19 февраля 2026 Актуально на: февраль 2026 12 мин чтения

Штрафы за персональные данные с 30 мая 2025 года: полная таблица и реальные риски

Коротко

С 30 мая 2025 года штрафы за нарушения в сфере персональных данных выросли в 3–10 раз. Закон — 420-ФЗ от 30.11.2024.
Максимальный штраф — до 500 млн рублей (оборотный, за повторную утечку данных).
Впервые введена уголовная ответственность — до 10 лет лишения свободы за незаконный оборот ПД (421-ФЗ, ст. 272.1 УК РФ).
Скидка 50% при быстрой уплате штрафа — отменена по всем составам ст. 13.11 КоАП.

Содержание

Что изменилось и почему
Полная таблица штрафов по ст. 13.11 КоАП
Оборотные штрафы за утечки
Уголовная ответственность
7 нарушений на сайте, за которые штрафуют
Как снизить штраф
Статистика: как штрафует РКН
Чек-лист: проверьте свой сайт
Частые вопросы

1. Что изменилось и почему

30 ноября 2024 года президент подписал два закона, кардинально изменивших ответственность за нарушения в сфере персональных данных:

Федеральный закон № 420-ФЗ — ужесточение административных штрафов (изменения в ст. 13.11 КоАП РФ)
Федеральный закон № 421-ФЗ — введение уголовной ответственности (новая ст. 272.1 УК РФ)

Оба вступили в силу 30 мая 2025 года.

Почему это произошло? В первом полугодии 2024 года в России произошло 135 крупных утечек персональных данных — скомпрометировано около 1 миллиарда записей. Россия заняла второе место в мире по объёму утечек. Прежние штрафы (максимум 100 тысяч рублей за незаконную обработку) не останавливали нарушителей — крупнейшая утечка 26 миллионов записей обошлась компании всего в 150 тысяч рублей.

2. Полная таблица штрафов по ст. 13.11 КоАП

Общие нарушения обработки персональных данных

Нарушение	Часть	Физлица	Должн. лица	ИП	Юрлица
Обработка ПД без законных оснований	ч. 1	10–15 тыс.	50–100 тыс.	50–100 тыс.	150–300 тыс.
Повторное нарушение	ч. 1.1	15–30 тыс.	100–200 тыс.	300–500 тыс.	300–500 тыс.
Обработка без согласия субъекта	ч. 2	10–15 тыс.	100–300 тыс.	—	300–700 тыс.
Повторное нарушение без согласия	ч. 2.1	15–30 тыс.	300–500 тыс.	0,5–1 млн	1–1,5 млн
Не опубликована политика ПД	ч. 3	1,5–3 тыс.	6–12 тыс.	10–20 тыс.	30–60 тыс.

Уведомления

Нарушение	Часть	Физлица	Должн. лица	Юрлица / ИП
Не уведомил РКН о начале обработки	ч. 10	5–10 тыс.	30–50 тыс.	100–300 тыс.
Не уведомил РКН об утечке	ч. 11	50–100 тыс.	400–800 тыс.	1–3 млн

Утечки персональных данных

Масштаб утечки	Часть	Физлица	Должн. лица	Юрлица / ИП
1–10 тыс. субъектов	ч. 12	100–200 тыс.	200–400 тыс.	3–5 млн
10–100 тыс. субъектов	ч. 13	200–300 тыс.	300–500 тыс.	5–10 млн
Более 100 тыс. субъектов	ч. 14	300–400 тыс.	400–600 тыс.	10–15 млн

Специальные категории, биометрия и локализация

Нарушение	Часть	Юрлица / ИП
Утечка специальных категорий ПД	ч. 16	10–20 млн
Утечка биометрических данных	ч. 17	15–20 млн
Хранение ПД граждан РФ за рубежом	ч. 8	1–6 млн
Повторное нарушение локализации	ч. 9	6–18 млн

3. Оборотные штрафы за утечки

Главное нововведение 420-ФЗ — оборотные штрафы за повторные утечки. Размер штрафа привязан к выручке компании.

Нарушение	Часть	Размер штрафа
Повторная утечка ПД	ч. 15	1–3% выручки (мин. 20 млн, макс. 500 млн ₽)
Повторная утечка спецкатегорий / биометрии	ч. 18	1–3% выручки (мин. 25 млн, макс. 500 млн ₽)

Пример расчёта: компания с годовой выручкой 200 млн рублей при повторной утечке заплатит от 2 до 6 млн рублей (1–3% от выручки). Поскольку минимум — 20 млн, штраф составит 20 млн рублей.

Скидка 50% при быстрой уплате отменена по всем составам статьи 13.11. ИП несут ту же ответственность, что и юридические лица (по частям 1.1 и 8–18).

Источник: КонсультантПлюс — закон об оборотных штрафах

4. Уголовная ответственность

Федеральный закон № 421-ФЗ от 30.11.2024 впервые ввёл в Уголовный кодекс специальную статью о персональных данных — ст. 272.1 УК РФ.

Состав преступления	Наказание
Незаконное использование, передача, сбор или хранение ПД	Штраф до 300 тыс. ₽ или лишение свободы до 4 лет
То же с данными несовершеннолетних, спецкатегориями, биометрией	Штраф до 700 тыс. ₽ или лишение свободы до 5 лет
Трансграничная передача незаконно полученных ПД	Лишение свободы до 8 лет + штраф до 2 млн ₽
Деяние, повлёкшее тяжкие последствия	Лишение свободы до 10 лет

Статья не распространяется на обработку ПД исключительно для личных и семейных нужд.

Источник: Ст. 272.1 УК РФ — КонсультантПлюс

5. 7 нарушений на сайте, за которые штрафуют прямо сейчас

1 Формы без чекбокса согласия на обработку ПД

Любая форма на сайте (заказ, обратная связь, подписка), которая собирает имя, телефон или email — обрабатывает персональные данные. Без явного согласия на обработку персональных данных это нарушение.

300–700 тыс. ₽ для юрлиц (ч. 2 ст. 13.11)

2 Google Analytics и зарубежные трекеры

Google Analytics, Meta Pixel, TikTok Pixel передают данные посетителей на серверы за пределами РФ. Это нарушение требований о локализации.

1–6 млн ₽ первое / 6–18 млн ₽ повторное (ч. 8–9)

3 Нет политики конфиденциальности

Оператор обязан опубликовать документ, определяющий политику в отношении обработки ПД, и обеспечить неограниченный доступ к нему. Дополнительный риск — блокировка сайта.

30–60 тыс. ₽ для юрлиц (ч. 3 ст. 13.11)

4 Избыточные поля в формах

Сбор данных, не относящихся к цели обработки. Например, форма «Заказать звонок» запрашивает ФИО, дату рождения и адрес — хотя для звонка нужен только телефон.

150–300 тыс. ₽ для юрлиц (ч. 1 ст. 13.11)

5 Cookie без предупреждения

Сайт устанавливает cookie-файлы (особенно аналитические и рекламные) без информирования пользователя и получения согласия.

150–300 тыс. ₽ для юрлиц (ч. 1 ст. 13.11)

6 Нет уведомления в Роскомнадзор

Оператор ПД обязан уведомить РКН до начала обработки и попасть в реестр операторов персональных данных. Многие компании об этом не знают.

100–300 тыс. ₽ для юрлиц (ч. 10 ст. 13.11)

7 Нет плана реагирования на утечки

С 30 мая 2025 года оператор обязан уведомить РКН об утечке в течение 24 часов и предоставить результаты расследования в течение 72 часов.

1–3 млн ₽ за неуведомление (ч. 11 ст. 13.11)

6. Как снизить штраф: смягчающие обстоятельства

Закон предусматривает возможность существенного снижения оборотного штрафа — до 0,1 от минимального размера (но не менее 15 млн рублей). Для этого необходимо одновременное выполнение всех условий:

Расходы на информационную безопасность — не менее 0,1% годовой выручки за последние 3 года до выявления нарушения.
Лицензия на деятельность по шифрованию или технической защите конфиденциальной информации.
Документальное подтверждение соблюдения требований защиты данных в ИСПДн за год до нарушения.
Отсутствие отягчающих обстоятельств.

Пример: если оборотный штраф составляет 300 млн ₽, при выполнении всех условий он может быть снижен до 30 млн ₽. Но не ниже 15 млн.

7. Статистика: как штрафует РКН

Показатель	Значение
Утечек ПД зафиксировано (2024)	135
Записей ПД скомпрометировано (1-е п/г 2024)	~1 млрд
Жалоб субъектов ПД за 2024–2025	1 500+ (рекорд за 10 лет)
Крупнейший штраф 2025 (до 30.05)	300 тыс. ₽ (МТС, повторное нарушение)
Доля дел с предупреждением (до 30.05.2025)	более 50%
Основные нарушители	Малый и средний бизнес (80% дел)

Что изменилось после 30 мая 2025: предупреждения по серьёзным нарушениям больше не выносятся. Минимальные штрафы выросли в 3–10 раз. Скидка 50% отменена.

Источник: Habr — персональные данные: что было в 2025

Последние изменения

30 ноября 2024

Подписаны законы 420-ФЗ (штрафы) и 421-ФЗ (уголовная ответственность)

11 декабря 2024

Вступление в силу ст. 272.1 УК РФ (уголовная ответственность)

30 мая 2025

Вступление в силу новых штрафов по ст. 13.11 КоАП

1 сентября 2025

Дополнительные изменения в ФЗ-152 (ужесточение требований к операторам)

8. Чек-лист: проверьте свой сайт

На каждой форме есть чекбокс согласия на обработку ПД со ссылкой на политику
Политика конфиденциальности опубликована и доступна с каждой страницы
Политика содержит все обязательные сведения (ст. 18.1 ФЗ-152)
На сайте нет Google Analytics, Meta Pixel и других зарубежных трекеров
Cookie-баннер информирует посетителя и получает согласие
Подано уведомление в Роскомнадзор об обработке ПД
Формы не собирают избыточные данные
Данные граждан РФ хранятся на серверах в России
Есть план реагирования на утечки (24 часа на уведомление РКН)
Google Fonts, reCAPTCHA и другие зарубежные сервисы локализованы или заменены

Не уверены? Проверьте сейчас

Сканер Reova проанализирует ваш сайт за 30 секунд и покажет все нарушения с указанием штрафов

Проверить сайт — 490 ₽ →

9. Частые вопросы

Максимальный штраф — 500 млн рублей. Он применяется за повторную утечку персональных данных и рассчитывается как 1–3% от годовой выручки компании (ч. 15 ст. 13.11 КоАП РФ, в ред. 420-ФЗ от 30.11.2024).

От 30 до 60 тысяч рублей для юридических лиц (ч. 3 ст. 13.11 КоАП РФ). Дополнительно Роскомнадзор может потребовать блокировку сайта.

Да. Google Analytics передаёт данные посетителей на серверы за пределами РФ, что нарушает требования о локализации. Штраф — от 1 до 6 млн рублей за первое нарушение (ч. 8 ст. 13.11 КоАП РФ), от 6 до 18 млн за повторное.

Да. С 30 мая 2025 года ИП несут такую же ответственность, как юридические лица, по частям 1.1 и 8–18 статьи 13.11 КоАП РФ. Оборотные штрафы (1–3% выручки) применяются и к ИП.

Воспользуйтесь сканером Reova — он автоматически проверит сайт на наличие зарубежных трекеров, отсутствие политики конфиденциальности, проблемы с формами и другие нарушения. Проверка занимает 30 секунд.

Нарушения ФЗ-152 часто идут рука об руку с проблемами в SEO — зарубежные скрипты замедляют сайт, а отсутствие мета-тегов снижает позиции.

Проверьте SEO сайта →

Штрафы за отсутствие документов — от 300 000 ₽. Подготовьте 8 обязательных документов по ФЗ-152 для вашей компании за 4 990 ₽.

Создать документы →