PDN Guard
← Все статьи
Закон··10 мин

Штрафы по ФЗ-152 в 2026 году: полный справочник по новой редакции ст. 13.11 КоАП

Все штрафы за нарушения закона о персональных данных в 2026 году — от 1 500 ₽ до 500 млн ₽. Разбор по составам для юрлиц, ИП, должностных лиц и граждан.

Тренер спортсекции в Петрозаводске пишет нам в чат: «Нам выписали штраф 350 тысяч за фото ребёнка в группе — без согласия родителя. Откуда такие суммы? Раньше было 30 тысяч». Раньше и было — до 30 мая 2025 года. С этой даты статья 13.11 КоАП РФ переписана почти целиком: прежние «10–60 тысяч» превратились в «150–700 тысяч», появились утечки на миллионы и оборотные штрафы на сотни миллионов рублей. Разбираем актуальный справочник на 2026 год — что грозит школе, секции, детскому центру или НКО за каждое нарушение, и как новые нормы соотносятся с реальной практикой.

Что изменилось с 30 мая 2025 года — суть в одном абзаце

Федеральный закон от 30.11.2024 № 420-ФЗ переписал ст. 13.11 КоАП РФ. С 30 мая 2025 года вместо прежних 11 частей действуют 18 — добавлены утечки ПДн (ч. 12–14), неуведомление об утечке (ч. 11), оборотные штрафы за повторную утечку (ч. 15). Суммы выросли в 5–10 раз по большинству составов. Параллельно Федеральным законом от 30.11.2024 № 421-ФЗ в Уголовный кодекс введена статья 272.1 — теперь незаконные использование, сбор и передача ПДн в отдельных случаях квалифицируются как уголовное преступление.

Кто попадает под ст. 13.11 КоАП — оператор, не «сайт»

Штрафы налагаются на оператора персональных данных — лицо, которое организует или осуществляет обработку (п. 2 ст. 3 ФЗ-152). Под это определение подпадают:

  • школы, садики, ВУЗы — государственные, муниципальные и частные;
  • спортивные секции, кружки, клубы — независимо от формы (ИП, ООО, АНО);
  • детские благотворительные фонды и некоммерческие организации;
  • методические центры, центры дополнительного образования;
  • любой ИП, который собирает ФИО и телефоны клиентов — даже в Excel.

Размер организации значения не имеет. Штраф 300 тыс. ₽ для ИП с одной секцией на 30 детей и для холдинга с тысячей сотрудников считается одинаково — по составу нарушения, не по обороту. Для оборотных штрафов выручка имеет значение только в одном составе — повторная утечка по ч. 15.

Не подали уведомление в РКН (ч. 10): 100 000 – 300 000 ₽ для юрлица

Самое массовое нарушение, которое легко найти автоматически — отсутствие записи об организации в реестре операторов на pd.rkn.gov.ru. По ч. 10 ст. 13.11 КоАП:

  • граждане — 5 000 – 10 000 ₽;
  • должностные лица — 30 000 – 50 000 ₽;
  • ИП — приравнены к юридическим лицам (100 000 – 300 000 ₽), по примечанию 1 к ст. 13.11 КоАП РФ;
  • юридические лица — 100 000 – 300 000 ₽.

До 30 мая 2025 года это нарушение каралось по общей норме ст. 19.7 КоАП — символические 3 000 – 5 000 ₽. Сейчас сумма выросла в 60–100 раз. Подробно про процедуру подачи и причины отказа — в нашей инструкции по уведомлению РКН для школ, секций и НКО.

Обработка без письменного согласия (ч. 2): 300 000 – 700 000 ₽ для юрлица

Это самая частая квалификация для случаев «фото ребёнка без согласия родителя», «список участников турнира с ФИО без согласия», «форма заявки без чекбокса о согласии». Когда закон прямо требует письменного согласия (ст. 9 ФЗ-152 для общего согласия, ст. 10 — для специальных категорий), а оператор обрабатывает данные без него, применяется ч. 2:

  • граждане — 10 000 – 15 000 ₽;
  • должностные лица — 100 000 – 300 000 ₽;
  • ИП — приравнены к должностным лицам (100 000 – 300 000 ₽), так как ч. 2 не входит в перечень частей 1.1, 8–18 примечания к ст. 13.11 КоАП;
  • юридические лица — 300 000 – 700 000 ₽.

До 30 мая 2025 года максимум по этой части был 150 000 ₽ — сейчас он почти в 5 раз выше. И именно под эту часть попадают типичные кейсы детских организаций: тренер выложил фото с соревнований без подписанного согласия родителя, школа опубликовала на сайте список отличников с ФИО, садик разместил видео с утренника. Каждый эпизод — отдельный состав.

Обратите внимание! Электронная галочка «Согласен с обработкой ПДн» при первичном сборе для несовершеннолетних не считается надлежащим согласием — нужна письменная форма от законного представителя: бумажный документ с подписью либо электронный документ, подписанный усиленной квалифицированной электронной подписью (ч. 4 ст. 9 ФЗ-152 + ст. 64 СК РФ). Подробнее про требования к согласию и шаблон документа — в разборе VK-группы детской организации.

Общее нарушение порядка обработки (ч. 1): 150 000 – 300 000 ₽ для юрлица

Ч. 1 — общая «корзина» для случаев, когда обработка ведётся в целях, не предусмотренных законодательством, или несовместимых с заявленными при сборе. Например: данные собирали для записи в секцию, а используют для рассылки рекламы соседних услуг. Суммы:

  • граждане — 10 000 – 15 000 ₽;
  • должностные лица — 50 000 – 100 000 ₽;
  • ИП — 50 000 – 100 000 ₽;
  • юридические лица — 150 000 – 300 000 ₽.

Часто на практике инспектор квалифицирует одно и то же нарушение и по ч. 1, и по ч. 2 — тогда штрафы складываются. В сумме выходит до миллиона рублей с одной школы по одному эпизоду.

Нет политики обработки ПДн на сайте (ч. 3): 30 000 – 60 000 ₽ для юрлица

Самое «дешёвое» нарушение — но самое автоматизируемое. Робот РКН сканирует сайты и фиксирует отсутствие политики или баннера со ссылкой на неё. Юрлицу — 30 000 – 60 000 ₽, ИП — 10 000 – 20 000 ₽, гражданину — 1 500 – 3 000 ₽. Должностному лицу — 6 000 – 12 000 ₽.

Норма по политике установлена ч. 2 ст. 18.1 ФЗ-152: оператор, который собирает ПДн с использованием информационно-телекоммуникационных сетей (читай: через сайт), обязан опубликовать документ, определяющий его политику. Что должно быть внутри документа — в нашем разборе политики.

Хранение ПДн на серверах вне РФ (ч. 8): 1 000 000 – 6 000 000 ₽ для юрлица

По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны вестись в базах данных на территории России (норма в этом виде действует с 2015 года — ФЗ № 242-ФЗ от 21.07.2014). С 1 июля 2025 года Федеральный закон от 28.02.2025 № 23-ФЗ ужесточил режим: расширены требования к локализации и сокращён список исключений, при которых допускалась обработка за пределами РФ.

Под нарушение попадает любое использование Google Forms, Typeform, Mailchimp, HubSpot, Notion, Slack или иностранной CRM для сбора ПДн граждан РФ. Штрафы по ч. 8:

  • граждане — 30 000 – 50 000 ₽;
  • должностные лица — 100 000 – 200 000 ₽;
  • ИП — приравнены к юрлицам;
  • юридические лица — 1 000 000 – 6 000 000 ₽.

Повторное нарушение по ч. 9 — для юрлиц 6 000 000 – 18 000 000 ₽. Российские альтернативы: Яндекс.Формы, формы ВКонтакте, Битрикс24, RetailCRM.

Утечки ПДн (ч. 11–14): от 1 до 15 миллионов рублей

Самые «дорогие» нарушения для юрлиц — утечки данных. Если ПДн стали известны неопределённому кругу лиц (взлом сервера, ошибка сотрудника, открытая ссылка), у оператора возникают сразу две обязанности:

  1. В течение 24 часов уведомить Роскомнадзор о факте инцидента (ч. 3.1 ст. 21 ФЗ-152, введена Федеральным законом от 14.07.2022 № 266-ФЗ).
  2. В течение 72 часов направить результаты внутреннего расследования.

За неуведомление в установленные сроки — ч. 11 ст. 13.11 КоАП, для юрлица 1 000 000 – 3 000 000 ₽. За саму утечку (помимо неуведомления) штрафуют по объёму скомпрометированных данных:

  • ч. 12: от 1 000 до 10 000 субъектов (или от 10 000 до 100 000 идентификаторов) — для юрлица 3 000 000 – 5 000 000 ₽;
  • ч. 13: от 10 000 до 100 000 субъектов (или от 100 000 до 1 000 000 идентификаторов) — 5 000 000 – 10 000 000 ₽;
  • ч. 14: более 100 000 субъектов (или более 1 000 000 идентификаторов) — 10 000 000 – 15 000 000 ₽.

По ч. 11–14 субъектами ответственности указаны и граждане, и должностные лица, и юрлица. Например, по ч. 14 (утечка более 100 000 субъектов) штраф для гражданина 300 000 – 400 000 ₽, для должностного лица 400 000 – 600 000 ₽, для юрлица 10 000 000 – 15 000 000 ₽. Но в подавляющем большинстве случаев платит именно оператор-юрлицо: само событие утечки квалифицируется как организационное нарушение, а не личная вина сотрудника.

Оборотный штраф за повторную утечку (ч. 15): до 500 миллионов рублей

Если в течение года после первой утечки происходит вторая — начинает действовать оборотный штраф по ч. 15 ст. 13.11 КоАП: 1–3% выручки за календарный год, предшествующий году обнаружения нарушения, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Для повторного нарушения по ч. 18 (специальные категории или биометрия) минимум выше — 25 000 000 ₽, потолок тот же 500 млн ₽.

Расчёт для маленькой организации. У спортсекции-ИП выручка за год — 5 млн ₽. После первой утечки случается вторая. Расчётный 1% = 50 000 ₽, но минимум по норме — 20 млн ₽. Платится 20 миллионов — несмотря на то, что вся годовая выручка в 4 раза меньше штрафа.

Эта норма — самое сильное «нет» для повторной халатности. До утечки выгоднее любые инвестиции в защиту данных, чем шанс попасть под ч. 15.

Уголовная ответственность — ст. 272.1 УК РФ (с 30 мая 2025)

Параллельно с реформой КоАП Федеральный закон от 30.11.2024 № 421-ФЗ дополнил Уголовный кодекс новой статьёй 272.1 — «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконных хранения и (или) распространения». Санкция по ч. 1 — до 300 000 ₽ штрафа, по ч. 5 (тяжкие последствия или организованная группа) — до 10 лет лишения свободы со штрафом до 3 000 000 ₽.

Норма направлена против «сливщиков» баз и киберпреступников, но потенциально достижима и для обычного оператора, если будет установлено умышленное распространение полученных без согласия данных в значительных объёмах. Теоретическая угроза для нашего сегмента, но игнорировать её при планировании безопасности нельзя.

Для малого бизнеса первое нарушение — может быть только предупреждением

Если организация относится к субъектам малого или среднего предпринимательства (МСП) или к социально ориентированным НКО (СОНКО), а нарушение совершено впервые и не повлекло вреда жизни, здоровью, имуществу или окружающей среде, штраф может быть заменён на предупреждение по ч. 1 ст. 4.1.1 КоАП РФ.

После реформы ФЗ № 290-ФЗ от 14.07.2022 при наличии всех условий ч. 1 ст. 4.1.1 КоАП и ч. 2 ст. 3.4 КоАП замена штрафа на предупреждение является императивной нормой — это не право, а обязанность административного органа. Однако ключевое условие ч. 2 ст. 3.4 — «отсутствие угрозы причинения вреда правам субъектов»: суды по ст. 13.11 нередко усматривают такую угрозу (всё-таки речь о правах субъектов ПДн) и в замене отказывают. Реальный исход для небольшой спортсекции-ИП с первым нарушением — часто предупреждение, но это не гарантия. Со второго нарушения послабление по ст. 4.1.1 уже не работает, и применяются полные суммы из таблицы ниже.

Сводная таблица штрафов по составам (для юрлиц)

Самое частое — выделено жирным. Полная таблица актуальна на май 2026, в редакции Федерального закона от 30.11.2024 № 420-ФЗ.

  • Ч. 2 — обработка без письменного согласия: 300 000 – 700 000 ₽
  • Ч. 1 — общее нарушение порядка обработки: 150 000 – 300 000 ₽
  • Ч. 3 — нет политики на сайте: 30 000 – 60 000 ₽
  • Ч. 10 — не подано уведомление в РКН: 100 000 – 300 000 ₽
  • Ч. 8 — нарушение локализации (хранение вне РФ): 1 000 000 – 6 000 000 ₽
  • Ч. 9 — повторное нарушение локализации: 6 000 000 – 18 000 000 ₽
  • Ч. 11 — неуведомление об утечке: 1 000 000 – 3 000 000 ₽
  • Ч. 12–14 — утечка ПДн (зависит от объёма): от 3 000 000 до 15 000 000 ₽
  • Ч. 15 — повторная утечка: 1–3% выручки, не менее 20–25 млн ₽, не более 500 млн ₽

Чек-лист самопроверки за 5 минут

  1. ☐ Проверить запись об организации в реестре операторов на pd.rkn.gov.ru (поиск по ИНН). Если нет — риск 100–300 тыс. ₽ по ч. 10.
  2. ☐ Открыть свой сайт и убедиться, что в футере есть ссылка «Политика обработки персональных данных», а в каждой форме — отдельный чекбокс согласия. Если нет — риск 30–60 тыс. ₽ по ч. 3 и 300–700 тыс. ₽ по ч. 2.
  3. ☐ Проверить, где хранятся анкеты и заявки. Если в Google Forms, Typeform, Mailchimp — риск 1–6 млн ₽ по ч. 8.
  4. ☐ Проверить наличие подписанных бумажных согласий родителей на обработку ПДн ребёнка (включая фото). Без согласия каждое опубликованное фото — отдельный эпизод по ч. 2.
  5. ☐ Назначен ли приказом ответственный за организацию обработки ПДн (ст. 22.1 ФЗ-152). Без приказа — отказ при подаче уведомления.
  6. ☐ Если в организации сменились адрес, цели или ответственный — подано ли уведомление об изменениях не позднее 15-го числа следующего месяца (ч. 7 ст. 22 ФЗ-152).
  7. ☐ Понимаете ли вы, что делать в течение 24 часов, если случилась утечка. Если нет — риск 1–3 млн ₽ по ч. 11 за неуведомление, плюс 3–15 млн ₽ за саму утечку.

Если хотя бы по одному пункту чек-листа ответ «не уверен» — запустите бесплатную диагностику PDN Guard: сервис за 30 секунд проверит сайт и VK-группу, найдёт нарушения по новой редакции ст. 13.11 КоАП и покажет, какие из них автоматически фиксирует робот РКН в первую очередь.

Если нужно сразу собрать комплект документов — политика обработки ПДн, согласие родителя, приказ об ответственном, заполненное уведомление в РКН под организацию — это упаковано в тариф «Руководителю» за 1 990 ₽. Документы готовятся под реквизиты школы, секции или фонда; пакет включает сопровождение до получения регистрационного номера в реестре операторов.

Подробнее про процедуру внеплановых проверок и автоматизированный мониторинг — в обзоре «Как РКН проверяет VK-группы и сайты».

А с какими штрафами или предписаниями сталкивались вы или ваши коллеги по секции / школе / НКО? Расскажите в комментариях — это поможет другим директорам оценить реальные риски, а не пугаться абстрактных миллионов.

Проверьте свой сайт или ВК-группу прямо сейчас

Экспресс-проверка бесплатна — займёт 30 секунд. Мы покажем количество нарушений, уровень риска и сумму возможных штрафов.

Проверить бесплатно

Мы используем Яндекс.Метрику для анализа посещаемости. Данные обрабатываются в соответствии с нашей Политикой конфиденциальности.