штраф 1–3% годовой выручки, от 20 до 500 млн ₽ (ч. 15 ст. 13.11 КоАП).
Чтобы понять, какие из этих составов применимы к вашей компании, начните с аудита персональных данных: за несколько дней он покажет расхождения с законом раньше, чем их найдёт Роскомнадзор.
| Часть | За что | Штраф для юрлица |
|---|---|---|
| ч. 1 | Обработка ПДн без законного основания или не по заявленной цели | 150–300 тыс. ₽ |
| ч. 1.1 | Повтор нарушения по ч. 1 | 300–500 тыс. ₽ |
| ч. 2 | Обработка без письменного согласия (где оно обязательно) | 300–700 тыс. ₽ |
| ч. 2.1 | Повтор по ч. 2 | 1–1,5 млн ₽ |
| ч. 3 | Не опубликована политика обработки ПДн | 30–60 тыс. ₽ |
| ч. 4 | Не предоставили субъекту информацию об обработке его данных | 40–80 тыс. ₽ |
| ч. 5 | Не уточнили, не заблокировали или не удалили данные по требованию | 50–90 тыс. ₽ |
| ч. 6 | Утрата носителей или доступ при неавтоматизированной обработке | 50–100 тыс. ₽ |
| ч. 8 | База данных россиян хранится не в РФ (нет локализации) | 1–6 млн ₽ |
| ч. 9 | Повтор по ч. 8 | 6–18 млн ₽ |
| ч. 10 | Не уведомили Роскомнадзор о намерении обрабатывать ПДн | 100–300 тыс. ₽ |
| ч. 11 | Не уведомили Роскомнадзор о произошедшей утечке | 1–3 млн ₽ |
| ч. 12 | Утечка данных 1–10 тыс. субъектов | 3–5 млн ₽ |
| ч. 13 | Утечка 10–100 тыс. субъектов | 5–10 млн ₽ |
| ч. 14 | Утечка более 100 тыс. субъектов | 10–15 млн ₽ |
| ч. 15 | Повторная утечка | 1–3% выручки, 20–500 млн ₽ |
| ч. 16 | Утечка специальных категорий ПДн (здоровье и др.) | 10–15 млн ₽ |
| ч. 17 | Утечка биометрических ПДн | 15–20 млн ₽ |
| ч. 18 | Повторная утечка спецкатегорий или биометрии | оборотный штраф |
Суммы приведены по ст. 13.11 КоАП РФ в редакции закона № 420-ФЗ, которая действует с 30.05.2025. Для должностных лиц и ИП суммы другие; ИП по «утечным» составам отвечают как юрлица.

Все 39 составов КоАП по персональным данным и защите информации — в одном PDF. Держите под рукой, чтобы за минуту оценить риск для компании.
Порог частей 12–14 привязан к числу субъектов или идентификаторов. Если утекла база на 1 500 клиентов, это уже часть 12 статьи 13.11 и минимум 3 миллиона рублей. Умысел доказывать не нужно: достаточно бездействия оператора, из-за которого данные оказались в открытом доступе.
За «чувствительные» данные арифметика жёстче. Здоровье, религия и другие специальные категории попадают под часть 16 статьи 13.11 (10–15 млн ₽) при любом объёме. Биометрия идёт по части 17, с максимумом 15–20 миллионов.
Повторная утечка меняет саму логику расчёта. Штраф считают не фиксированной суммой, а долей выручки: от 1 до 3% за прошлый год, минимум 20 миллионов, максимум 500. «Повторной» утечка становится, если компанию уже наказывали по частям 12–14 или 16–18. За первую утечку платят миллионы, за вторую — проценты от оборота.
Суммы из таблицы — это статутный потолок. Практика Роскомнадзора и судов 2025–2026 годов выглядит иначе: чаще всего наказание измеряется десятками и сотнями тысяч рублей, а за первое нарушение небольшого оператора нередко ограничиваются предупреждением. Но есть категории, где счёт уже идёт на миллионы.
Миллионы — за локализацию. Самые крупные реальные штрафы связаны не с утечками, а с хранением данных россиян за рубежом (ч. 8). Иностранные сервисы Bad Kitty’s Dad и NIC.UA получили по 6 млн ₽ (повторное нарушение), Miro — 2 млн ₽ за серверы в США, Domains By Proxy — 1 млн ₽. Зарубежные площадки под прицелом в первую очередь.
Утечки: реальные суммы умереннее максимумов. В вынесенных решениях 2025–2026 годов за утечку данных 36 544 абонентов «Орион Телеком» получил предупреждение, «Юкидс» за утечку более 300 000 субъектов — штраф 400 000 ₽, а ООО «ДЕВПАН» заплатило 150 000 ₽ за утечку данных всего одного человека. Оборотных штрафов по части 15 среди вынесенных решений на момент публикации нет.
«Тихие» составы — самые массовые. Больше всего дел приходится на рекламные рассылки после отзыва согласия, отсутствие политики и передачу данных третьим лицам. Почта Банк, «СКАЕНГ» и «Всеинструменты.ру» заплатили по 150 000 ₽ за рекламу после отписки; «МЕДКВАДРАТ» и «Гаскар Технологии» — по 75 000 ₽ за клиентские базы в открытом доступе; десятки ТСЖ и СНТ получили предупреждения и штрафы 25–150 тыс. за публикацию данных жильцов.
Предупреждение вместо штрафа — частый исход первого нарушения у небольших операторов: школ, СНТ, поликлиник. Но повтор переводит в деньги: ТСЖ «Связист» за повторную публикацию в Telegram оштрафовали на 150 000 ₽.
Вывод для бизнеса простой: «недорогие» составы складываются, а локализация и повторные нарушения уже стоят миллионы. Во что обойдётся конкретно ваше нарушение, можно понять, только зная реальную картину своей обработки данных.
Утечка — повод громкий, но не самый частый. На плановой или внеплановой проверке Роскомнадзор изучает документы и находит нарушения, о которых компания обычно не задумывается:
Один визит проверяющего может собрать несколько составов сразу, а штрафы суммируются.
Административная ответственность действует, пока в действиях нет состава преступления. Это прямо оговаривает сама статья 13.11. Как только утечка становится следствием неправомерного доступа к системе, дело выходит за рамки КоАП. В конце 2024 года для таких случаев в Уголовный кодекс ввели отдельную статью 272.1: незаконные использование, передача, сбор и хранение персональных данных, полученных неправомерным путём. Наказание — вплоть до лишения свободы, и отвечают уже конкретные люди, а не только компания.
Если персональные данные всё же утекли, порядок действий напрямую влияет на итоговую ответственность:
Промедление с уведомлением превращает один инцидент в два состава сразу: и за утечку, и за молчание. Поэтому реакция на инцидент должна быть подготовлена заранее, а не собираться в момент проверки.
Все составы из таблицы выше — это невыполнение конкретных обязанностей по 152-ФЗ. Их немного:
Как выстроить каждую, разобрали в статье об основных требованиях 152-ФЗ и отдельно про организационную защиту ПДн в компании.
Таблица отвечает на вопрос «сколько», но не на вопрос «что из этого про нас». Чтобы это выяснить, нужно сопоставить вашу реальную обработку (какие данные собираете, где храните, какие документы оформлены) с требованиями закона. Этим занимается аудит персональных данных на соответствие 152-ФЗ: на выходе вы получаете перечень расхождений с привязкой к конкретным частям статьи 13.11 и план устранения. Стоит он несопоставимо меньше младшей строчки таблицы штрафов.
Если аудит уже был и разрывы известны, выстраиваем защиту персональных данных под ключ: от документов до технических мер, силами лицензиата ФСТЭК.
Аудит персональных данных покажет, где ваша обработка расходится с 152-ФЗ и что нужно привести в порядок. Заказать аудит 152-ФЗ →
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года