РКН Аудит
С 30 мая 2025 года в России действуют существенно повышенные штрафы за нарушения в области обработки персональных данных. Изменения внесены Федеральным законом №420-ФЗ от 30 ноября 2024 года — он переписал статью 13.11 КоАП РФ, увеличив большинство санкций в десятки раз, и ввёл отдельные тяжёлые составы за утечки персональных данных (части 12–18) с оборотными штрафами до 500 миллионов рублей. Штраф для юридических лиц за обработку ПДн без согласия (ч.2 ст.13.11) — 300 000–700 000 ₽ (повторно до 1 500 000 ₽); за отсутствие политики обработки (ч.3) — 30 000–60 000 ₽; за нарушение локализации, то есть требования хранить данные россиян в РФ (ч.8) — 1 000 000–6 000 000 ₽. С 1 сентября 2025 года вступило в силу требование оформлять согласие отдельным документом, не в составе политики. Эта статья — актуальная таблица штрафов по 152-ФЗ в редакции 2026 года с разбивкой по составам нарушений, категориям лиц (граждане / должностные / ИП / юрлица) и пояснениями применимости. Источники: pravo.gov.ru, КонсультантПлюс, Гарант.
Проверьте, какие штрафы грозят вашему сайту — бесплатный скан ←
МБДОУ или МБОУ? Штраф для бюджетного учреждения списывается из субсидии на муниципальное задание — то есть фактически за счёт средств на ремонт, зарплаты, инвентарь. Полное руководство по соответствию: Уведомление РКН для детского сада/школы + Политика на gosweb. Готовый пакет документов — 499 ₽ для бюджетных учреждений.
Что изменилось: ключевые даты
- 30 ноября 2024 — принят 420-ФЗ, переписывающий статью 13.11 КоАП и вводящий отдельные составы за утечки (части 12–18); уголовную ответственность по ст.272.1 УК ввёл одновременный 421-ФЗ.
- 30 мая 2025 — основные положения 420-ФЗ вступили в силу. С этого момента действуют все увеличенные штрафы.
- 1 сентября 2025 — согласие на обработку ПДн должно быть оформлено отдельным документом, не частью договора (156-ФЗ от 24.06.2025).
- С 2025 года — Роскомнадзор применяет автоматизированный мониторинг сайтов (АС МПДн), риск-ориентированный — см. «Бот РКН». «Приказ РКН №140 от 19.06.2025» к проверкам отношения не имеет — он про обезличивание ПДн.
Полная таблица штрафов по ст.13.11 КоАП РФ (с 30.05.2025)
Часть 1. Обработка ПДн в случаях, не предусмотренных законом
| Категория | Размер штрафа |
|---|---|
| Граждане | 10 000 — 15 000 ₽ |
| Должностные лица | 50 000 — 100 000 ₽ |
| ИП | 50 000 — 100 000 ₽ |
| Юридические лица | 150 000 — 300 000 ₽ |
Часть 2. Обработка ПДн без согласия субъекта
| Категория | Первичное | Повторное |
|---|---|---|
| Граждане | 10 000 — 15 000 ₽ | 15 000 — 30 000 ₽ |
| Должностные лица | 100 000 — 300 000 ₽ | 300 000 — 500 000 ₽ |
| ИП | 100 000 — 300 000 ₽ | 300 000 — 500 000 ₽ |
| Юридические лица | 300 000 — 700 000 ₽ | 1 000 000 — 1 500 000 ₽ |
Этот штраф применяется в том числе к предустановленным галочкам согласия, формам без чекбокса и cookie-баннерам без opt-in.
Часть 3. Отсутствие или неполная политика обработки ПДн
| Категория | Размер |
|---|---|
| Граждане | 1 500 — 3 000 ₽ |
| Должностные лица | 6 000 — 12 000 ₽ |
| ИП | 10 000 — 20 000 ₽ |
| Юридические лица | 30 000 — 60 000 ₽ |
Применяется к отсутствию политики обработки ПДн, её недоступности (404, PDF) и расхождению с фактическими данными форм.
Части 8–9. Нарушение требования о локализации (хранение данных россиян в РФ)
| Категория | Первичное (ч.8) | Повторное (ч.9) |
|---|---|---|
| Должностные лица | 100 000 — 200 000 ₽ | 500 000 — 800 000 ₽ |
| Юридические лица | 1 000 000 — 6 000 000 ₽ | 6 000 000 — 18 000 000 ₽ |
Это основной риск при использовании Google Analytics, Meta Pixel и других иностранных трекеров: данные россиян оказываются на зарубежных серверах в нарушение требования локализации (ч.5 ст.18 152-ФЗ). Отдельно нарушение порядка трансграничной передачи (ст.12, без уведомления РКН) наказывается мягче — по ст.19.7 / ч.10 ст.13.11 КоАП.
Часть 10. Неуведомление РКН об обработке ПДн
| Категория | Размер |
|---|---|
| Граждане / самозанятые | 5 000 — 10 000 ₽ |
| Должностные лица | 30 000 — 50 000 ₽ |
| ИП | 100 000 — 300 000 ₽ |
| Юридические лица | 100 000 — 300 000 ₽ |
Применяется ко всем операторам, не подавшим уведомление в реестр на pd.rkn.gov.ru до начала обработки.
Поддержание сведений в реестре в актуальном состоянии
При изменении категорий ПДн, целей или субъектов оператор обязан подать уточнённое уведомление. Поддерживайте запись в реестре операторов РКН в соответствии с фактической обработкой: расхождение — самостоятельное основание для претензий регулятора по ст.13.11 КоАП.
Штрафы за утечки персональных данных (части 12–18 ст.13.11 КоАП, введены 420-ФЗ)
С 30 мая 2025 года в статье 13.11 КоАП появились отдельные составы (части 12–18) — санкции за утечку персональных данных, размер которых зависит от объёма утечки, категории данных и (при повторе) оборота оператора.
Первичная утечка (части 12–14)
| Объём утечки | Юридические лица |
|---|---|
| До 10 000 субъектов или 100 000 идентификаторов | 3 000 000 — 5 000 000 ₽ |
| 10 000 — 100 000 субъектов или 100 000 — 1 млн идентификаторов | 5 000 000 — 10 000 000 ₽ |
| Свыше 100 000 субъектов или 1 млн идентификаторов | 10 000 000 — 15 000 000 ₽ |
Повторная утечка — оборотный штраф (часть 15)
| Базис | Размер |
|---|---|
| 1% годовой выручки | минимум 20 000 000 ₽ (спецкатегории/биометрия — 25 000 000 ₽) |
| 3% годовой выручки | максимум 500 000 000 ₽ |
Для среднего и крупного бизнеса оборотный штраф — катастрофическая санкция. Для компании с выручкой 1 млрд ₽ — это 30 млн ₽ за один инцидент.
Утечка специальных категорий и биометрии (части 16–17)
Утечка биометрии, медицинских, расовых, политических данных — повышенные размеры: для юрлиц 10–15 млн ₽ (спецкатегории, ч.16) и 15–20 млн ₽ (биометрия, ч.17); за повторную — оборотный штраф (минимум 25 млн ₽). Кроме того, по статье 272.1 УК РФ (введена 421-ФЗ от 30.11.2024) возможно уголовное преследование — до 10 лет лишения свободы.
Дополнительные санкции
Статья 19.5 КоАП — Неисполнение предписания РКН
| Категория | Размер |
|---|---|
| Граждане | до 5 000 ₽ |
| Должностные лица | до 200 000 ₽ |
| Юридические лица | до 500 000 ₽ |
Этот штраф добавляется к штрафам по ст.13.11 КоАП, если оператор не устранил нарушения в срок 10 рабочих дней с момента получения предписания.
Статья 19.4.1 КоАП — Воспрепятствование проверке
| Категория | Размер |
|---|---|
| Юридические лица | до 50 000 ₽ |
Применяется при попытках заблокировать бота РКН (User-Agent / IP блокировки, anti-bot защиты).
Типичная картина штрафов малому бизнесу
По публичным кейсам 2025–2026 годов, малый бизнес обычно получает совокупный штраф 300–700 тыс ₽ за первичное предписание. Состав:
- Неуведомление РКН — 100–300 тыс ₽
- Отсутствие политики — 30–60 тыс ₽
- Отсутствие cookie-баннера / неправильное согласие — 300–700 тыс ₽
- Иностранные трекеры (Google Analytics) с нарушением локализации — до 6 млн ₽
Сумма легко достигает миллиона рублей при одном визите бота РКН. Поэтому экономика проста: 4 990 ₽ за готовый комплект документов от нашего сервиса окупается одной предотвращённой санкцией.
Как избежать штрафов
- Самопроверка — бесплатный скан на rkn-ok.ru показывает все 14 категорий нарушений за 30 секунд.
- Устранение по приоритетам — сначала P0 (политика, согласие, реестр), затем P1 (трекеры, cookie), затем P2 (форматирование, ссылки).
- Регистрация в реестре — обязательный минимум для любого оператора. Инструкция: «Как уведомить РКН».
- Полный комплект документов — политика, согласие, cookie-баннер и инструкция в РКН. Готовый вариант под ваши реквизиты — 4 990 ₽.
- Повторная проверка через 14 дней — контроль устранения. Если все нарушения исчезли — вы готовы к визиту бота РКН.
→ Проверить сайт на 14 типов нарушений (бесплатно)
Источники: статья 13.11 КоАП РФ — КонсультантПлюс, обзор 420-ФЗ — Гарант, 420-ФЗ от 30.11.2024, pd.rkn.gov.ru.