Административная ответственность IT-компаний 2026

Административная ответственность IT-компаний в 2026 году охватывает широкий спектр нарушений - от обработки персональных данных без согласия пользователя до незаконной рекламы в интернете. Ключевые нормы - статья 13.11 КоАП РФ (нарушения в сфере персональных данных) и статья 14.3 КоАП РФ (нарушения законодательства о рекламе) - применяются к IT-бизнесу с нарастающей интенсивностью: по данным Роскомнадзора, число проверок цифровых сервисов в 2025 году выросло более чем вдвое по сравнению с 2023-м. По состоянию на май 2026 года штрафы по статье 13.11 для юридических лиц достигают 15 млн рублей за повторное нарушение. Статья разбирает, какие составы реально применяются к IT-компаниям, как строится защита и где чаще всего допускают ошибки.

Цифровой бизнес попадает под административное давление сразу по нескольким направлениям: персональные данные, реклама, локализация данных, маркировка контента. Для SaaS-сервисов, маркетплейсов, мобильных приложений и разработчиков ПО набор рисков различается, но общая логика одна - регуляторы перешли от предупреждений к реальным штрафам. Понимание состава нарушения, порядка обжалования и типичных ошибок при проверке позволяет снизить финансовые потери и избежать повторного привлечения к ответственности.

Статья 13.11 КоАП РФ: какие нарушения грозят IT-компаниям в сфере персональных данных

Статья 13.11 Кодекса об административных правонарушениях Российской Федерации предусматривает ответственность за нарушения при обработке персональных данных - от отсутствия согласия субъекта до непредоставления информации по запросу Роскомнадзора. Для юридических лиц штраф по части 1 составляет от 60 000 до 100 000 рублей, по части 2 (обработка без согласия) - от 300 000 до 700 000 рублей, а за повторное нарушение по части 9 - до 15 млн рублей или 1% годовой выручки.

Для IT-компаний наиболее распространены три группы нарушений. Первая - обработка данных без законного основания: приложение собирает геолокацию или контакты без явного согласия пользователя, либо согласие спрятано в пользовательском соглашении без отдельной формы. Вторая - нарушение требований к политике конфиденциальности: документ отсутствует, не размещён на видном месте или не содержит обязательных сведений по статье 18.1 Федерального закона о персональных данных. Третья - непредоставление ответа на запрос субъекта об удалении или исправлении данных в установленный срок (30 дней по закону).

Роскомнадзор проводит как плановые, так и внеплановые проверки - последние инициируются по жалобам пользователей. В 2024-2025 годах ведомство активно применяло автоматизированный мониторинг сайтов и приложений: отсутствие ссылки на политику конфиденциальности на главной странице фиксировалось как нарушение без выезда инспектора. Многие IT-компании недооценивают, что обработка данных сотрудников тоже подпадает под статью 13.11 - кадровые системы и корпоративные мессенджеры требуют отдельного согласия и политики.

Для разработчиков мобильных приложений отдельный риск - трекеры и SDK третьих сторон (аналитика, реклама). Передача данных пользователей в эти системы квалифицируется как передача третьим лицам и требует отдельного согласия. Пропуск этого требования - типичная ошибка при первой проверке.

Пропуск срока ответа на запрос Роскомнадзора об устранении нарушения лишает компанию возможности ограничиться предупреждением и автоматически переводит дело в плоскость штрафа - суммы начинаются от 60 000 рублей и при повторном нарушении кратно возрастают.

Для подготовки к проверке по статье 13.11 КоАП РФ подготовьте:

• Актуальную политику конфиденциальности с перечнем целей и оснований обработки данных.
• Формы согласий пользователей с датой и версией документа.
• Реестр операторов персональных данных и договоры с обработчиками (SDK, аналитика).
• Уведомление Роскомнадзора о начале обработки персональных данных (статья 22 Федерального закона о персональных данных).
• Журнал запросов субъектов и ответов на них с отметками о сроках.

Описанный порядок применим к типовым ситуациям. Конкретная проверка требует анализа документации, истории взаимодействия с регулятором и специфики продукта. Ошибка в квалификации основания обработки данных может превратить предупреждение в штраф на несколько миллионов рублей.

Как применяется статья 14.3 КоАП РФ к рекламе IT-сервисов?

Статья 14.3 Кодекса об административных правонарушениях Российской Федерации устанавливает ответственность за нарушение законодательства о рекламе: для юридических лиц штраф составляет от 100 000 до 500 000 рублей. Применительно к IT-компаниям норма охватывает рекламу в мобильных приложениях, push-уведомления, email-рассылки, таргетированную рекламу и рекламу в мессенджерах.

Федеральная антимонопольная служба (ФАС России) - основной регулятор в этой сфере. Наиболее частые составы для IT-бизнеса: рассылка рекламы без согласия получателя (статья 18 Федерального закона о рекламе), реклама без маркировки "реклама" и указания рекламодателя, недостоверная реклама с заведомо ложными характеристиками продукта. С 1 сентября 2023 года добавилось требование о маркировке интернет-рекламы и передаче данных в Единый реестр интернет-рекламы (ЕРИР) через операторов рекламных данных (ОРД). Нарушение этого требования образует самостоятельный состав.

Типичное заблуждение - считать, что push-уведомления о новых функциях продукта не являются рекламой. ФАС квалифицирует как рекламу любое сообщение, направленное на привлечение внимания к товару или услуге, даже если оно замаскировано под сервисное уведомление. Разграничение между информационным и рекламным сообщением - предмет спора в большинстве дел по статье 14.3.

Маркировка интернет-рекламы создала новый пласт рисков. IT-компании, размещающие рекламу через собственные площадки или выступающие рекламораспространителями, обязаны присваивать токены через ОРД и передавать отчётность в ЕРИР. Отсутствие токена на рекламном материале - нарушение, которое фиксируется автоматически при мониторинге.

Какие ещё составы КоАП РФ применяются к IT-бизнесу в 2026 году?

Помимо статей 13.11 и 14.3, IT-компании регулярно привлекаются по статье 13.12 КоАП РФ (нарушения в области защиты информации), статье 19.7 (непредоставление сведений в государственный орган) и статье 13.31 (нарушения обязанностей организатора распространения информации). Штрафы по статье 13.31 для юридических лиц достигают 1 млн рублей.

Организаторы распространения информации (мессенджеры, форумы, сервисы обмена файлами с аудиторией свыше определённого порога) обязаны хранить данные о пользователях и передавать их по запросу ФСБ. Невыполнение этой обязанности - статья 13.31 КоАП РФ. Реестр организаторов распространения информации ведёт Роскомнадзор, и включение в него влечёт дополнительные обязательства.

Для компаний, работающих с криптографией и средствами защиты информации, актуальна статья 13.12 КоАП РФ: использование несертифицированных средств защиты информации при обработке сведений, составляющих государственную тайну, или в государственных информационных системах. Штраф для юридических лиц - от 10 000 до 20 000 рублей с конфискацией несертифицированных средств. Для разработчиков корпоративного ПО, интегрирующихся с государственными системами, этот риск недооценивается.

Отдельный блок - ответственность за нарушение требований о локализации персональных данных граждан России на серверах, расположенных на территории Российской Федерации (статья 13.11, часть 8). Штраф для юридических лиц - от 1 млн до 6 млн рублей, при повторном нарушении - от 6 млн до 18 млн рублей. Роскомнадзор вправе заблокировать ресурс до устранения нарушения.

Неочевидный риск для SaaS-компаний и облачных сервисов - использование иностранной инфраструктуры для хранения данных российских пользователей. Даже если головная компания зарегистрирована в России, но данные физически хранятся на серверах за рубежом, это нарушение требований локализации. Переход на российские облачные провайдеры или гибридную инфраструктуру - не просто рекомендация, а условие соответствия закону.

Как обжаловать постановление по делу об административном правонарушении в IT-сфере?

Постановление по делу об административном правонарушении обжалуется в арбитражный суд в течение 10 суток с момента получения (статья 30.3 КоАП РФ). Для юридических лиц и индивидуальных предпринимателей подведомственность - арбитражный суд субъекта по месту нахождения органа, вынесшего постановление. Пропуск срока восстанавливается судом при наличии уважительных причин, но на практике суды восстанавливают срок редко.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение порядка составления протокола (статья 28.2 КоАП РФ), ненадлежащее уведомление о месте и времени рассмотрения дела, истечение срока давности привлечения к ответственности. По статьям 13.11 и 14.3 срок давности составляет один год с момента совершения нарушения (статья 4.5 КоАП РФ). Материальные основания: отсутствие состава нарушения, малозначительность деяния (статья 2.9 КоАП РФ), устранение нарушения до вынесения постановления.

Малозначительность - рабочий инструмент при первичном нарушении с незначительными последствиями. Суды применяют статью 2.9 КоАП РФ, если нарушение не причинило реального вреда охраняемым интересам и компания устранила его добровольно. Для IT-компаний это актуально при технических сбоях в системе согласий или единичных случаях нарушения маркировки рекламы.

Алгоритм обжалования: получить постановление - зафиксировать дату получения - проверить процессуальные нарушения при составлении протокола - подготовить жалобу в арбитражный суд - приложить доказательства устранения нарушения - заявить ходатайство о восстановлении срока (если пропущен). Государственная пошлина при обжаловании постановлений по делам об административных правонарушениях не уплачивается.

Многие IT-компании самостоятельно готовят возражения на протокол, не анализируя доказательственную базу регулятора. Это приводит к тому, что суд отказывает в отмене постановления по формальным основаниям, хотя материальные основания для отмены существовали. Средний штраф по статье 13.11 для юридических лиц при повторном нарушении - от 1 до 15 млн рублей, и экономия на юридическом сопровождении обжалования оборачивается кратно большими потерями.

Если постановление уже вступило в силу или первая инстанция отказала в отмене - это не финальная точка. Арбитражный процесс предусматривает апелляцию и кассацию, а позиция Верховного суда Российской Федерации по ряду составов КоАП в IT-сфере расходится с позицией нижестоящих судов.

Профилактика административной ответственности: что должна сделать IT-компания в 2026 году

Профилактика административных рисков для IT-компании строится на трёх уровнях: документальном (политики, согласия, договоры с обработчиками), техническом (настройки сбора данных, маркировка рекламы, токены ОРД) и процессуальном (порядок реагирования на запросы регуляторов). Отсутствие хотя бы одного уровня делает защиту неполной.

На документальном уровне ключевые задачи - актуализация политики конфиденциальности под действующую редакцию Федерального закона о персональных данных, разработка отдельных форм согласий для каждой цели обработки, заключение договоров с операторами рекламных данных и обработчиками персональных данных. Договор с ОРД обязателен для всех, кто размещает или распространяет интернет-рекламу.

На техническом уровне - аудит SDK и трекеров в мобильных приложениях, настройка механизма отзыва согласия пользователем, внедрение системы маркировки рекламных материалов токенами. Технический аудит рекомендуется проводить не реже одного раза в год - обновления SDK и изменения в политиках платформ (App Store, Google Play) регулярно создают новые точки риска.

На процессуальном уровне - назначение ответственного за взаимодействие с Роскомнадзором и ФАС, установление внутреннего регламента реагирования на запросы регуляторов (срок ответа - 30 дней по закону, но регулятор может установить более короткий срок в конкретном запросе), ведение журнала обращений субъектов персональных данных.

Связь между профилактикой и защитой при проверке прямая: компания, которая может предъявить регулятору актуальную документацию и доказать устранение нарушения до составления протокола, имеет реальные шансы ограничиться предупреждением. Компания без документов получает штраф по максимальной санкции.

Частые вопросы

1. Какой штраф грозит IT-компании за нарушение закона о персональных данных в 2026 году?

Штраф для юридического лица по статье 13.11 КоАП РФ составляет от 60 000 до 100 000 рублей по части 1, от 300 000 до 700 000 рублей по части 2 (обработка без согласия), до 15 млн рублей или 1% годовой выручки при повторном нарушении по части 9. Конкретный размер зависит от квалификации нарушения, наличия отягчающих обстоятельств и позиции Роскомнадзора при рассмотрении дела.

2. Обязана ли IT-компания регистрироваться в Роскомнадзоре как оператор персональных данных?

Большинство IT-компаний обязаны направить уведомление в Роскомнадзор до начала обработки персональных данных согласно статье 22 Федерального закона о персональных данных. Исключения - обработка данных исключительно в рамках трудовых отношений или для исполнения договора с субъектом - на практике применимы редко. Отсутствие уведомления при наличии обработки данных - самостоятельное нарушение, фиксируемое при проверке.

3. Что считается рекламой в мобильном приложении по статье 14.3 КоАП РФ?

Рекламой признаётся любая информация, направленная на привлечение внимания к товару, услуге или лицу, адресованная неопределённому кругу лиц (статья 3 Федерального закона о рекламе). Push-уведомления о скидках, баннеры партнёров, рекомендации товаров в ленте - всё это реклама. Сервисные уведомления о состоянии заказа или изменении условий договора рекламой не являются, но граница между ними и рекламой - предмет споров с ФАС.

4. Можно ли снизить штраф по КоАП РФ, если нарушение уже зафиксировано?

Снизить штраф можно несколькими способами: через применение статьи 2.9 КоАП РФ (малозначительность) при первичном нарушении без реального ущерба, через доказательство устранения нарушения до вынесения постановления, через оспаривание квалификации нарушения в арбитражном суде. Суды также вправе снизить штраф ниже минимального размера при наличии исключительных обстоятельств по части 3.2 статьи 4.1 КоАП РФ - для субъектов малого и среднего предпринимательства.

5. Какой срок давности по административным нарушениям в IT-сфере?

Срок давности привлечения к административной ответственности по статьям 13.11 и 14.3 КоАП РФ составляет один год с момента совершения нарушения согласно статье 4.5 КоАП РФ. По длящимся нарушениям (например, непрерывная обработка данных без согласия) срок исчисляется с момента обнаружения нарушения. Истечение срока давности - безусловное основание для прекращения дела и отмены постановления.

Административная ответственность IT-компаний в 2026 году - не абстрактный риск, а реальная статья расходов для бизнеса, работающего с данными пользователей и интернет-рекламой. Статьи 13.11 и 14.3 КоАП РФ применяются системно, штрафы по ним существенно выросли, а регуляторы перешли к автоматизированному мониторингу. Профилактика обходится дешевле защиты, а своевременное обжалование позволяет снизить санкцию или отменить постановление полностью.

"Ветров и партнёры" сопровождают IT-компании при проверках Роскомнадзора и ФАС, обжалуют постановления по делам об административных правонарушениях в арбитражных судах и помогают выстроить комплаенс-систему, снижающую вероятность повторных нарушений. Практика по делам в сфере персональных данных и интернет-рекламы ведётся с момента введения повышенных санкций по статье 13.11.