ГЛАВНАЯ ВСЕ ПОСТЫ УСЛУГИ И ЦЕНЫ КОНТАКТЫ ОНЛАЙН КОНСУЛЬТАЦИЯ
Новая система санкций за нарушения 152-ФЗ строится не по принципу «нарушил — заплатил»: каждое следующее нарушение обходится на порядок дороже предыдущего.
До 2025 года санкции были фиксированными и предсказуемыми (до 100 тыс. руб.). С 30 мая 2025 года картина изменилась принципиально.
Три уровня новой ответственности
Уровень 1 — базовые нарушения. Штраф за неправомерную обработку ПДн — 150–300 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ). За повторное нарушение — до 500 тыс. руб.
Уровень 2 — утечки данных. Размер штрафа зависит от масштаба инцидента:
• 1 000–10 000 человек > 3–5 млн руб.
• более 100 000 человек > 10–15 млн руб.
• утечка биометрических данных > до 20 млн руб.
Уровень 3 — повторные утечки (оборотные штрафы)
Штраф составляет от 1 до 3% совокупной годовой выручки за предшествующий год, но не менее 20 млн руб. и не более 500 млн руб. (Федеральный закон № 420-ФЗ от 30.11.2024).
Важная деталь: снизить оборотный штраф можно — но только если выполнены два условия одновременно:
1. Компания три года инвестировала в ИБ не менее 0,1% от выручки.
2. Отсутствуют отягчающие обстоятельства (например, попытка скрыть инцидент).
Роскомнадзор в 2026 году оценивает не наличие пакета документов, а способность оператора доказать, что обработка управляется и контролируется в реальном времени. Плановых проверок нет, зато действует автоматизированный мониторинг сайтов с использованием ИИ — без предупреждения и без визита инспектора.
На чём горят компании: типичные нарушения, ведущие к миллионным потерям
Проблема не в незнании закона, а в разрыве между тем, что написано в документах, и тем, что происходит на практике.
Ошибка 1. Ответственный «для галочки»
Назначен сотрудник — но без полномочий, без бюджета, без доступа к ИТ-системам. При инциденте выясняется: ответственный не мог физически ни отследить утечку, ни уведомить регулятора в срок. Штраф — до 15 млн руб.
Ошибка 2. «Слепота» к инцидентам — нарушение окна в 24 часа
Согласно ч. 3.1 ст. 21 152-ФЗ, оператор обязан уведомить Роскомнадзор об утечке в течение 24 часов с момента её обнаружения. Большинство компаний узнаёт об инциденте из Telegram-каналов или СМИ — к тому моменту окно уже закрыто. Штраф — 1–3 млн руб.
Ошибка 3. Инсайдер под прикрытием документов
Все политики подписаны, сотрудник ознакомлен. Но технически ничто не мешает ему скопировать базу клиентов на флешку. Документы фиксируют намерения. Только технические меры контролируют действия. Внедрение DLP-систем и настройка логирования — это уже базовая гигиена.
Ошибка 4. Биометрия, которой «нет»
Компания искренне уверена: мы не работаем с биометрией. При этом в личных делах — копии заграничных паспортов, звонки в колл-центр записываются, видео с пропускной системы хранятся годами. По 152-ФЗ, фото для идентификации личности, голос, отпечатки пальцев — это биометрия. Штраф за её утечку — до 20 млн руб.
Ошибка 5. Попытка скрыть инцидент
Это самый дорогой сценарий. Роскомнадзор в 2026 году ведёт мониторинг утечек в том числе в закрытых источниках — Telegram-каналах, торговых площадках данных, форумах. Последствия: штраф удваивается, право на снижение оборотного штрафа утрачивается, возможна блокировка сайта, а руководителю грозит уголовная ответственность по ст. 272 УК РФ.
Что изменилось в требованиях с середины 2025 года: три новых обязательства
1. Локализация при сборе данных (с 1 июля 2025). По ч. 5 ст. 18 152-ФЗ, запись и хранение ПДн граждан РФ должны производиться в базах данных, расположенных на территории России. Формальное «дублирование» не принимается.
2. Новые требования к обезличиванию (с 1 сентября 2025). Приказ Роскомнадзора № 140 от 19.06.2025 утвердил четыре допустимых метода обезличивания. Убрать имя и номер телефона — этого больше недостаточно.
3. Смена логики проверок. Роскомнадзор теперь сопоставляет три источника: сайт компании, данные в реестре операторов и фактический документооборот. Если они не совпадают — это основание для внепланового мероприятия.