аналитика 22 октября 2026 По состоянию на 22 октября 2026

Цена несоблюдения 152-ФЗ в 2026: от 60 тыс. до 500 млн ₽

Несоблюдение 152-ФЗ — это измеримый финансовый риск: минимальный штраф по ст. 13.11 КоАП составляет 30 000 ₽, максимальный оборотный — 500 млн ₽, уголовная ответственность по ст. 272.1 УК РФ действует с 11 декабря 2024 года.

С 30 мая 2025 года вступила в силу редакция ст. 13.11 КоАП по ФЗ-420: 18 составов вместо прежних 9. Повторная утечка данных более 100 000 субъектов при уже имеющемся штрафе — это оборотный состав с минимумом 20 млн ₽ и потолком 500 млн ₽.

Если вы CEO и ещё не провели оценку рисков по новой редакции закона — цена промедления измеряется в процентах от годовой выручки компании. → Оценить риски по 152-ФЗ

Поправки ФЗ-420 от 30 ноября 2024 года кардинально пересобрали состав административной ответственности за нарушения в сфере персональных данных. Одновременно введена уголовная статья 272.1 УК РФ. В 2026 году оператор персональных данных, не приведший обработку в соответствие с законом, рискует одновременно административным штрафом, уголовным преследованием руководителя и репутационными потерями от публичной утечки. В этом материале — структурированный разбор финансовых последствий для CEO: по составам, по категориям нарушений, по реальной судебной практике 2025–2026 годов.

Что считается обработкой ПДн и кто является оператором по 152-ФЗ?

Понимание базовых понятий закона определяет, на кого распространяется ответственность. Согласно ст. 3 ФЗ-152, оператор — это юридическое лицо, организующее и осуществляющее обработку персональных данных. Обработкой признаётся любое действие с данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Если ваша компания хранит базу клиентов, обрабатывает резюме соискателей или ведёт реестр сотрудников — она оператор ПДн по закону.

Ст. 5 ФЗ-152 устанавливает семь принципов обработки. Ключевые для CEO — принцип соответствия объёма данных заявленным целям и принцип недопустимости объединения баз с несовместимыми целями. Нарушение принципов — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025). Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований обработки: согласие субъекта, исполнение договора, выполнение требований закона и другие. Обработка без надлежащего основания — самостоятельный состав нарушения.

«Ст. 3 ФЗ-152 — понятия "оператор", "обработка", "субъект ПДн". Ст. 5 ФЗ-152 — 7 принципов обработки. Ст. 6 ФЗ-152 — 11 правовых оснований. Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, с 01.09.2025) — согласие субъекта как отдельный документ с обязательными реквизитами.»

С 1 сентября 2025 года согласие субъекта на обработку ПДн по ст. 9 ФЗ-152 должно быть оформлено отдельным документом — не встроенным в договор, оферту или политику. Компании, не переоформившие согласия, нарушают ч. 2 ст. 13.11 КоАП: штраф для юрлица 300 000–700 000 ₽.

Ваша компания обрабатывает данные клиентов или сотрудников — но нет уверенности, что всё оформлено верно?

С 30.05.2025 даже формальные нарушения в составе согласий или политике обработки влекут штрафы по новой редакции ст. 13.11 КоАП. Первичный аудит покажет, какие риски актуальны именно для вашей структуры обработки, и расставит приоритеты устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Сколько стоит каждое нарушение: таблица штрафов по ст. 13.11 КоАП в редакции 2025 года?

ФЗ-420 от 30 ноября 2024 года расширил ст. 13.11 КоАП с 9 до 18 частей. Каждая часть — самостоятельный состав с отдельным размером штрафа. Ниже — ключевые составы, актуальные для большинства компаний среднего и крупного бизнеса.

Основные составы и штрафы для юрлица (редакция с 30.05.2025)

Ч. 1 — обработка без законного основания или с нарушением целей: 150 000–300 000 ₽; повторно (ч. 1.1) — 300 000–500 000 ₽
Ч. 2 — обработка без письменного согласия или с нарушением его состава: 300 000–700 000 ₽; повторно (ч. 2.1) — 1 000 000–1 500 000 ₽
Ч. 3 — отсутствие или ненадлежащая публикация политики обработки ПДн: 30 000–60 000 ₽
Ч. 8 — нарушение требования о локализации ПДн граждан РФ (ч. 5 ст. 18 ФЗ-152): 1 000 000–6 000 000 ₽; повторно (ч. 9) — 6 000 000–18 000 000 ₽
Ч. 11 — неуведомление или несвоевременное уведомление РКН об утечке: 1 000 000–3 000 000 ₽
Ч. 12–14 — утечка ПДн в зависимости от числа субъектов: от 3 000 000 до 15 000 000 ₽
Ч. 15 — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽
Ч. 17 — утечка биометрических ПДн: 15 000 000–20 000 000 ₽

Важный нюанс по ч. 10: неуведомление РКН о намерении осуществлять обработку ПДн (обязанность по ст. 22 ФЗ-152) влечёт штраф 100 000–300 000 ₽. Многие компании годами работают без уведомления, полагая, что на них распространяется исключение. Исключений по ст. 22 — восемь узких случаев; если ни одно не применимо — оператор нарушает закон.

По данным статистики РКН за 2024 год, зафиксировано более 135 случаев компрометации баз данных, затронувших свыше 710 млн записей. В 2025 году по данным F6 Threat Intelligence в даркнете появились сведения из 250 публичных утечек — 767 млн строк, рост на 67,6% к предыдущему году. При этом по итогам 2025 года назначено только 6 административных штрафов на общую сумму около 570 тыс. ₽: суды и регулятор накапливают практику применения новых норм. Правоприменение ужесточается.

Как применяется оборотный штраф по ч. 15 ст. 13.11 КоАП?

Оборотный штраф — наиболее значимый риск для крупного бизнеса. Он применяется при повторном совершении нарушения по ч. 12–14 (утечка ПДн) лицом, ранее привлекавшимся к ответственности по этим же или смежным составам (ч. 15–18 ст. 13.11). Размер: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽.

«Ст. 13.11 ч. 15 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — оборотный штраф за повторную утечку ПДн. Ст. 4.1 КоАП, примечание 3.4-2 — снижение оборотного штрафа при инвестициях в ИБ не менее 0,1% выручки за 3 года: штраф составит 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Для компании с годовой выручкой 5 млрд ₽ оборотный штраф составит от 50 млн до 150 млн ₽. Для компании с выручкой 20 млрд ₽ — от 200 млн до 500 млн ₽ (потолок). Снижение штрафа до 1/10 минимума возможно при документально подтверждённых инвестициях в информационную безопасность не менее 0,1% выручки за три предшествующих года — это норма ст. 4.1 КоАП, введённая одновременно с ФЗ-420. Иными словами, расходы на ИБ становятся прямым аргументом в арбитражном споре о размере штрафа.

Ещё один инструмент защиты — ст. 4.1.1 КоАП: для микропредприятий и субъектов МСП при первичном нарушении и отсутствии причинённого вреда возможна замена штрафа предупреждением. К оборотным составам (ч. 15, ч. 18) эта норма не применяется.

Если у компании уже был штраф по ст. 13.11 КоАП или предписание РКН — следующее нарушение переводит в оборотный состав. Юристы DATUM оценят текущий статус и выстроят стратегию защиты до наступления повторности.

Защитить от штрафа 13.11

Уголовная ответственность по ст. 272.1 УК РФ: что изменилось с декабря 2024 года?

ФЗ-421 от 30 ноября 2024 года ввёл в Уголовный кодекс ст. 272.1 — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. Статья действует с 11 декабря 2024 года. Максимальная санкция по ч. 5 (деяние, повлёкшее тяжкие последствия) — лишение свободы до 10 лет. Ч. 4 (трансграничная передача незаконно полученных ПДн) — до 8 лет.

До введения ст. 272.1 УК уголовная ответственность за утечку ПДн применялась через ст. 272 УК (неправомерный доступ к компьютерной информации) и ст. 137 УК (нарушение неприкосновенности частной жизни). Практика по ст. 272.1 УК только формируется, однако показательна история с Аэрофлотом: в июле 2025 года по факту масштабной утечки данных возбуждено уголовное дело по ч. 4 ст. 272 УК РФ (по данным Forbes и ComNews). По данным аналитической компании СерчИнформ, 55% уголовных дел об утечках приходится на сотрудников телекома.

Для CEO принципиально важно: уголовная ответственность распространяется на физических лиц — руководителей, специалистов по ИБ, сотрудников, имевших доступ к данным и допустивших их незаконное использование. Корпоративный штраф и уголовное преследование сотрудника — параллельные, а не альтернативные последствия одного инцидента.

Три сценария нарушений и их реальная цена

Сценарий 1. Компания работает без уведомления в реестре РКН. Ситуация: оператор ПДн обрабатывает данные клиентов и сотрудников, но в реестре РКН отсутствует. РКН инициирует внеплановую проверку по индикатору риска. Доказательная база: факт отсутствия в реестре pd.rkn.gov.ru устанавливается немедленно. Исход: штраф по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽, плюс протоколы по существу обработки (ч. 1, ч. 2 или ч. 3 в зависимости от нарушений). Стратегия: подать уведомление до проверки — не исключает штраф за прошедший период, но существенно снижает риск санкций по существу обработки.

Сценарий 2. Утечка через подрядчика, данные 15 000 субъектов опубликованы в даркнете. Ситуация: маркетинговое агентство, которому переданы данные клиентской базы по договору поручения, подверглось взлому. Данные опубликованы. Оператор узнал об утечке из СМИ, уведомление в РКН не подано в течение 24 часов. Доказательная база: факт утечки устанавливается РКН самостоятельно через мониторинг даркнета. Опоздание с уведомлением фиксируется по таймстемпу публикации. Исход: штраф по ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов) — 5 000 000–10 000 000 ₽, плюс штраф по ч. 11 за неуведомление — 1 000 000–3 000 000 ₽. Принцип ответственности оператора за действия подрядчика устойчиво применяется в судебной практике. Стратегия: немедленное уведомление РКН в 24 часа снижает риск санкции по ч. 11; договор с подрядчиком с условиями ответственности за утечку позволяет взыскать часть штрафа в регрессном порядке.

Сценарий 3. Повторная утечка — оборотный штраф. Ситуация: компания уже получила штраф по ч. 12 ст. 13.11 в 2025 году. В начале 2026 года зафиксирована новая утечка более 100 000 субъектов. Исход: квалификация по ч. 15 ст. 13.11 — оборотный штраф от 1% до 3% выручки, но не менее 20 млн ₽. Для компании с выручкой 3 млрд ₽ — от 30 млн до 90 млн ₽. Замена штрафа предупреждением по ст. 4.1.1 КоАП исключена. Стратегия: документально подтверждённые инвестиции в ИБ ≥ 0,1% выручки за три предшествующих года позволяют снизить штраф до 1/10 минимального размера, но не ниже 15 млн ₽.

Реальная судебная практика 2025–2026 годов

Кейс 1. В деле АС Москвы о крупной утечке данных (Центральный ФО, начало 2026 года) суд рассматривал факт компрометации 26 млн записей. Поскольку утечка произошла до 1 июня 2025 года, применению подлежали старые нормы — ч. 1 ст. 13.11 КоАП в редакции до ФЗ-420. Назначен минимальный штраф — 150 000 ₽. Этот кейс наглядно показывает: применимая редакция нормы на момент нарушения имеет принципиальное значение. Нарушения, допущенные после 30 мая 2025 года, попадут под санкции новой редакции — несопоставимо более высокие.

Кейс 2. Арбитражный суд Москвы рассматривал дело о цифровой платформе (Северо-Западный ФО, март 2026 года): утечка около 70 000 субъектов в результате хакерской атаки. Данные включали ФИО, должности, служебные контакты. Применена ч. 14 ст. 13.11 КоАП (более 100 000 субъектов); с учётом смягчающих обстоятельств суд назначил штраф ниже стандартного диапазона. Источник: ГАРАНТ.РУ, 23 марта 2026 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — оценка рисков по 38 пунктам, приоритизированный план устранения
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на инциденты
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой признаётся любое действие с персональными данными или их совокупностью: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Хранение базы клиентов в CRM, ведение кадрового реестра, отправка email-рассылки по базе — всё это обработка. Компания, осуществляющая хотя бы одно из перечисленных действий, является оператором ПДн и обязана соблюдать закон.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), выполнение возложенных на оператора законодательством обязанностей (п. 2). С 1 сентября 2025 года согласие по ст. 9 ФЗ-152 (ред. ФЗ-156) должно быть оформлено отдельным документом с обязательными реквизитами: ФИО субъекта, наименование оператора, цель, перечень данных и действий, срок, способ отзыва. Согласие, встроенное в договор или оферту, с этой даты недействительно.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции с 30.05.2025: от 30 000 ₽ (отсутствие политики, ч. 3) до 500 млн ₽ (оборотный штраф при повторной утечке, ч. 15). За утечку биометрических данных — 15–20 млн ₽ (ч. 17). Уголовная ответственность — по ст. 272.1 УК РФ, действующей с 11.12.2024: до 10 лет лишения свободы при тяжких последствиях. Обе меры ответственности применяются параллельно: корпоративный штраф и уголовное дело в отношении сотрудников — не альтернативы.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если деятельность компании не подпадает ни под одно из восьми исключений ст. 22 ФЗ-152. Исключения узкие: например, обработка ПДн только штатных сотрудников в кадровых целях или обработка данных, полученных оператором при заключении договора с физлицом. Большинство компаний, ведущих клиентскую базу или CRM, под исключения не подпадают. Отсутствие в реестре РКН — нарушение ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽. Для субъектов МСП при первичном нарушении возможна замена на предупреждение по ст. 4.1.1 КоАП.

5. С какого возраста нужно согласие на обработку ПДн?

Общее правило: дееспособность наступает с 18 лет, до этого согласие даёт законный представитель (родитель или опекун). Для услуг информационного общества, которыми несовершеннолетний пользуется самостоятельно, нижний порог согласия субъекта — 14 лет; для детей младше — только согласие законного представителя. Если компания обрабатывает данные детей (например, в EdTech или медицине) — требуется отдельная форма согласия с указанием законного представителя.

Итог

Диапазон штрафов за несоблюдение 152-ФЗ в 2026 году — от 30 000 ₽ за отсутствие политики обработки до 500 млн ₽ за повторную утечку при применении оборотного состава. Параллельно с административной ответственностью с декабря 2024 года действует уголовная ст. 272.1 УК РФ. Стоимость аудита соответствия — от 100 000 ₽. Стоимость некорректно оформленных согласий или пропущенного уведомления об утечке — от 1 млн ₽ и выше. Арифметика в пользу профилактики очевидна.

Юристы DATUM сопровождают операторов ПДн в сфере 152-ФЗ с 2014 года: проверки РКН, оспаривание протоколов по ст. 13.11 КоАП, разработка ОРД и формирование позиции при утечках. Практика охватывает компании от СМП до крупных холдингов с выручкой свыше 10 млрд ₽.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, ст. 4.1 и ст. 4.1.1 КоАП.

22 октября 2026 года