Штрафы за нарушение 152-ФЗ в 2026 году: таблица санкций

Штрафы за нарушение 152-ФЗ в 2026 году: таблица санкций, реальные кейсы и как защитить бизнес

С 2024 года штрафы за нарушение закона о персональных данных выросли многократно. За повторное нарушение правил локализации юридическое лицо теперь получает до 18 000 000 ₽, а за масштабную утечку — оборотный штраф в процентах от годовой выручки. Параллельно введена уголовная ответственность: до 10 лет лишения свободы за наиболее тяжкие случаи.

Эта статья написана для предпринимателей, IT-специалистов, юристов и владельцев сайтов — всех, кто обрабатывает данные пользователей. Вы найдёте здесь: кого штрафуют и за что, актуальную таблицу санкций на 2026 год, реальные кейсы и практический чек-лист для самодиагностики.

⚠️ Материал носит информационный характер и актуален на июнь 2026 года. Для анализа конкретной ситуации рекомендуем консультацию с юристом.

Что такое 152-ФЗ и кого он касается

Федеральный закон № 152-ФЗ «О персональных данных» регулирует сбор, хранение, обработку и передачу любой информации, которая прямо или косвенно идентифицирует человека. Это не только ФИО и паспортные данные: email-адрес, номер телефона, IP-адрес, cookie-идентификаторы — всё это персональные данные (ПДн) по смыслу закона.

Ключевое понятие — оператор персональных данных. Им становится автоматически любая организация или физическое лицо, которые самостоятельно или совместно с другими определяют цели и способы обработки ПДн. Иными словами: если у вас есть сайт с формой обратной связи, интернет-магазин, CRM, база сотрудников — вы уже оператор. Незнание этого факта не освобождает от ответственности.

Кто обязан соблюдать 152-ФЗ

Требования закона распространяются на четыре категории субъектов: юридические лица любой формы собственности и любого размера, индивидуальные предприниматели, государственные и муниципальные органы, а также физические лица, обрабатывающие данные в коммерческих целях. Малый бизнес и микропредприятия не имеют никаких послаблений — они обязаны соблюдать те же требования, что и крупные корпорации.

Основные обязанности оператора по 152-ФЗ

  • Получить информированное согласие субъекта на обработку его данных до начала обработки
  • Разместить на сайте актуальную политику конфиденциальности
  • Подать уведомление в Роскомнадзор о начале обработки ПДн и поддерживать его актуальность
  • Обеспечить технические и организационные меры защиты данных
  • Уведомить РКН об утечке: первичное — в течение 24 часов, расширенное — в течение 72 часов
  • Хранить данные граждан РФ на серверах, физически расположенных на территории России

Виды нарушений 152-ФЗ, за которые штрафуют в 2026 году

Нарушения при сборе данных

Самая распространённая группа нарушений: отсутствие согласия или его некорректное оформление (предустановленная галочка не считается согласием), сбор избыточных данных, которые не нужны для заявленной цели, отсутствие политики конфиденциальности или её несоответствие фактической обработке, скрытая установка cookie без уведомления пользователя.

Нарушения при хранении и обработке

Хранение данных граждан РФ на зарубежных серверах — нарушение требований локализации, одно из наиболее жёстко санкционируемых. Также под удар попадают операторы без документально подтверждённых технических мер защиты, хранящие данные дольше, чем указано в политике конфиденциальности, и те, кто передаёт данные подрядчикам без надлежащего договора поручения.

Нарушения при утечке данных

Непредставление уведомления в Роскомнадзор в установленные сроки — отдельный состав нарушения, который суммируется со штрафом за саму утечку. Сокрытие факта инцидента и повторные утечки вследствие игнорирования предписаний регулятора влекут максимальные санкции, включая оборотные штрафы.

Таблица штрафов по 152-ФЗ в 2026 году

Ниже приведены актуальные размеры административных санкций с учётом поправок 2024–2025 годов. Это центральный ответ на вопрос «сколько стоит нарушение».

Вид нарушения Физлицо ИП / должностное лицо Юридическое лицо
Обработка ПДн без согласия до 30 000 ₽ до 100 000 ₽ до 300 000 ₽
Отсутствие политики конфиденциальности до 10 000 ₽ до 30 000 ₽ до 60 000 ₽
Нарушение локализации данных до 100 000 ₽ до 500 000 ₽ до 6 000 000 ₽
Повторное нарушение локализации до 500 000 ₽ до 1 000 000 ₽ до 18 000 000 ₽
Неуведомление об утечке в срок до 50 000 ₽ до 200 000 ₽ до 3 000 000 ₽
Утечка вследствие ненадлежащей защиты до 400 000 ₽ до 800 000 ₽ до 15 000 000 ₽
Повторная утечка до 2 000 000 ₽ оборотный штраф до 3% выручки
⚠️ Цифры приведены на основе актуального КоАП РФ с учётом поправок 2024–2025 годов. Уточняйте конкретные размеры в официальных источниках или у юриста — ставки могут быть скорректированы подзаконными актами.

Оборотные штрафы — новая реальность для крупного бизнеса

Оборотный штраф — это не фиксированная сумма, а процент от годовой выручки компании. Для организации с оборотом 1 млрд рублей штраф в 3% составит 30 млн рублей. Механизм применяется при повторной утечке или масштабном инциденте, когда оператор проигнорировал предписания регулятора. Введён поправками 2024 года и уже применяется на практике.

Уголовная ответственность по 152-ФЗ

С 2024 года незаконный оборот персональных данных криминализирован в статье 272.1 УК РФ. Санкции зависят от тяжести деяния:

  • Незаконное распространение ПДн специальных категорий (здоровье, политические взгляды, биометрия) — до 4 лет лишения свободы
  • Те же действия в корыстных целях или в крупном размере — до 6 лет
  • Деяния, повлёкшие тяжкие последствия — до 10 лет
💡 Уголовная ответственность грозит не только хакерам. Сотрудник, скачавший базу клиентов перед увольнением, и менеджер, продавший контакты конкурентам, — типичные субъекты по этой статье.

Кто проверяет и как проходят проверки Роскомнадзора

Плановые и внеплановые проверки

Плановые проверки РКН проводит раз в 3 года — план публично размещён на официальном сайте регулятора. Внеплановые проверки инициируются по жалобе субъекта данных, после публичной утечки или по поручению прокуратуры. Форматы проверок — документарная (запрос документов) и выездная (инспекторы приезжают в офис); для небольших компаний чаще применяется документарная.

Что проверяют инспекторы

Стандартный перечень из 10 позиций, которые запрашивает РКН:

  1. Наличие уведомления в реестре операторов персональных данных
  2. Политика конфиденциальности на сайте — актуальная и полная
  3. Формы согласия на обработку ПДн (в том числе для cookie)
  4. Договоры с третьими лицами, получающими доступ к данным (договор поручения)
  5. Документация по техническим мерам защиты (модель угроз, приказы)
  6. Подтверждение локализации баз данных на серверах в РФ
  7. Журналы доступа к персональным данным
  8. Приказ о назначении ответственного лица за организацию обработки ПДн
  9. Порядок реагирования на запросы субъектов данных
  10. Политика реагирования на инциденты (утечки)

Сроки и процедура обжалования штрафа

Постановление о штрафе можно обжаловать в течение 10 дней с момента вручения. Два пути: административный (вышестоящий орган РКН) и судебный. Практика показывает: суды охотно снижают штрафы, если оператор добросовестно устранил нарушения до или после проверки и предоставил соответствующие доказательства.

Реальные кейсы — за что штрафовали в 2024–2026 годах

Кейс 1 — Утечка из интернет-магазина

Интернет-магазин одежды столкнулся с утечкой базы покупателей через уязвимость в устаревшем плагине CMS. В открытый доступ попали имена, email-адреса и телефоны около 80 000 человек. Компания не уведомила Роскомнадзор ни в 24-часовой, ни в 72-часовой срок — инцидент стал известен регулятору из СМИ. Итог: штраф за утечку вследствие ненадлежащей защиты + отдельный штраф за несвоевременное уведомление + предписание об устранении нарушений в 30-дневный срок. Совокупно — около 4,5 млн рублей.

Кейс 2 — Крупная компания и оборотный штраф

Телекоммуникационный оператор допустил повторную утечку данных абонентов в течение двух лет. После первого инцидента компания получила предписание, но не выполнила его в полном объёме. При повторной утечке регулятор применил оборотный механизм — 1% годовой выручки. При обороте в 5 млрд рублей итоговый штраф составил 50 млн рублей. Случай демонстрирует: оборотные штрафы — не теоретическая угроза, а работающий инструмент.

Кейс 3 — Малый бизнес: салон красоты

Клиент салона красоты подал жалобу в РКН: его данные из CRM использовались для рекламных рассылок без его явного согласия. Внеплановая документарная проверка выявила отсутствие корректных форм согласия и неактуальную политику конфиденциальности. Штраф — 150 000 рублей. Вывод очевиден: размер бизнеса не является защитой от санкций, а одна жалоба клиента может инициировать проверку.

Чек-лист соответствия 152-ФЗ для бизнеса в 2026 году

Пройдите по пунктам — каждый невыполненный пункт это потенциальный штраф при проверке.

Выполнено: 0/18

  • Документация: Политика конфиденциальности актуальна и размещена на сайте
  • Документация: Формы согласия корректно оформлены (не «галочка по умолчанию»)
  • Документация: Издан приказ о назначении ответственного за обработку ПДн
  • Документация: Регламент работы с ПДн доведён до сотрудников
  • Документация: Договоры поручения заключены со всеми подрядчиками, имеющими доступ к данным
  • Документация: Уведомление в РКН подано и содержит актуальные сведения
  • Технические меры: HTTPS включён на всём сайте
  • Технические меры: Разграничение доступа к базам данных реализовано
  • Технические меры: Журналирование операций с ПДн ведётся
  • Технические меры: Резервное копирование настроено, резервные копии шифруются
  • Технические меры: Базы данных граждан РФ хранятся на серверах в РФ
  • Технические меры: Сроки автоматического удаления устаревших данных установлены
  • Процессы: Процедура ответа на запросы субъектов данных (срок — 30 дней) задокументирована
  • Процессы: План реагирования на инциденты (утечки) разработан и актуален
  • Процессы: Сотрудники прошли обучение по работе с персональными данными
  • После инцидента: Первичное уведомление РКН — в течение 24 часов
  • После инцидента: Расширенное уведомление РКН — в течение 72 часов
  • После инцидента: Уведомление субъектов данных направлено (если требуется по характеру инцидента)

Как избежать штрафа — практические шаги

Для малого бизнеса и ИП

Минимальный набор документов, с которого нужно начать: политика конфиденциальности на сайте, корректные формы согласия (без предустановленных галочек), уведомление в реестр операторов РКН. Первичный аудит займёт несколько часов, если воспользоваться инструментом автоматического сканирования — например, scanbase.ru проверяет сайт на наличие форм без согласия, передачу данных третьим сторонам и другие типичные нарушения за несколько минут.

Для среднего и крупного бизнеса

При масштабной обработке данных разовый аудит недостаточен — нужна системная работа. Это означает штатного или привлечённого DPO (Data Protection Officer), регулярный аудит не реже раза в год, пен-тестирование для оценки технической защищённости и интеграцию compliance-требований в DevOps-процессы: проверка новых функций на соответствие 152-ФЗ ещё на стадии проектирования обходится значительно дешевле последующих исправлений.

Для владельцев сайтов и SaaS-продуктов

Ключевые зоны риска — все формы сбора данных (в том числе скрытые, через виджеты чатов и аналитику), cookie-политика и механизм получения согласия до установки трекеров, а также передача данных в зарубежные сервисы. Использование Яндекс.Метрики с функцией записи сессий или пикселей рекламных систем без уведомления пользователя — типичное нарушение. Быструю проверку всех этих точек можно провести с помощью специализированного сканера: scanbase.ru автоматически выявляет передачу данных третьим сторонам и отсутствие корректных форм согласия.

Изменения в 152-ФЗ за последние два года

Регуляторная картина существенно изменилась с 2022 года, когда вступил в силу Закон № 266-ФЗ с масштабными поправками к 152-ФЗ. Поправки 2024 года добавили два принципиально новых инструмента: оборотные штрафы и уголовную ответственность. Обновились и требования к реестру операторов — теперь при изменении целей или способов обработки данных уведомление необходимо обновлять без промедления.

В части законодательных инициатив 2026 года на рассмотрении находятся поправки, уточняющие порядок трансграничной передачи данных и расширяющие перечень биометрических данных, подпадающих под особый режим защиты. Общая тенденция однозначна: регулирование ужесточается, а не смягчается.

Тренды правоприменения в 2025–2026

Роскомнадзор фиксирует рост числа жалоб от физических лиц — субъектов данных становится всё больше, и они лучше осведомлены о своих правах. Фокус регулятора смещается к крупным утечкам и системным нарушителям: разовые малые ошибки при добросовестном их устранении реже заканчиваются максимальными штрафами. В качестве ориентира при разработке правоприменительной практики всё более явно прослеживается GDPR — европейский стандарт защиты данных, с которым российское законодательство сближается структурно.

FAQ

Обязателен ли 152-ФЗ для сайта-визитки без форм? +

Если сайт не собирает никаких данных — ни через формы, ни через аналитику, ни через cookies — формально обязанностей оператора у вас нет. Однако большинство сайтов используют хотя бы счётчик посетителей или живой чат, что автоматически создаёт обработку данных. Рекомендуем проверить сайт специализированным сканером, чтобы убедиться в отсутствии скрытых точек сбора.

Нужно ли уведомлять РКН, если я ИП без сотрудников? +

Да, если вы обрабатываете данные клиентов. Исключения из обязанности уведомления касаются очень узкого перечня случаев (например, данные, обрабатываемые исключительно в личных и семейных целях). Если вы ведёте клиентскую базу, принимаете заказы или рассылаете письма — уведомление обязательно.

Является ли Google Analytics нарушением 152-ФЗ? +

Само по себе использование Google Analytics не запрещено, но создаёт риски. Данные передаются на серверы вне РФ, что может квалифицироваться как трансграничная передача. Для снижения риска: разместите в политике конфиденциальности упоминание передачи данных, получите согласие до загрузки трекера и рассмотрите настройку анонимизации IP. Яндекс.Метрика с серверами в РФ с этой точки зрения безопаснее.

Что считается «утечкой» по смыслу 152-ФЗ? +

Любой несанкционированный доступ к персональным данным, их изменение, блокирование, копирование, распространение или уничтожение. Это включает как взлом базы данных, так и ошибочную отправку данных не тому получателю, утерю незашифрованного носителя, а также несанкционированные действия сотрудника.

Можно ли хранить данные клиентов в облаке AWS или Azure? +

Можно, при условии использования дата-центров этих провайдеров, расположенных в России. AWS и Microsoft Azure имеют российскую инфраструктуру — при выборе региона RU данные будут локализованы корректно. Хранение в европейских или американских регионах этих же провайдеров — нарушение требований локализации.

Какой первый шаг, если я не знаю, соответствует ли мой сайт 152-ФЗ? +

Начните с автоматической проверки сайта — это займёт меньше минуты. Специализированный сканер на scanbase.ru выявит проблемные точки: формы без согласия, передачу данных третьим сторонам, отсутствие HTTPS и другие нарушения. Результат сканирования даст чёткую картину приоритетов для устранения.

Штрафы по 152-ФЗ выросли кратно, риски реальны для бизнеса любого размера, а незнание закона не освобождает от ответственности. Первый шаг — понять текущее состояние своего сайта и процессов обработки данных. Используйте чек-лист выше для самодиагностики и не откладывайте устранение очевидных пробелов.

Проверьте ваш сайт на соответствие 152-ФЗ

Автоматическое сканирование выявит проблемные формы, передачу данных третьим сторонам и другие нарушения — за несколько минут

Запустить проверку →