сканэтика
Штрафы и проверки

Штрафы за нарушение 152-ФЗ в 2026 году: за что и сколько

Обновлено 13 мая 2026 г.6 мин чтения

Штрафы по 152-ФЗ «О персональных данных» в 2026 году — одни из самых жёстких в российском административном праве. Они выписываются по статье 13.11 КоАП РФ, причём по каждому факту нарушения отдельно. У компаний-операторов суммы доходят до 15 миллионов рублей за утечку, а оборотные штрафы — до 3% от годовой выручки.

Ниже разбираем, какие нарушения чаще всего фиксирует Роскомнадзор, по каким частям статьи 13.11 КоАП назначаются штрафы и как защитить сайт ещё до проверки.

Сколько составляют штрафы по статье 13.11 КоАП

Статья 13.11 КоАП РФ — основной инструмент Роскомнадзора и прокуратуры. В 2024 году её серьёзно ужесточили: повышены минимальные пороги и введена ответственность за утечки.

Условные диапазоны, актуальные на 2026 год:

  • Обработка персональных данных без согласия субъекта — до 700 000 ₽ для юрлиц (ч. 1 ст. 13.11).
  • Неопубликованная или некорректная политика обработки ПДн — до 60 000 ₽ для юрлиц (ч. 3).
  • Сбор персональных данных через сайт без локализации в РФ — до 6 млн ₽ для юрлиц (ч. 8).
  • Утечка персональных данных (1 000 — 10 000 субъектов) — до 5 млн ₽ (ч. 13).
  • Утечка свыше 100 000 субъектов или повторная утечка — оборотный штраф до 3% годовой выручки, но не менее 25 млн ₽.
  • Несвоевременное уведомление Роскомнадзора об утечке (24 / 72 часа) — отдельный штраф до 3 млн ₽.

За что чаще всего штрафуют небольшие сайты

Региональные клиники, частные мастера, школы и интернет-магазины редко становятся жертвой оборотных штрафов. Но «базовые» нарушения по частям 1–4 ст. 13.11 КоАП фиксируются массово, и в 2025–2026 годах Роскомнадзор стал активно использовать предостережения и проверки именно по сайтам.

Самые частые причины протоколов:

  • Нет ссылки на политику обработки ПДн в подвале сайта или на формах.
  • Политика есть, но без обязательных пунктов 152-ФЗ: цели, категории субъектов, сроки хранения, способы защиты.
  • Формы заявок и обратной связи без чекбокса согласия на обработку ПДн.
  • Нет отдельного согласия на маркетинговые рассылки и звонки (нарушение 38-ФЗ и 152-ФЗ).
  • Cookie-баннер ставит маркетинговые куки до явного согласия пользователя.
  • Используются зарубежные сервисы аналитики (например, на серверах в недружественных странах) без локализации.

Как Роскомнадзор находит нарушения

У ведомства есть автоматизированные системы мониторинга, плюс жалобы пользователей через личный кабинет на сайте РКН. Один обоснованный отзыв уже становится поводом для предостережения, а отсутствие реакции — для протокола.

Дополнительно операторы попадают в поле зрения через реестр операторов ПДн: если компания собирает данные на сайте, но не подавала уведомление в Роскомнадзор, это видно почти сразу.

Как избежать штрафа: что нужно сделать в первую очередь

Структурно «закрыть» сайт по 152-ФЗ можно за один-два рабочих дня, если идти по чек-листу:

  • Опубликовать политику обработки ПДн (со всеми обязательными разделами).
  • Добавить чекбоксы согласия на обработку ПДн ко всем формам — заявка, обратный звонок, форма онлайн-чата.
  • Завести отдельное согласие на рассылки/рекламные звонки, не объединяя его с согласием на обработку.
  • Установить cookie-баннер с реальным «согласен / отклонить» и блокировкой маркетинговых cookies до согласия.
  • Подать уведомление в реестр операторов персональных данных через личный кабинет на сайте Роскомнадзора.
  • Включить регулярный аудит сайта — после каждого изменения форм или интеграций.

Частые вопросы

Может ли Роскомнадзор оштрафовать ИП или физлицо?+

Да. По ст. 13.11 КоАП штрафы предусмотрены и для граждан, и для должностных лиц, и для ИП. Например, за обработку без согласия ИП может получить штраф до 20 000 ₽, а должностное лицо — до 100 000 ₽.

Когда суммируются штрафы по нескольким нарушениям?+

Каждый факт оформляется отдельным протоколом. Если на сайте нет политики и нет согласия на рассылку — это два разных нарушения и два штрафа. На практике в одном решении может быть назначено несколько составов.

Считается ли «формальная» политика конфиденциальности соблюдением закона?+

Нет. Если документ не содержит обязательных пунктов 152-ФЗ или не соответствует реальному сайту (например, политика на чужой домен), это квалифицируется как «опубликование политики, не соответствующей требованиям» и подпадает под ч. 3 ст. 13.11 КоАП.

Ещё по теме

Чек-листы

Чек-лист: что должно быть на сайте по 152-ФЗ в 2026 году

Список из 12 пунктов, по которым можно за один день проверить сайт на соответствие 152-ФЗ — от политики и согласий до cookie-баннера и форм.

Читать
Документы

Политика обработки персональных данных для сайта: что должно быть и где её разместить

Минимальный состав политики обработки ПДн по 152-ФЗ, типовые ошибки и почему «скачанный из интернета» шаблон чаще всего не подходит.

Читать
Штрафы и проверки

Утечка персональных данных: пошаговый план оператора и штрафы 2026

Что обязан сделать оператор при утечке персональных данных в 24 и 72 часа, какие штрафы возможны и как снизить риски заранее.

Читать
Все статьи базы знаний