Штраф 152-ФЗ в 2026 году: за что выписывают и сколько

С 30 ноября 2024 года вступили в силу изменения в КоАП РФ — Федеральный закон №420-ФЗ поднял штрафы за нарушение 152-ФЗ «О персональных данных» в несколько раз. До этого статья 13.11 КоАП штрафовала юрлица на 30–75 тысяч рублей за отсутствие политики конфиденциальности — с лета 2024 это уже от 60 до 100 тысяч ₽ за первое нарушение, а отдельные составы доходят до 18 миллионов рублей.

Параллельно с 30 мая 2025 в КоАП появились новые статьи 13.11.16–13.11.18 «Об утечках персональных данных» с штрафами до 3% от годовой выручки за повторное нарушение. Это уже не «административный ущерб» — это санкция на уровне антимонопольного законодательства.

Разбираем по полочкам: какая статья КоАП за что отвечает, сколько реально стоит каждое нарушение для юрлица в 2026 году и какие сценарии чаще всего ловит автоматический сканер Роскомнадзора (бот РКН — про него у нас есть отдельная статья).

КоАП ст. 13.11: семь частей и семь штрафов

Это основная статья, по которой штрафуют за нарушения 152-ФЗ. Каждая часть закрывает свой состав. Размеры штрафов для юрлиц на 2026 год:

Для индивидуальных предпринимателей и должностных лиц суммы меньше в 3–10 раз, но «бот РКН» обычно сразу ловит юрлицо — потому что выписки из ЕГРЮЛ доступны по INN на странице контактов сайта.

13.11.16–13.11.18: утечки персональных данных

Это новые статьи КоАП — действуют с 30 мая 2025. Раньше за утечку ПДн выписывали универсальные 60–100 тысяч ₽ по ч.1 ст. 13.11. Теперь — отдельные составы по масштабу утечки:

• До 10 000 субъектов — от 3 000 000 до 5 000 000 ₽
• От 10 000 до 100 000 — от 5 000 000 до 10 000 000 ₽
• Свыше 100 000 субъектов — от 10 000 000 до 15 000 000 ₽
• Повторная утечка — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 миллионов ₽

Утечка по новой редакции — это не только взлом базы. Сюда же относят: публичный доступ к админке, незакрытые тестовые URL с реальными данными, не удалённые из выдачи поисковиков страницы со списком клиентов, открытые backup-файлы на сайте.

Свежий прецедент. В мае 2025 «Спортмастер» оштрафовали на 60 000 ₽ за утечку — но это было ещё по старым правилам. По новым 13.11.18 с похожим объёмом утечки штраф будет 5–10 миллионов.

Топ-5 за что прилетает чаще всего

Из публичных решений судов и сводок «Право.ру» за 2024–2025 годы — рейтинг типовых нарушений, по которым «бот РКН» выписывает требования автоматически:

1. Нет уведомления в Реестре операторов (ст. 22 152-ФЗ + ч. 1 ст. 19.7 КоАП) — 3–5 тысяч ₽ за невыдачу сведений плюс 60–100 тысяч ₽ по ч. 1 ст. 13.11. Совокупно — до 105 000 ₽. Узнать, есть ли сайт в реестре, можно на pd.rkn.gov.ru.
2. Политика конфиденциальности не опубликована или она «болванка» (ч. 3 ст. 13.11) — 30–60 тысяч ₽. Чаще всего ловится ошибка: политика есть, но она скачана с шаблона и в ней нет реквизитов оператора, целей обработки или категорий собираемых ПД.
3. Формы без согласия + cookies-баннера нет (ч. 2 ст. 13.11) — 300–700 тысяч ₽. Любая форма «оставьте заявку» / «подпишитесь на рассылку» — это сбор ПДн, и без галочки-согласия она нелегальна.
4. Google Analytics + Facebook Pixel (Meta признана экстремистской в РФ) на сайте российского юрлица — трансграничная передача ПДн без отдельного согласия (ст. 12 152-ФЗ + ч. 1 ст. 13.11). 60–100 тысяч ₽, но плюс репутационный риск, потому что одновременно может быть зарегено дело о незаконном использовании сервисов экстремистской организации. Подробнее — в нашей статье про GA и 152-ФЗ.
5. Хостинг сайта вне РФ (ч. 4 ст. 13.11 + 242-ФЗ) — 1–6 миллионов ₽. Самый опасный состав. Если оператор россиянин/российское юрлицо — данные граждан РФ обязаны храниться на серверах в России. Шифрование, anonymisation, договоры с зарубежным провайдером это не отменяют.

А если у меня просто сайт-визитка с контактами?

Любая форма обратной связи с email или телефоном — это обработка ПДн. Любые cookies, идентифицирующие пользователя (Яндекс.Метрика тоже), — это обработка ПДн. То есть почти любой коммерческий сайт в России подпадает под 152-ФЗ.

Минимум, который требует закон от такого сайта:

• Уведомление в Реестре операторов (бесплатно, через Госуслуги)
• Политика конфиденциальности — 12 обязательных пунктов из ч. 1 ст. 14 152-ФЗ
• Согласие на обработку ПДн на каждой форме
• Cookies-баннер с раздельными настройками
• Хостинг и почтовые сервисы — на российской инфраструктуре

Если хотя бы одного пункта нет — формально это уже состав. На практике РКН в первый раз чаще выдаёт предписание устранить нарушение за 10 рабочих дней, и только потом штрафует. Но при автоматическом обнаружении (через бот) предписания и штраф приходят одновременно.

Как уменьшить риск

1. Проверьте сайт автоматическим аудитом. Бесплатно — наш сканер ниже на этой странице. Выдаёт PDF-отчёт с указанием каждого нарушения, статьи КоАП и диапазона штрафа.
2. Зарегистрируйтесь в Реестре операторов до того, как РКН пришлёт требование. После требования регистрация уже не спасёт — штраф выпишут за «непредставление сведений в установленный срок». Пошаговая инструкция здесь.
3. Опубликуйте политику со всеми 12 пунктами и реквизитами вашего юрлица. Шаблонные «политики из интернета» суд легко признаёт несоответствующими — он смотрит, есть ли в документе указание ваших конкретных целей и категорий ПД. Шаблон с разъяснениями каждого пункта.
4. Проверьте серверы. Если хостинг в Hetzner, AWS, DigitalOcean — переезжайте на Selectel, Timeweb, Yandex Cloud, Cloud.ru. Это самый дорогой состав по штрафам и его проще всего исправить.
5. Уберите Google Analytics, Hotjar, Facebook Pixel (Meta признана экстремистской в РФ). Замените на Яндекс.Метрику или Top.Mail.Ru — российские аналитические сервисы.

Все пять пунктов сканер из этой статьи проверяет автоматически. Если у сайта score ниже 70 из 100 — статистически в течение года РКН пришлёт хотя бы одно требование.