Если вы владелец сайта или небольшого бизнеса, у вас наверняка крутится один и тот же вопрос: «А за что вообще меня может оштрафовать Роскомнадзор — у меня же не банк и не соцсеть?» Хорошая новость: полная карта штрафов помещается в одну статью. Плохая: суммы стали заметно кусачее, и касаются они любого, кто собирает хоть какие-то данные посетителей — имя, телефон, e-mail в форме заявки. Ниже — понятный разбор всех составов ст. 13.11 КоАП, актуальные суммы и то, что реально стоит проверить у себя в первую очередь.
Почему в 2026 году штрафы Роскомнадзора снова тема №1
Штрафы за нарушение 152-ФЗ выросли не «когда-то давно», а совсем недавно и очень конкретно. Всё дело в Федеральном законе № 420-ФЗ от 30.11.2024, который кратно ужесточил статью 13.11 КоАП РФ. Новые нормы вступили в силу 30 мая 2025 года. Поэтому «штрафы Роскомнадзора 2026» — это не маркетинговая натяжка, а первый полный календарный год, когда обновлённые суммы действуют целиком, и практика правоприменения только набирает обороты.
Что изменилось одним пакетом:
- сами штрафы по «базовым» составам выросли в разы;
- появились отдельные составы за утечку персональных данных — раньше их в кодексе не было;
- введены оборотные штрафы за повторную утечку — процент от годовой выручки;
- отменена скидка 50% за быструю оплату по всем составам ст. 13.11.
Дополнительный штрих, показывающий, что тема всё ещё «живая»: с 28.12.2025 (по ФЗ № 508-ФЗ) дела по ст. 13.11 КоАП вернули в подсудность мировых судей — в период с 30 мая по 27 декабря 2025 года их рассматривали арбитражные суды. Для владельца сайта это деталь, но она хорошо иллюстрирует: регулирование персональных данных сейчас переписывают буквально на ходу.
За что может оштрафовать Роскомнадзор: карта нарушений
Разберёмся с главной болью — за что именно рискует ваш сайт. Почти все штрафы «для сайтов» — это части статьи 13.11 КоАП. Вот типовые ситуации, в которые попадает малый и средний бизнес:
- Нет или не опубликована политика конфиденциальности — документ недоступен по ссылке или его нет вовсе (ч. 3 ст. 13.11).
- Обработка данных без согласия или без чекбокса в форме заявки, где согласие обязательно (ч. 2 ст. 13.11).
- Не подано уведомление в РКН о намерении обрабатывать персональные данные (ч. 10 ст. 13.11).
- Не выполнен запрос пользователя уточнить, заблокировать или удалить его данные (ч. 5 ст. 13.11).
- Нарушена локализация — базы граждан РФ хранятся за рубежом (ч. 8/9 ст. 13.11, обязанность из ч. 5 ст. 18 152-ФЗ).
- Утечка данных — самый дорогой и отдельный трек, о нём ниже (ч. 12–18 ст. 13.11).
Отдельно про штраф за трансграничную передачу персональных данных: своего отдельного состава в КоАП у неё нет. Наказывают через общие составы ст. 13.11 (обработка в непредусмотренных случаях — ч. 1, неуведомление — ч. 10), плюс есть самостоятельная обязанность уведомить РКН до начала передачи по ст. 12 152-ФЗ. Так что если где-то вам называют «конкретный штраф за трансграничку» — это упрощение.
Другой трек — уголовный. За незаконный оборот персональных данных с 11.12.2024 действует ст. 272.1 УК РФ: до 300 000 ₽ штрафа или до 4 лет по базовому составу, до 700 000 ₽ / 5 лет за спецкатегории и биометрию, до 2 млн ₽ / 8 лет за трансграничную передачу. Это не про «нет политики на сайте-визитке», а про торговлю базами и умышленный слив — но знать о существовании статьи полезно.
Таблица штрафов 2026: сколько платят ИП и юрлица (ст. 13.11 КоАП)
Вот сердце статьи — актуальные суммы по ст. 13.11 КоАП после 420-ФЗ. Все значения — «вилки» (от и до), а не одно фиксированное число: конкретную сумму внутри диапазона определяет суд с учётом обстоятельств. Сразу снимаем частый вопрос про ИП: в ряде частей отдельной строки для ИП нет — тогда они приравнены к должностным лицам. Там, где для ИП предусмотрена своя сумма, мы вынесли её отдельной колонкой.
| Нарушение | Часть | Граждане | Долж. лица | ИП | Юрлица |
|---|---|---|---|---|---|
| Обработка данных в непредусмотренных случаях | ч. 1 | 10 000–15 000 ₽ | 50 000–100 000 ₽ | как долж. лицо | 150 000–300 000 ₽ |
| То же, повторно | ч. 1.1 | 15 000–30 000 ₽ | 100 000–200 000 ₽ | как долж. лицо | 300 000–500 000 ₽ |
| Обработка без письменного согласия | ч. 2 | 10 000–15 000 ₽ | 100 000–300 000 ₽ | как долж. лицо | 300 000–700 000 ₽ |
| То же, повторно | ч. 2.1 | 15 000–30 000 ₽ | 300 000–500 000 ₽ | 500 000–1 000 000 ₽ | 1 000 000–1 500 000 ₽ |
| Нет / не опубликована политика конфиденциальности | ч. 3 | 1 500–3 000 ₽ | 6 000–12 000 ₽ | 10 000–20 000 ₽ | 30 000–60 000 ₽ |
| Не предоставлена информация об обработке субъекту | ч. 4 | 2 000–4 000 ₽ | 8 000–12 000 ₽ | 20 000–30 000 ₽ | 40 000–80 000 ₽ |
| Не выполнено требование уточнить / заблокировать / удалить данные | ч. 5 | 2 000–4 000 ₽ | 8 000–20 000 ₽ | 20 000–40 000 ₽ | 50 000–90 000 ₽ |
| То же, повторно | ч. 5.1 | 20 000–30 000 ₽ | 30 000–50 000 ₽ | 50 000–100 000 ₽ | 300 000–500 000 ₽ |
| Нарушение условий неавтоматизированной обработки (доступ третьих лиц) | ч. 6 | 1 500–4 000 ₽ | 8 000–20 000 ₽ | 20 000–40 000 ₽ | 50 000–100 000 ₽ |
| Неуведомление РКН о намерении обрабатывать данные | ч. 10 | 5 000–10 000 ₽ | 30 000–50 000 ₽ | как долж. лицо | 100 000–300 000 ₽ |
| Нарушение локализации (базы граждан РФ вне РФ) | ч. 8 | 30 000–50 000 ₽ | 100 000–200 000 ₽ | как долж. лицо | 1 000 000–6 000 000 ₽ |
| То же, повторно | ч. 9 | 50 000–100 000 ₽ | 500 000–800 000 ₽ | как долж. лицо | 6 000 000–18 000 000 ₽ |
Обратите внимание на строки с пометкой «повторно» — это повторное нарушение 152-ФЗ и его штраф. Повторность резко поднимает сумму: например, обработка без согласия во второй раз для юрлица — уже до 1,5 млн ₽ вместо 700 000 ₽, а повторное нарушение локализации — до 18 млн ₽. Регулятор явно даёт понять: систематических нарушителей будут бить сильнее.
Важно: скидку 50% за быструю оплату штрафов по ст. 13.11 отменили — «заплатить половину по-быстрому» больше нельзя, придётся вносить всю сумму. А при повторном нарушении суммы растут кратно, для юрлиц по локализации — буквально на порядок. Так что «подожду, пока придёт письмо, и заплачу вполовину» — стратегия, которая больше не работает.
Особый случай: утечка данных и оборотные штрафы
Утечка персональных данных — отдельная и самая дорогая категория, введённая тем же 420-ФЗ. Для владельца сайта-визитки это скорее «крайний случай», чем ежедневная угроза, но суммы здесь пугающие, поэтому разберём честно. Размер штрафа зависит от масштаба: чем больше пострадавших субъектов, тем выше вилка. Отдельно и дороже всего караются спецкатегории данных (здоровье, убеждения) и биометрия.
| Масштаб утечки | Часть | Граждане | Долж. лица | Юрлица |
|---|---|---|---|---|
| 1 000–10 000 субъектов | ч. 12 | 100 000–200 000 ₽ | 200 000–400 000 ₽ | 3 000 000–5 000 000 ₽ |
| 10 000–100 000 субъектов | ч. 13 | 200 000–300 000 ₽ | 300 000–500 000 ₽ | 5 000 000–10 000 000 ₽ |
| Более 100 000 субъектов | ч. 14 | 300 000–400 000 ₽ | 400 000–600 000 ₽ | 10 000 000–15 000 000 ₽ |
| Спецкатегория данных | ч. 16 | 300 000–400 000 ₽ | 1 000 000–1 300 000 ₽ | 10 000 000–15 000 000 ₽ |
| Биометрические данные | ч. 17 | 400 000–500 000 ₽ | 1 300 000–1 500 000 ₽ | 15 000 000–20 000 000 ₽ |
| Повторная утечка (по ч. 12–14) — оборотный штраф | ч. 15 | 400 000–600 000 ₽ | 800 000–1 200 000 ₽ | 1–3% годовой выручки, не менее 20 млн и не более 500 млн ₽ |
| Повторная утечка спецкатегории / биометрии — оборотный штраф | ч. 18 | 500 000–800 000 ₽ | 1 500 000–2 000 000 ₽ | 1–3% выручки, не менее 25 млн и не более 500 млн ₽ |
Главная цифра-крючок здесь — оборотный штраф за повторную утечку: 1–3% годовой выручки, но не менее 20 млн и не более 500 млн ₽. Для банков процент считают не от выручки, а от размера собственного капитала на дату нарушения. Это уже уровень угрозы для крупного бизнеса, но масштаб цифр показывает, насколько серьёзно государство относится к сохранности баз.
Важно про сроки: если утечка всё-таки произошла, оператор обязан уведомить Роскомнадзор в течение 24 часов (первичное уведомление) и в течение 72 часов сообщить итоги внутреннего расследования (ч. 3.1 ст. 21 152-ФЗ). Промолчать или опоздать — это отдельный штраф по ч. 11 ст. 13.11: до 100 000 ₽ для граждан, до 800 000 ₽ для должностных лиц и до 3 000 000 ₽ для юрлиц. То есть за молчание накажут даже отдельно от самой утечки.
Реальные кейсы 2025 года: кого и на сколько оштрафовали
Чтобы миллионные вилки не звучали абстрактно, посмотрим, что реально происходило на бумаге штрафов. И здесь важный отрезвляющий факт: по данным ComNews со ссылкой на РКН, за весь 2025 год вынесено всего 6 штрафов за утечки на общую сумму 570 тыс. руб. — при том что регулятор зафиксировал 118 случаев компрометации баз и свыше 52 млн утёкших записей (в 2024-м было 135 утечек и более 710 млн записей). Эксперты прогнозируют рост взысканий в 2026-м по мере накопления практики.
Кого оштрафовали за утечки в 2025 году (тот же источник):
- АО «РЖД» — 150 тыс. руб.;
- АО «Почта России» — 150 тыс. руб.;
- ООО «Изумруд» — 75 тыс. руб.;
- ООО «Медквадрат» — 75 тыс. руб.;
- «Интер-Прайм» (коллекторская компания) — 60 тыс. руб.;
- микрофинансовая организация — 60 тыс. руб.
Практика знает и смягчения. В деле ООО «ПКР Аналитика» (платформа «Инвестиционные проекты») утечка затронула около 70 тыс. клиентов и по масштабу подпадала под штраф 5–10 млн руб., но суд заменил наказание предупреждением — как за первое нарушение. Ещё пример: Минтруд оштрафовали на 100 тыс. руб. (дело рассматривал мировой судья) за размещение данных сотрудников в интернете. Вывод: суд не всегда бьёт по максимуму, а повторность и умысел учитываются.
Но вот что критично для владельца небольшого сайта: громкие «утечечные» штрафы 2025 года пришлись на крупные организации, а не на микро-бизнес. Зато «базовые» составы — нет политики (ч. 3), нет согласия (ч. 2), не подано уведомление в РКН (ч. 10) — применяются к любому оператору, включая ИП с сайтом-визиткой. Именно они и есть самое частое «первое касание» Роскомнадзора с малым бизнесом. Так что миллионы за утечку платят гиганты, а вот несколько десятков тысяч за отсутствующую политику — это ровно про вас.
Что готовится в 2026-м, но ещё не действует
Пара инициатив «на будущее», о которых полезно знать, чтобы не быть застигнутым врасплох. Обе пока обсуждаются и в закон не превратились:
- Обсуждается обязанность давать пользователю возможность отозвать согласие в той же форме, в которой оно было получено (предложение из Госдумы в Минцифры).
- Обсуждается усиление контроля за трансграничной передачей персональных данных.
Ещё не действует: оба пункта выше — это стадия обсуждения, а не вступившие в силу нормы. Конкретных сумм и сроков по ним нет. Мы даём их, чтобы вы держали руку на пульсе, но планировать по ним ничего пока не нужно — ориентируйтесь на действующие составы из таблиц выше.
Как снизить риск штрафа: что проверить в первую очередь
Хорошая новость: чтобы резко снизить риск, не нужно строить систему защиты уровня банка. Для малого и среднего бизнеса три состава закрывают львиную долю рисков — и все три легко проверить и исправить:
- Политика конфиденциальности — есть ли документ и открывается ли он по ссылке из футера и из форм. Штраф за отсутствие политики конфиденциальности — до 60 000 ₽ юрлицу (ч. 3).
- Согласие на обработку данных — стоит ли в каждой форме заявки чекбокс со ссылкой на политику. Штраф за отсутствие согласия на обработку ПДн — до 700 000 ₽ юрлицу (ч. 2).
- Уведомление в РКН — подано ли уведомление о намерении обрабатывать персональные данные. Неуведомление — до 300 000 ₽ юрлицу (ч. 10).
- Cookie и счётчики — предупреждён ли посетитель об использовании cookie и аналитики, есть ли корректный баннер.
Именно эти пункты чаще всего и становятся основанием для штрафа малому бизнесу — а не миллионные утечки. И это ровно то, что выявляет наша бесплатная проверка сайта: за пару минут она показывает, какие требования 152-ФЗ у вас закрыты, а какие — нет, с привязкой к конкретным статьям и суммам штрафов.
Коротко о главном
Соберём всё в четыре тезиса, чтобы штрафы Роскомнадзора 2026 года уложились в голове:
- После 420-ФЗ (в силе с 30.05.2025) суммы штрафов по ст. 13.11 КоАП выросли кратно, а скидку 50% за быструю оплату отменили.
- За утечки штрафуют пока редко, но дорого — вплоть до оборотных 500 млн ₽ за повторный случай; это в основном про крупный бизнес.
- За «базовые» нарушения — нет политики, нет согласия, не подано уведомление в РКН — под удар попадает любой оператор, включая ИП, и это самые частые основания на практике.
- Повторность резко увеличивает штраф, местами кратно, поэтому дешевле привести сайт в порядок заранее.
Самый разумный первый шаг — понять, где именно ваш сайт не дотягивает до требований 152-ФЗ. Дальше исправить эти три-четыре пункта — вопрос нескольких дней, а не миллионных рисков.