Штрафы

Штрафы Роскомнадзора в 2026 году: полный разбор сумм и составов нарушений

Штрафы Роскомнадзора в 2026 году выросли в разы — за отсутствие политики конфиденциальности юрлицо теперь платит до 60 000 ₽, за обработку данных без согласия — до 700 000 ₽, а за повторную утечку в дело идут оборотные штрафы до 500 млн ₽. Разбираем по полочкам: за что именно может прилететь штраф вашему сайту, сколько платят ИП и компании и как снизить риск.

6 июля 2026 12 мин чтения

Если вы владелец сайта или небольшого бизнеса, у вас наверняка крутится один и тот же вопрос: «А за что вообще меня может оштрафовать Роскомнадзор — у меня же не банк и не соцсеть?» Хорошая новость: полная карта штрафов помещается в одну статью. Плохая: суммы стали заметно кусачее, и касаются они любого, кто собирает хоть какие-то данные посетителей — имя, телефон, e-mail в форме заявки. Ниже — понятный разбор всех составов ст. 13.11 КоАП, актуальные суммы и то, что реально стоит проверить у себя в первую очередь.

Почему в 2026 году штрафы Роскомнадзора снова тема №1

Штрафы за нарушение 152-ФЗ выросли не «когда-то давно», а совсем недавно и очень конкретно. Всё дело в Федеральном законе № 420-ФЗ от 30.11.2024, который кратно ужесточил статью 13.11 КоАП РФ. Новые нормы вступили в силу 30 мая 2025 года. Поэтому «штрафы Роскомнадзора 2026» — это не маркетинговая натяжка, а первый полный календарный год, когда обновлённые суммы действуют целиком, и практика правоприменения только набирает обороты.

Что изменилось одним пакетом:

Дополнительный штрих, показывающий, что тема всё ещё «живая»: с 28.12.2025 (по ФЗ № 508-ФЗ) дела по ст. 13.11 КоАП вернули в подсудность мировых судей — в период с 30 мая по 27 декабря 2025 года их рассматривали арбитражные суды. Для владельца сайта это деталь, но она хорошо иллюстрирует: регулирование персональных данных сейчас переписывают буквально на ходу.

За что может оштрафовать Роскомнадзор: карта нарушений

Разберёмся с главной болью — за что именно рискует ваш сайт. Почти все штрафы «для сайтов» — это части статьи 13.11 КоАП. Вот типовые ситуации, в которые попадает малый и средний бизнес:

Отдельно про штраф за трансграничную передачу персональных данных: своего отдельного состава в КоАП у неё нет. Наказывают через общие составы ст. 13.11 (обработка в непредусмотренных случаях — ч. 1, неуведомление — ч. 10), плюс есть самостоятельная обязанность уведомить РКН до начала передачи по ст. 12 152-ФЗ. Так что если где-то вам называют «конкретный штраф за трансграничку» — это упрощение.

Другой трек — уголовный. За незаконный оборот персональных данных с 11.12.2024 действует ст. 272.1 УК РФ: до 300 000 ₽ штрафа или до 4 лет по базовому составу, до 700 000 ₽ / 5 лет за спецкатегории и биометрию, до 2 млн ₽ / 8 лет за трансграничную передачу. Это не про «нет политики на сайте-визитке», а про торговлю базами и умышленный слив — но знать о существовании статьи полезно.

Таблица штрафов 2026: сколько платят ИП и юрлица (ст. 13.11 КоАП)

Вот сердце статьи — актуальные суммы по ст. 13.11 КоАП после 420-ФЗ. Все значения — «вилки» (от и до), а не одно фиксированное число: конкретную сумму внутри диапазона определяет суд с учётом обстоятельств. Сразу снимаем частый вопрос про ИП: в ряде частей отдельной строки для ИП нет — тогда они приравнены к должностным лицам. Там, где для ИП предусмотрена своя сумма, мы вынесли её отдельной колонкой.

НарушениеЧастьГражданеДолж. лицаИПЮрлица
Обработка данных в непредусмотренных случаяхч. 110 000–15 000 ₽50 000–100 000 ₽как долж. лицо150 000–300 000 ₽
То же, повторноч. 1.115 000–30 000 ₽100 000–200 000 ₽как долж. лицо300 000–500 000 ₽
Обработка без письменного согласияч. 210 000–15 000 ₽100 000–300 000 ₽как долж. лицо300 000–700 000 ₽
То же, повторноч. 2.115 000–30 000 ₽300 000–500 000 ₽500 000–1 000 000 ₽1 000 000–1 500 000 ₽
Нет / не опубликована политика конфиденциальностич. 31 500–3 000 ₽6 000–12 000 ₽10 000–20 000 ₽30 000–60 000 ₽
Не предоставлена информация об обработке субъектуч. 42 000–4 000 ₽8 000–12 000 ₽20 000–30 000 ₽40 000–80 000 ₽
Не выполнено требование уточнить / заблокировать / удалить данныеч. 52 000–4 000 ₽8 000–20 000 ₽20 000–40 000 ₽50 000–90 000 ₽
То же, повторноч. 5.120 000–30 000 ₽30 000–50 000 ₽50 000–100 000 ₽300 000–500 000 ₽
Нарушение условий неавтоматизированной обработки (доступ третьих лиц)ч. 61 500–4 000 ₽8 000–20 000 ₽20 000–40 000 ₽50 000–100 000 ₽
Неуведомление РКН о намерении обрабатывать данныеч. 105 000–10 000 ₽30 000–50 000 ₽как долж. лицо100 000–300 000 ₽
Нарушение локализации (базы граждан РФ вне РФ)ч. 830 000–50 000 ₽100 000–200 000 ₽как долж. лицо1 000 000–6 000 000 ₽
То же, повторноч. 950 000–100 000 ₽500 000–800 000 ₽как долж. лицо6 000 000–18 000 000 ₽

Обратите внимание на строки с пометкой «повторно» — это повторное нарушение 152-ФЗ и его штраф. Повторность резко поднимает сумму: например, обработка без согласия во второй раз для юрлица — уже до 1,5 млн ₽ вместо 700 000 ₽, а повторное нарушение локализации — до 18 млн ₽. Регулятор явно даёт понять: систематических нарушителей будут бить сильнее.

Важно: скидку 50% за быструю оплату штрафов по ст. 13.11 отменили — «заплатить половину по-быстрому» больше нельзя, придётся вносить всю сумму. А при повторном нарушении суммы растут кратно, для юрлиц по локализации — буквально на порядок. Так что «подожду, пока придёт письмо, и заплачу вполовину» — стратегия, которая больше не работает.

Не знаете, есть ли на вашем сайте политика конфиденциальности и настроено ли согласие? Проверьте за 2 минуты — покажем, какие пункты 152-ФЗ нарушены.Бесплатный аудит по 16 требованиям РКН за пару минут.
Проверить сайт

Особый случай: утечка данных и оборотные штрафы

Утечка персональных данных — отдельная и самая дорогая категория, введённая тем же 420-ФЗ. Для владельца сайта-визитки это скорее «крайний случай», чем ежедневная угроза, но суммы здесь пугающие, поэтому разберём честно. Размер штрафа зависит от масштаба: чем больше пострадавших субъектов, тем выше вилка. Отдельно и дороже всего караются спецкатегории данных (здоровье, убеждения) и биометрия.

Масштаб утечкиЧастьГражданеДолж. лицаЮрлица
1 000–10 000 субъектовч. 12100 000–200 000 ₽200 000–400 000 ₽3 000 000–5 000 000 ₽
10 000–100 000 субъектовч. 13200 000–300 000 ₽300 000–500 000 ₽5 000 000–10 000 000 ₽
Более 100 000 субъектовч. 14300 000–400 000 ₽400 000–600 000 ₽10 000 000–15 000 000 ₽
Спецкатегория данныхч. 16300 000–400 000 ₽1 000 000–1 300 000 ₽10 000 000–15 000 000 ₽
Биометрические данныеч. 17400 000–500 000 ₽1 300 000–1 500 000 ₽15 000 000–20 000 000 ₽
Повторная утечка (по ч. 12–14) — оборотный штрафч. 15400 000–600 000 ₽800 000–1 200 000 ₽1–3% годовой выручки, не менее 20 млн и не более 500 млн ₽
Повторная утечка спецкатегории / биометрии — оборотный штрафч. 18500 000–800 000 ₽1 500 000–2 000 000 ₽1–3% выручки, не менее 25 млн и не более 500 млн ₽

Главная цифра-крючок здесь — оборотный штраф за повторную утечку: 1–3% годовой выручки, но не менее 20 млн и не более 500 млн ₽. Для банков процент считают не от выручки, а от размера собственного капитала на дату нарушения. Это уже уровень угрозы для крупного бизнеса, но масштаб цифр показывает, насколько серьёзно государство относится к сохранности баз.

Важно про сроки: если утечка всё-таки произошла, оператор обязан уведомить Роскомнадзор в течение 24 часов (первичное уведомление) и в течение 72 часов сообщить итоги внутреннего расследования (ч. 3.1 ст. 21 152-ФЗ). Промолчать или опоздать — это отдельный штраф по ч. 11 ст. 13.11: до 100 000 ₽ для граждан, до 800 000 ₽ для должностных лиц и до 3 000 000 ₽ для юрлиц. То есть за молчание накажут даже отдельно от самой утечки.

Реальные кейсы 2025 года: кого и на сколько оштрафовали

Чтобы миллионные вилки не звучали абстрактно, посмотрим, что реально происходило на бумаге штрафов. И здесь важный отрезвляющий факт: по данным ComNews со ссылкой на РКН, за весь 2025 год вынесено всего 6 штрафов за утечки на общую сумму 570 тыс. руб. — при том что регулятор зафиксировал 118 случаев компрометации баз и свыше 52 млн утёкших записей (в 2024-м было 135 утечек и более 710 млн записей). Эксперты прогнозируют рост взысканий в 2026-м по мере накопления практики.

Кого оштрафовали за утечки в 2025 году (тот же источник):

Практика знает и смягчения. В деле ООО «ПКР Аналитика» (платформа «Инвестиционные проекты») утечка затронула около 70 тыс. клиентов и по масштабу подпадала под штраф 5–10 млн руб., но суд заменил наказание предупреждением — как за первое нарушение. Ещё пример: Минтруд оштрафовали на 100 тыс. руб. (дело рассматривал мировой судья) за размещение данных сотрудников в интернете. Вывод: суд не всегда бьёт по максимуму, а повторность и умысел учитываются.

Но вот что критично для владельца небольшого сайта: громкие «утечечные» штрафы 2025 года пришлись на крупные организации, а не на микро-бизнес. Зато «базовые» составы — нет политики (ч. 3), нет согласия (ч. 2), не подано уведомление в РКН (ч. 10) — применяются к любому оператору, включая ИП с сайтом-визиткой. Именно они и есть самое частое «первое касание» Роскомнадзора с малым бизнесом. Так что миллионы за утечку платят гиганты, а вот несколько десятков тысяч за отсутствующую политику — это ровно про вас.

Что готовится в 2026-м, но ещё не действует

Пара инициатив «на будущее», о которых полезно знать, чтобы не быть застигнутым врасплох. Обе пока обсуждаются и в закон не превратились:

Ещё не действует: оба пункта выше — это стадия обсуждения, а не вступившие в силу нормы. Конкретных сумм и сроков по ним нет. Мы даём их, чтобы вы держали руку на пульсе, но планировать по ним ничего пока не нужно — ориентируйтесь на действующие составы из таблиц выше.

Как снизить риск штрафа: что проверить в первую очередь

Хорошая новость: чтобы резко снизить риск, не нужно строить систему защиты уровня банка. Для малого и среднего бизнеса три состава закрывают львиную долю рисков — и все три легко проверить и исправить:

  1. Политика конфиденциальности — есть ли документ и открывается ли он по ссылке из футера и из форм. Штраф за отсутствие политики конфиденциальности — до 60 000 ₽ юрлицу (ч. 3).
  2. Согласие на обработку данных — стоит ли в каждой форме заявки чекбокс со ссылкой на политику. Штраф за отсутствие согласия на обработку ПДн — до 700 000 ₽ юрлицу (ч. 2).
  3. Уведомление в РКН — подано ли уведомление о намерении обрабатывать персональные данные. Неуведомление — до 300 000 ₽ юрлицу (ч. 10).
  4. Cookie и счётчики — предупреждён ли посетитель об использовании cookie и аналитики, есть ли корректный баннер.

Именно эти пункты чаще всего и становятся основанием для штрафа малому бизнесу — а не миллионные утечки. И это ровно то, что выявляет наша бесплатная проверка сайта: за пару минут она показывает, какие требования 152-ФЗ у вас закрыты, а какие — нет, с привязкой к конкретным статьям и суммам штрафов.

Коротко о главном

Соберём всё в четыре тезиса, чтобы штрафы Роскомнадзора 2026 года уложились в голове:

Самый разумный первый шаг — понять, где именно ваш сайт не дотягивает до требований 152-ФЗ. Дальше исправить эти три-четыре пункта — вопрос нескольких дней, а не миллионных рисков.

Поделиться: Ссылка скопирована ✓

Проверьте свой сайт, пока это не сделал Роскомнадзор

Автоматический аудит по 16 требованиям РКН и 152-ФЗ. Покажем все нарушения и потенциальную сумму штрафа — бесплатно и за пару минут.

Проверить сайт