Частые вопросы о штрафах по 152-ФЗ

Штрафы по статье 13.11 КоАП РФ за нарушения в сфере персональных данных - одна из самых болезненных тем для российского бизнеса в 2026 году. После масштабных поправок, вступивших в силу с 30 мая 2025 года, максимальный штраф для юридических лиц вырос до 15 миллионов рублей за первичное нарушение и до 500 миллионов рублей - за повторное. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» обязывает практически каждую компанию соблюдать требования к обработке данных, а Роскомнадзор планомерно наращивает число проверок. Ниже - ответы на вопросы, которые чаще всего задают предприниматели и директора.

Статья охватывает состав нарушений по статье 13.11 КоАП РФ, размеры штрафов, порядок проверок Роскомнадзора, основания для снижения санкций и практику оспаривания постановлений. Материал актуален для компаний, которые собирают данные клиентов, сотрудников или пользователей сайта.

Что считается нарушением 152-ФЗ и за что штрафуют по статье 13.11 КоАП РФ?

Нарушением Федерального закона № 152-ФЗ признаётся любое несоответствие требованиям к обработке персональных данных: отсутствие согласия субъекта, обработка данных сверх заявленных целей, непредоставление информации по запросу, ненадлежащее хранение или уничтожение данных. Статья 13.11 КоАП РФ содержит 11 самостоятельных составов - каждый влечёт отдельный штраф, и суммирование санкций по нескольким частям одной статьи законом не запрещено.

Наиболее распространённые составы в практике Роскомнадзора: обработка данных без согласия (часть 2 статьи 13.11 КоАП РФ), нарушение требований к политике конфиденциальности (часть 1), непредоставление субъекту информации о его данных (часть 4), несоблюдение требований к локализации данных на территории России (часть 8). Отдельно выделены утечки персональных данных - за них предусмотрены самостоятельные санкции по частям 10 и 11 статьи 13.11 КоАП РФ.

Многие компании полагают, что достаточно разместить на сайте политику конфиденциальности - и обязательства выполнены. Это заблуждение. Роскомнадзор проверяет не только наличие документа, но и его содержание: соответствие перечня обрабатываемых данных реальной практике, наличие правовых оснований для каждой категории данных, порядок отзыва согласия. Формальный документ без содержательного соответствия не защищает от штрафа.

Для компаний, работающих с биометрическими или специальными категориями данных (здоровье, национальность, политические взгляды), требования ужесточены. Обработка таких данных без явного письменного согласия или без иного законного основания образует состав по части 2 статьи 13.11 КоАП РФ с максимальным штрафом до 15 миллионов рублей для юридических лиц.

Каковы актуальные размеры штрафов по 152-ФЗ в 2025-2026 годах?

После поправок, вступивших в силу с 30 мая 2025 года, размеры штрафов по статье 13.11 КоАП РФ существенно выросли. Для юридических лиц базовые санкции составляют от 60 000 до 15 000 000 рублей в зависимости от состава нарушения; за повторные нарушения - до 500 000 000 рублей или оборотный штраф до 3% годовой выручки.

Основные ориентиры по наиболее частым составам: нарушение требований к политике конфиденциальности (часть 1) - от 60 000 до 6 000 000 рублей для организаций; обработка данных без согласия (часть 2) - от 100 000 до 15 000 000 рублей; непредоставление информации субъекту (часть 4) - от 40 000 до 160 000 рублей; нарушение требований к локализации (часть 8) - от 1 000 000 до 6 000 000 рублей. За утечку данных (части 10-11) - от 3 000 000 до 15 000 000 рублей при первичном нарушении и до 500 000 000 рублей при повторном.

Штрафы для должностных лиц и индивидуальных предпринимателей значительно ниже, но также выросли. Должностное лицо за обработку данных без согласия заплатит от 20 000 до 200 000 рублей. Для ИП санкции приближены к должностным лицам, а не к организациям - это важно при выборе организационно-правовой формы для бизнеса, работающего с большими массивами данных.

Неочевидный риск: одна проверка может выявить нарушения сразу по нескольким частям статьи 13.11 КоАП РФ. Роскомнадзор вправе составить несколько протоколов по одному визиту. Совокупный штраф по итогам одной проверки для крупной компании может превысить 50 миллионов рублей - это уже не административная, а реальная финансовая угроза.

Если ваша компания получила предписание или уведомление о проверке Роскомнадзора, а объём обрабатываемых данных превышает несколько тысяч записей, промедление с правовым анализом увеличивает риск максимальных санкций. Юристы «Ветров и партнёры» проводят аудит соответствия требованиям 152-ФЗ, оценивают выявленные нарушения и готовят план устранения до составления протокола.

Как Роскомнадзор проводит проверки по 152-ФЗ и что проверяет?

Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных на основании Федерального закона № 294-ФЗ и Постановления Правительства РФ от 13 февраля 2019 года № 146. Плановые проверки включаются в ежегодный план, который публикуется на сайте ведомства; внеплановые назначаются по жалобам субъектов данных, по результатам мониторинга или при выявлении утечки.

В ходе документарной проверки инспекторы запрашивают: политику конфиденциальности и локальные акты об обработке данных, формы согласий субъектов, уведомление об операторе в реестре Роскомнадзора, договоры с третьими лицами, которым передаются данные, технические меры защиты. Выездная проверка дополнительно охватывает фактическое состояние информационных систем и соответствие технической документации реальной инфраструктуре.

Что проверяют в первую очередь: наличие уведомления оператора (статья 22 Федерального закона № 152-ФЗ), соответствие политики конфиденциальности требованиям статьи 18.1, наличие согласий для каждой цели обработки, порядок реагирования на запросы субъектов, соблюдение сроков хранения и уничтожения данных. С 2025 года отдельно проверяется выполнение требований к уведомлению Роскомнадзора об утечках в течение 24 часов.

Для подготовки к проверке или устранения нарушений до её начала подготовьте следующее:

• Актуальную политику конфиденциальности с перечнем всех категорий обрабатываемых данных и правовых оснований.
• Подписанные согласия субъектов или документальное подтверждение иного законного основания обработки.
• Уведомление об операторе в реестре Роскомнадзора (если компания обязана его подавать).
• Договоры с контрагентами, которым передаются данные, с условиями об обеспечении конфиденциальности.
• Приказ о назначении ответственного за организацию обработки персональных данных.

Можно ли снизить штраф по статье 13.11 КоАП РФ или избежать его?

Снизить штраф ниже минимального предела санкции возможно при наличии исключительных обстоятельств - такую возможность предоставляет часть 2.2 статьи 4.1 КоАП РФ. Суд вправе назначить наказание ниже низшего предела, если минимальный штраф несоразмерен тяжести нарушения. Для малого и среднего бизнеса, включённого в реестр МСП, суды применяют эту норму чаще.

Смягчающие обстоятельства по статье 4.2 КоАП РФ: добровольное устранение нарушения до рассмотрения дела, содействие проверяющим, отсутствие вреда субъектам данных, совершение нарушения впервые. Каждое из этих обстоятельств нужно документально подтвердить - суд не принимает устные заверения. Устранение нарушения после составления протокола, но до вынесения постановления, фиксируется актом или скриншотами с датой.

Полностью избежать штрафа можно при наличии процессуальных нарушений со стороны Роскомнадзора: нарушение сроков составления протокола (статья 28.5 КоАП РФ), ненадлежащее уведомление лица о времени и месте рассмотрения дела, отсутствие полномочий у должностного лица, составившего протокол. Пропуск двухмесячного срока давности привлечения к ответственности (статья 4.5 КоАП РФ) также влечёт прекращение производства - хотя по делам об утечках данных срок давности составляет один год.

Типичное заблуждение: компании полагают, что устранение нарушения автоматически освобождает от штрафа. Это не так. Устранение - смягчающее обстоятельство, но не основание для прекращения дела. Производство прекращается только при малозначительности нарушения (статья 2.9 КоАП РФ) или при процессуальных дефектах. Малозначительность суды применяют редко - в основном при формальных нарушениях без реального ущерба субъектам данных.

Самостоятельная подача возражений на акт проверки без анализа доказательственной базы нередко закрепляет позицию, которую потом сложно изменить в суде. Если постановление уже вынесено, а сумма штрафа превышает 500 000 рублей, аудит правовой позиции и оценка перспектив обжалования позволяют определить реальные шансы до подачи жалобы.

Как обжаловать постановление о штрафе по 152-ФЗ?

Постановление Роскомнадзора по делу об административном правонарушении обжалуется в арбитражный суд по месту нахождения органа, вынесшего постановление, в течение 10 суток со дня получения копии постановления - статья 30.3 КоАП РФ. Пропуск срока влечёт оставление жалобы без рассмотрения, если суд не восстановит срок по уважительным причинам. Государственная пошлина за подачу жалобы на постановление по делу об АП не уплачивается.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение порядка составления протокола, ненадлежащее уведомление, рассмотрение дела в отсутствие лица без его надлежащего извещения, истечение срока давности. Материальные: недоказанность события нарушения или вины, неправильная квалификация деяния, несоразмерность наказания.

Арбитражный суд рассматривает жалобу по правилам главы 25 АПК РФ. Суд не связан доводами жалобы и проверяет законность постановления в полном объёме. Это означает, что суд может выявить нарушения, которые заявитель не указал, - и это работает в обе стороны: суд может также обнаружить дополнительные основания для оставления постановления в силе.

Срок рассмотрения жалобы в арбитражном суде первой инстанции - два месяца. Решение суда первой инстанции вступает в силу немедленно, но может быть обжаловано в апелляционную инстанцию в течение 10 дней. Исполнение постановления приостанавливается на период рассмотрения жалобы, если суд вынес соответствующее определение.

Какова ответственность за утечку персональных данных по новым правилам?

С 30 мая 2025 года утечка персональных данных выделена в самостоятельные составы - части 10 и 11 статьи 13.11 КоАП РФ. За утечку данных от 1 000 до 10 000 субъектов штраф для юридических лиц составляет от 3 000 000 до 5 000 000 рублей; от 10 000 до 100 000 субъектов - от 5 000 000 до 10 000 000 рублей; свыше 100 000 субъектов - от 10 000 000 до 15 000 000 рублей. При повторной утечке - оборотный штраф до 3% годовой выручки, но не менее 15 000 000 рублей и не более 500 000 000 рублей.

Ключевое условие ответственности - вина оператора. Если утечка произошла вследствие действий третьих лиц (хакерская атака), оператор обязан доказать, что принял все предусмотренные законом технические и организационные меры защиты. Перечень таких мер установлен приказом ФСТЭК России от 18 февраля 2013 года № 21 и приказом ФСБ России от 10 июля 2014 года № 378. Отсутствие документального подтверждения принятых мер автоматически усиливает позицию Роскомнадзора.

Обязательное уведомление об утечке: оператор обязан уведомить Роскомнадзор о факте утечки в течение 24 часов с момента обнаружения, а о результатах внутреннего расследования - в течение 72 часов (статья 21 Федерального закона № 152-ФЗ в редакции 2024 года). Нарушение сроков уведомления образует самостоятельный состав. Многие компании узнают об этой обязанности только после того, как Роскомнадзор уже возбудил дело.

Частые вопросы

1. Распространяются ли штрафы по 152-ФЗ на малый бизнес и ИП?

Штрафы по статье 13.11 КоАП РФ распространяются на всех операторов персональных данных - юридических лиц, индивидуальных предпринимателей и должностных лиц, независимо от размера бизнеса. Для ИП санкции ниже, чем для организаций: например, за обработку данных без согласия (часть 2) ИП заплатит от 20 000 до 300 000 рублей, тогда как организация - от 100 000 до 15 000 000 рублей. Субъекты малого и среднего предпринимательства, включённые в реестр МСП, вправе ходатайствовать о замене штрафа предупреждением при первичном нарушении - статья 4.1.1 КоАП РФ.

2. Нужно ли уведомлять Роскомнадзор, если компания обрабатывает только данные своих сотрудников?

Обработка персональных данных исключительно в целях трудовых отношений освобождает оператора от обязанности подавать уведомление в Роскомнадзор - пункт 1 части 2 статьи 22 Федерального закона № 152-ФЗ. Однако это исключение действует строго: если компания использует данные сотрудников для иных целей (например, для маркетинга или передаёт третьим лицам), исключение не применяется и уведомление обязательно. Отсутствие уведомления при наличии обязанности его подать образует состав по части 1 статьи 19.7 КоАП РФ.

3. Каков срок давности привлечения к ответственности по статье 13.11 КоАП РФ?

Срок давности привлечения к административной ответственности по статье 13.11 КоАП РФ составляет один год со дня совершения нарушения - статья 4.5 КоАП РФ. Для длящихся нарушений (например, постоянная обработка данных без согласия) срок исчисляется со дня обнаружения нарушения. По составам, связанным с утечкой персональных данных (части 10-11 статьи 13.11 КоАП РФ), срок давности также составляет один год. По истечении срока давности производство по делу подлежит прекращению.

4. Что делать, если Роскомнадзор прислал запрос о предоставлении документов?

Запрос Роскомнадзора о предоставлении документов необходимо исполнить в установленный срок - как правило, 10 рабочих дней. Непредоставление документов образует самостоятельный состав по статье 19.7 КоАП РФ со штрафом до 5 000 рублей для должностных лиц и до 10 000 рублей для организаций. Перед ответом на запрос рекомендуется оценить, какие документы запрошены и не содержат ли они сведений, способных подтвердить нарушения по статье 13.11 КоАП РФ. Предоставлять документы сверх запрошенного не нужно.

5. Можно ли оспорить штраф, если нарушение уже устранено до вынесения постановления?

Устранение нарушения до вынесения постановления является смягчающим обстоятельством по статье 4.2 КоАП РФ, но не основанием для прекращения производства по делу. Суды учитывают факт устранения при определении размера штрафа и могут снизить его до минимального предела санкции или ниже - при наличии исключительных обстоятельств по части 2.2 статьи 4.1 КоАП РФ. Для субъектов МСП при первичном нарушении возможна замена штрафа предупреждением по статье 4.1.1 КоАП РФ, если нарушение не причинило вреда охраняемым интересам.

Штрафы по 152-ФЗ в 2025-2026 годах - это реальный финансовый риск для любой компании, работающей с данными клиентов, пользователей или сотрудников. Размеры санкций после поправок сопоставимы с годовой прибылью среднего бизнеса, а практика Роскомнадзора показывает рост числа проверок. Своевременный аудит документации и устранение нарушений до проверки обходятся значительно дешевле, чем оспаривание постановления в суде.

Юридическая фирма «Ветров и партнёры» сопровождает компании в спорах с Роскомнадзором, проводит аудит соответствия требованиям 152-ФЗ и защищает интересы операторов персональных данных в арбитражных судах. Практика охватывает IT-компании, ритейл, производство и сферу услуг - отрасли с наибольшим объёмом обрабатываемых данных.