Штрафы за нарушение 152-ФЗ 2026: таблица

Штрафы за нарушение 152-ФЗ в 2026 году назначаются по статье 13.11 КоАП РФ и достигают 500 000 рублей для юридических лиц - за повторное нарушение или обработку биометрии без согласия. По состоянию на май 2026 года действует редакция статьи 13.11 КоАП РФ с расширенным перечнем составов: 11 частей, каждая из которых охватывает отдельный вид нарушения в сфере персональных данных. Роскомнадзор проверяет операторов планово и внепланово; число административных дел по статье 13.11 ежегодно растёт.

Для бизнеса это означает реальный финансовый риск: даже формальное нарушение - отсутствие политики обработки персональных данных или неверная формулировка согласия - влечёт штраф от 30 000 рублей. Повторные нарушения и утечки данных обходятся значительно дороже. В этой статье - структурированная таблица штрафов по всем частям статьи 13.11 КоАП РФ, условия применения каждого состава и практические рекомендации по снижению рисков.

Таблица штрафов по статье 13.11 КоАП РФ: все составы 2026 года

Статья 13.11 КоАП РФ содержит 11 самостоятельных составов административных правонарушений в сфере персональных данных. Санкции дифференцированы по субъекту (гражданин, должностное лицо, юридическое лицо) и по характеру нарушения. Ниже - полная структура составов с размерами штрафов.

Часть 1 - обработка персональных данных в случаях, не предусмотренных законодательством, либо несовместимая с целями сбора. Граждане: 2 000-6 000 рублей. Должностные лица: 10 000-20 000 рублей. Юридические лица: 60 000-100 000 рублей.

Часть 2 - обработка персональных данных без письменного согласия субъекта, когда такое согласие обязательно. Граждане: 6 000-10 000 рублей. Должностные лица: 20 000-40 000 рублей. Юридические лица: 100 000-300 000 рублей.

Часть 3 - невыполнение обязанности по опубликованию или обеспечению доступа к политике обработки персональных данных. Граждане: 700-1 500 рублей. Должностные лица: 3 000-6 000 рублей. Юридические лица: 15 000-30 000 рублей.

Часть 4 - непредоставление субъекту персональных данных информации об обработке его данных. Граждане: 1 000-2 000 рублей. Должностные лица: 4 000-6 000 рублей. Юридические лица: 20 000-40 000 рублей.

Часть 5 - невыполнение оператором требования субъекта об уточнении, блокировании или уничтожении персональных данных. Граждане: 800-3 000 рублей. Должностные лица: 4 000-10 000 рублей. Юридические лица: 25 000-45 000 рублей.

Часть 6 - невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных на территории России (нарушение требования о локализации). Граждане: 1 000-6 000 рублей. Должностные лица: 6 000-12 000 рублей. Юридические лица: 100 000-500 000 рублей.

Часть 7 - невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение требований к обезличиванию. Должностные лица: 3 000-6 000 рублей.

Часть 8 - невыполнение обязанности по уведомлению уполномоченного органа об обработке персональных данных. Граждане: 300-500 рублей. Должностные лица: 500-1 000 рублей. Юридические лица: 1 000-3 000 рублей.

Часть 9 - повторное совершение правонарушения, предусмотренного частью 1. Граждане: 4 000-12 000 рублей. Должностные лица: 20 000-50 000 рублей. Юридические лица: 100 000-500 000 рублей.

Часть 10 - повторное совершение правонарушения, предусмотренного частью 2. Граждане: 10 000-20 000 рублей. Должностные лица: 40 000-100 000 рублей. Юридические лица: 300 000-500 000 рублей.

Часть 11 - обработка биометрических персональных данных без согласия субъекта в письменной форме, если иное не предусмотрено федеральным законом. Граждане: 10 000-15 000 рублей. Должностные лица: 50 000-100 000 рублей. Юридические лица: 300 000-500 000 рублей.

Типичное заблуждение операторов - считать, что штраф назначается один раз за всё. Каждый выявленный состав квалифицируется отдельно: если при проверке Роскомнадзор фиксирует нарушения по частям 2, 3 и 6 одновременно, штрафы суммируются по каждому эпизоду.

Описанные выше составы охватывают большинство типовых ситуаций, но конкретная квалификация зависит от деталей: формы согласия, наличия политики, технической реализации локализации. Ошибка в квалификации при самостоятельной оценке рисков приводит к тому, что оператор готовится к одному штрафу, а получает три.

Какие нарушения 152-ФЗ чаще всего выявляет Роскомнадзор?

По данным Роскомнадзора, наиболее распространённые нарушения при проверках операторов персональных данных - отсутствие или ненадлежащее оформление согласия на обработку (часть 2 статьи 13.11 КоАП РФ), неопубликованная политика конфиденциальности (часть 3) и нарушение требований локализации (часть 6). Именно эти три состава формируют большинство административных дел.

Согласие на обработку персональных данных - самый частый предмет претензий. Роскомнадзор проверяет не только наличие галочки на сайте, но и содержание: согласие должно быть конкретным, информированным, сознательным и однозначным. Типичные ошибки: предзаполненный чекбокс, согласие «на любые цели», отсутствие перечня третьих лиц, которым передаются данные.

Политика обработки персональных данных обязательна для любого оператора - физического лица, ИП или организации. Статья 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ требует опубликовать документ в открытом доступе. Отсутствие политики или её размещение в труднодоступном месте сайта квалифицируется по части 3 статьи 13.11 КоАП РФ.

Требование локализации действует с 2015 года: первичный сбор и запись персональных данных граждан России должны осуществляться на серверах, физически расположенных в России. Нарушение этого требования - одно из самых дорогостоящих: штраф для юридического лица достигает 500 000 рублей, а при повторном нарушении Роскомнадзор вправе инициировать блокировку ресурса.

Что подготовить для прохождения проверки Роскомнадзора:

• Политика обработки персональных данных, опубликованная на сайте в открытом доступе.
• Формы согласий по каждому виду обработки с указанием целей, состава данных и третьих лиц.
• Приказ о назначении ответственного за организацию обработки персональных данных.
• Документы, подтверждающие локализацию баз данных (договор с хостинг-провайдером, технические сведения о серверах).
• Уведомление Роскомнадзора об обработке персональных данных (если оператор обязан его подавать).

Как рассчитывается штраф за нарушение 152-ФЗ и можно ли его снизить?

Штраф по статье 13.11 КоАП РФ назначается в пределах санкции конкретной части: должностное лицо, составляющее протокол, фиксирует нарушение, затем дело рассматривает Роскомнадзор или суд. Размер штрафа в пределах вилки определяется с учётом характера нарушения, степени вины, имущественного положения нарушителя и наличия смягчающих обстоятельств (статья 4.2 КоАП РФ).

Смягчающие обстоятельства, которые реально влияют на размер штрафа: добровольное устранение нарушения до вынесения постановления, содействие проверяющим, отсутствие ущерба субъектам персональных данных, совершение нарушения впервые. Суды, как правило, снижают штраф до минимума санкции при наличии двух и более смягчающих обстоятельств.

Неочевидный риск - назначение штрафа ниже минимума санкции. Часть 3.2 статьи 4.1 КоАП РФ позволяет суду снизить штраф для юридического лица ниже низшего предела, если минимальный размер превышает 100 000 рублей, а нарушение совершено впервые и не повлекло существенных последствий. Это инструмент защиты, о котором операторы часто не знают.

Пропуск срока обжалования постановления лишает оператора права на судебную защиту: статья 30.3 КоАП РФ устанавливает срок 10 суток с момента вручения или получения копии постановления. После истечения этого срока постановление вступает в силу, и штраф подлежит принудительному взысканию. Восстановление пропущенного срока возможно только при наличии уважительных причин - и суды удовлетворяют такие ходатайства редко.

Самостоятельная подготовка возражений без анализа доказательственной базы проверки приводит к тому, что оператор оспаривает не те эпизоды: по данным административной практики, большинство штрафов по статье 13.11 КоАП РФ остаются в силе именно из-за процессуальных ошибок при обжаловании, а не из-за отсутствия оснований для отмены.

Если постановление уже вынесено, а срок обжалования не истёк - важно действовать быстро. Анализ материалов дела, выявление процессуальных нарушений при проверке и подготовка мотивированной жалобы требуют времени, которого при 10-суточном сроке крайне мало.

Ответственность за утечку персональных данных: что изменилось?

С 30 мая 2025 года вступили в силу поправки, существенно ужесточившие ответственность за утечки персональных данных. Федеральный закон от 30 ноября 2024 года N 420-ФЗ ввёл оборотные штрафы за утечку: для юридических лиц - от 5 до 15 миллионов рублей при первичном нарушении и от 1 до 3 процентов совокупной выручки за предшествующий год при повторном, но не менее 15 миллионов рублей и не более 500 миллионов рублей.

Оборотный штраф применяется при утечке данных 1 000 и более субъектов или специальных категорий данных (биометрия, здоровье, политические взгляды) любого числа субъектов. Для малого бизнеса с выручкой до 800 миллионов рублей предусмотрены пониженные пороги, однако минимальный штраф в 5 миллионов рублей сохраняется.

Важно разграничивать составы: оборотный штраф за утечку - это отдельный состав, не входящий в статью 13.11 КоАП РФ. Он предусмотрен статьёй 13.11.1 КоАП РФ (введена тем же законом). Штрафы по статье 13.11 и по статье 13.11.1 могут назначаться одновременно, если при утечке выявлены и иные нарушения - например, отсутствие надлежащего согласия или нарушение требований локализации.

Многие операторы недооценивают риск совокупности составов: при крупной утечке Роскомнадзор, как правило, проводит внеплановую проверку всей документации, что приводит к выявлению дополнительных нарушений по статье 13.11 КоАП РФ. Итоговая сумма санкций в таких случаях может превысить оборотный штраф.

Как проходит проверка Роскомнадзора по 152-ФЗ и каковы сроки?

Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных на основании Федерального закона от 26 декабря 2008 года N 294-ФЗ о защите прав юридических лиц и индивидуальных предпринимателей. Плановые проверки включаются в ежегодный план, публикуемый на сайте ведомства; внеплановые назначаются по жалобам субъектов или при выявлении признаков нарушений.

Срок проведения документарной или выездной проверки - не более 20 рабочих дней. По итогам составляется акт проверки; при выявлении нарушений - протокол об административном правонарушении. Протокол направляется на рассмотрение: дела по частям 1-6 и 8-11 статьи 13.11 КоАП РФ рассматривает Роскомнадзор, дела по части 7 - суд.

Срок давности привлечения к административной ответственности по статье 13.11 КоАП РФ составляет один год с момента совершения правонарушения (статья 4.5 КоАП РФ). Для длящихся нарушений - например, отсутствия политики обработки персональных данных - срок исчисляется с момента обнаружения нарушения.

Ссылки на смежные материалы по теме: подробнее о процедуре обжалования постановлений по делам об административных правонарушениях - в разделе обжалование по делам об АП; о проверках контролирующих органов - в разделе проверки контролирующих органов.

Частые вопросы

1. Какой максимальный штраф грозит юридическому лицу за нарушение 152-ФЗ в 2026 году?

Максимальный штраф для юридического лица по статье 13.11 КоАП РФ составляет 500 000 рублей - он предусмотрен частями 6, 9, 10 и 11 за нарушение требований локализации, повторную обработку без законного основания, повторную обработку без согласия и обработку биометрии без письменного согласия. Отдельно действует оборотный штраф по статье 13.11.1 КоАП РФ за утечку данных - до 500 миллионов рублей при повторном нарушении. Оба состава могут применяться одновременно.

2. Нужно ли уведомлять Роскомнадзор об обработке персональных данных и что будет, если не уведомить?

Большинство операторов обязаны направить уведомление в Роскомнадзор до начала обработки персональных данных согласно статье 22 Федерального закона N 152-ФЗ. Исключения - обработка данных сотрудников в кадровых целях, обработка данных контрагентов для исполнения договора и ряд других случаев. Нарушение обязанности по уведомлению квалифицируется по части 8 статьи 13.11 КоАП РФ: штраф для юридического лица - от 1 000 до 3 000 рублей. Это минимальная санкция в статье, однако отсутствие уведомления при проверке фиксируется как отдельный эпизод.

3. Можно ли оспорить штраф Роскомнадзора по статье 13.11 КоАП РФ и в какой срок?

Постановление Роскомнадзора по делу об административном правонарушении можно обжаловать в течение 10 суток с момента вручения или получения его копии согласно статье 30.3 КоАП РФ. Жалоба подаётся в вышестоящий орган Роскомнадзора или в арбитражный суд по месту нахождения юридического лица. Пропуск срока без уважительных причин лишает права на обжалование - постановление вступает в силу и подлежит исполнению.

4. Распространяются ли штрафы по 152-ФЗ на индивидуальных предпринимателей?

Индивидуальные предприниматели несут ответственность по статье 13.11 КоАП РФ как должностные лица, если иное прямо не указано в санкции конкретной части. Это означает, что максимальный штраф для ИП по части 2 составляет 40 000 рублей, по части 11 - 100 000 рублей. Оборотный штраф по статье 13.11.1 КоАП РФ также распространяется на ИП, осуществляющих предпринимательскую деятельность с обработкой персональных данных.

5. Что считается повторным нарушением по статье 13.11 КоАП РФ и как это влияет на штраф?

Повторным считается нарушение, совершённое в течение одного года с момента вступления в силу постановления о предыдущем административном правонарушении аналогичного вида (статья 4.6 КоАП РФ). Повторное нарушение по части 1 статьи 13.11 квалифицируется по части 9 с максимальным штрафом для юридического лица 500 000 рублей вместо 100 000 рублей; повторное нарушение по части 2 - по части 10 с максимальным штрафом 500 000 рублей вместо 300 000 рублей.

Штрафы за нарушение 152-ФЗ в 2026 году охватывают 11 самостоятельных составов по статье 13.11 КоАП РФ с санкциями от 300 рублей до 500 000 рублей для юридических лиц, плюс оборотные штрафы за утечки по статье 13.11.1 КоАП РФ. Ключевые риски - обработка данных без надлежащего согласия, нарушение требований локализации и повторные нарушения, при которых санкция возрастает кратно.

Юридическая фирма «Ветров и партнёры» ведёт практику по административным делам в сфере персональных данных с момента введения ответственности по статье 13.11 КоАП РФ. Специалисты фирмы сопровождают операторов при проверках Роскомнадзора, готовят возражения на акты проверок и обжалуют постановления о назначении штрафов в арбитражных судах по всей России.