Оборотные штрафы за утечку персональных данных: кому грозят

8 мин
утечкаоборотные штрафы152-ФЗ420-ФЗ
Оборотные штрафы за утечку персональных данных по 420-ФЗ: размеры и для кого реальны, обложка статьи sitelaw

Новости про «оборотные штрафы до 500 миллионов» пугают всех подряд, и владельцы небольших сайтов примеряют эти цифры на себя. На практике картина мягче и сложнее одновременно: для первой утечки закон устанавливает фиксированный штраф, а оборотный процент от выручки включается только при повторе. Ниже разберём, что именно изменилось с 30 мая 2025 года, какие суммы стоят за каждым составом, для кого оборотный штраф реален, а для кого скорее теоретическая угроза, и как малому сайту снизить риск, не закладывая бюджет крупной компании.

Сразу оговорка про точность. Тема денежная, и размеры штрафов мы даём по действующей редакции КоАП РФ. Конкретные суммы и проценты приведены как ориентир, а точная вилка по вашему случаю зависит от числа пострадавших, статуса нарушителя и обстоятельств. Полный перечень норм с реквизитами вынесен в раздел «Нормативная база» внизу.

Что изменилось с 30 мая 2025 года

До реформы утечка персональных данных наказывалась общими и довольно скромными по нынешним меркам составами. Федеральный закон от 30.11.2024 № 420-ФЗ это изменил: в Кодекс об административных правонарушениях ввели отдельные составы именно за факт утечки, привязав размер штрафа к числу пострадавших субъектов, а за повторную утечку добавили оборотный штраф, то есть процент от годовой выручки компании. Поправки вступили в силу 30 мая 2025 года.

Логика новой конструкции простая. Чем больше людей пострадало, тем выше фиксированный штраф за первую утечку. А если оператор допустил утечку повторно, государство переходит от фиксированной суммы к проценту от оборота: для крупного бизнеса это кратно больнее любого фиксированного потолка, потому что миллиардная выручка превращает даже один процент в десятки миллионов.

Вместе с денежной ответственностью реформа закрепила и процедурную обязанность. При утечке оператор должен уведомить Роскомнадзор о факте неправомерной передачи данных в установленный короткий срок, а также взаимодействовать с государственной системой обнаружения и предупреждения компьютерных атак. То есть наказуема не только сама утечка, но и молчание о ней. Об этом подробнее в разделе про снижение риска.

Важно не путать этот блок с другими нарушениями по персональным данным. Отсутствие политики, сбор данных без согласия, неуведомление Роскомнадзора о начале обработки, нарушение локализации, это самостоятельные составы со своими штрафами, мы разбирали их в обзоре штрафов за нарушения на сайте. Здесь речь именно про утечку: ситуацию, когда персональные данные, которые вы собрали, утекли наружу.

Сколько и за что: размеры штрафов

Размер наказания за первую утечку определяется числом субъектов, чьи данные утекли. Закон выделяет несколько диапазонов, и чем шире утечка, тем выше штраф. Ниже ориентировочные суммы для ИП и юридических лиц по действующей редакции; точные значения уточняйте по первоисточнику, реквизиты которого в «Нормативной базе».

Масштаб утечки (первая)Ориентир для ИП и юрлица, ₽
От 1 тыс. до 10 тыс. субъектов3 000 000 – 5 000 000
От 10 тыс. до 100 тыс. субъектов5 000 000 – 10 000 000
Более 100 тыс. субъектов10 000 000 – 15 000 000

Это и есть фиксированные штрафы за первую утечку: суммы крупные, но конечные и заранее известные. Для физических лиц те же составы наказуемы существенно мягче: порядок ориентировочно сотни тысяч рублей, а не миллионы.

Отдельная история, это повторная утечка. Здесь закон переходит на оборотный штраф: процент от годовой выручки за предыдущий год, но не ниже установленного минимума и не выше установленного максимума в рублях. По ориентировочным данным это порядка одного-трёх процентов выручки с нижней границей в десятки миллионов и верхней до полумиллиарда рублей. Именно эту верхнюю цифру тиражируют новости, хотя относится она к повторному нарушению и считается от оборота, а не назначается всем подряд.

Ключевое, что стоит вынести из этой таблицы: цифры в миллионах относятся к утечкам тысяч и десятков тысяч записей. Чтобы под них попасть, у сайта должна быть база соответствующего размера. Это меняет картину для малого бизнеса, к чему мы и переходим.

Для кого оборотные штрафы реальны, а для кого нет

Главный страх владельца небольшого сайта: «у меня форма обратной связи, неужели мне грозит штраф в полмиллиарда». Короткий ответ, нет, и вот почему.

Во-первых, оборотный штраф включается только при повторной утечке. Первая утечка, даже если она случилась, наказывается фиксированной суммой из таблицы выше, а не процентом от выручки. Чтобы дойти до оборотного штрафа, нужно сначала допустить утечку, быть привлечённым к ответственности, а затем допустить её снова. Для аккуратного оператора это маловероятная цепочка.

Во-вторых, размер фиксированного штрафа привязан к числу пострадавших. Нижний порог самостоятельных составов начинается от тысячи субъектов. Если в вашей CRM полторы сотни заявок за год, утечка такой базы под многомиллионные части формально не подпадает, и это не повод расслабляться, потому что общие составы об обработке и о мерах защиты никто не отменял, но конкретно «оборотные миллионы» к ней не применяются.

В-третьих, оборотный штраф считается от выручки. У самозанятого или небольшого ИП оборот несопоставим с оборотом банка или маркетплейса, и один процент от него, это не катастрофическая, а соразмерная бизнесу сумма. Сам механизм оборотного штрафа задумывался против крупных операторов, которые теряли миллионы записей и платили смешные по их меркам фиксированные штрафы.

Сложить это можно так. Для малого сайта, самозанятого и небольшого ИП реальный сценарий, это не оборотный штраф в полмиллиарда, а фиксированная ответственность, причём именно за то, что данные вообще собирались и хранились небрежно. Реформа повысила цену неаккуратности, но не превратила каждую форму обратной связи в риск разорения. Опаснее для малого бизнеса не сам потолок утечки, а соседние составы, то есть сбор данных без согласия, отсутствие защиты, молчание об инциденте. О том, почему регулярная проверка этих вещей дешевле любого штрафа, мы писали в материале зачем регулярно проверять сайт.

Как малому сайту снизить риск утечки

Защита от утечки для небольшого бизнеса, это не дорогая инфраструктура, а несколько здравых решений. Логика простая: чем меньше данных вы собираете и чем лучше защищаете то, что собрали, тем меньше есть чему утечь и тем ниже потенциальный штраф.

Соберите меньше данных. Каждое лишнее поле в форме, это данные, за сохранность которых вы отвечаете. Если для заявки достаточно имени и телефона, не запрашивайте паспорт, дату рождения и адрес. Минимизация сбора прямо предусмотрена законом и одновременно уменьшает масштаб возможной утечки.

Закройте технические дыры. Сайт должен работать по HTTPS с действующим сертификатом, чтобы данные не передавались в открытом виде. Доступ к админке и базе заявок держите под надёжными паролями и без лишних подключённых сервисов, через которые данные уходят на сторону. Подключённые иностранные формы, аналитика и рассылки, это не только вопрос локализации, но и лишние точки, где данные могут утечь.

Наведите порядок в основаниях обработки. Утечка усугубляется, когда выясняется, что данные и собирались-то без согласия. Корректное согласие в формах, опубликованная политика, поданное уведомление в Роскомнадзор, это не про утечку напрямую, но именно эти составы чаще всего догоняют малый бизнес и складываются в сумму штрафов.

Знайте порядок действий на случай инцидента. Если утечка всё же произошла, закон требует уведомить Роскомнадзор о факте неправомерной передачи данных в короткий срок, а также взаимодействовать с государственной системой обнаружения компьютерных атак. Скрыть инцидент значит добавить к ответственности за саму утечку ещё и ответственность за молчание. Полезно заранее знать, кто в компании за это отвечает и куда обращаться, даже если весь штат, это вы один.

Как проверить готовность сайта

Перевести всё перечисленное в конкретные действия по своему сайту вручную можно, но это требует знания, где искать. Нужно открыть исходный код страниц и посмотреть, какие данные собирают формы и куда уходят сетевые запросы, проверить HTTPS и сертификат, найти подключённые сторонние сервисы, сверить тексты политики и согласий с требованиями. Легко пропустить то, что не лежит на поверхности: счётчик, который отправляет данные за рубеж, форму на внутренней странице без согласия, устаревший виджет от прошлого подрядчика.

Проверить это автоматически можно на странице проверки по 152-ФЗ: сканер пройдёт по публичной части сайта, покажет, какие данные и через какие сервисы собираются, где есть расхождения с требованиями к защите и оформлению, и под какой состав КоАП это подпадает. Так вы переходите от общего страха перед «оборотными миллионами» к конкретному списку того, что стоит поправить именно у вас, пока повод для штрафа не возник.

Коротко

Оборотные штрафы за утечку персональных данных ввёл закон 420-ФЗ, поправки действуют с 30 мая 2025 года. За первую утечку установлен фиксированный штраф, размер которого зависит от числа пострадавших и для бизнеса измеряется миллионами при утечках от тысячи субъектов. Оборотный штраф, то есть процент от выручки с потолком до сотен миллионов, включается только при повторной утечке и бьёт прежде всего по крупным операторам с большой базой и большим оборотом. Для малого сайта, самозанятого и небольшого ИП реальнее не оборотный потолок, а фиксированная ответственность и соседние составы: сбор без согласия, слабая защита, молчание об инциденте. Снижается риск не бюджетом, а здравыми решениями: собирать меньше данных, защищать собранное, оформлять основания и знать порядок действий на случай инцидента. А чтобы понять, что из этого не закрыто именно на вашем сайте, общих рассуждений мало, нужна проверка самого сайта.

Нормативная база

  • Федеральный закон от 30.11.2024 № 420-ФЗ: поправки в КоАП РФ, вводящие отдельные составы за утечку персональных данных и оборотный штраф за повторную утечку (в силе с 30.05.2025). Требует сверки точной даты вступления и перечня введённых частей.
  • КоАП РФ, статья 13.11 часть 12: утечка персональных данных от 1 тыс. до 10 тыс. субъектов (для ИП и юрлица фиксированный штраф; точные размеры требуют сверки по действующей редакции).
  • КоАП РФ, статья 13.11 часть 13: утечка персональных данных от 10 тыс. до 100 тыс. субъектов (точные размеры требуют сверки).
  • КоАП РФ, статья 13.11 часть 14: утечка персональных данных более 100 тыс. субъектов (точные размеры требуют сверки).
  • КоАП РФ, статья 13.11 часть 15: повторная утечка персональных данных — оборотный штраф в процентах от годовой выручки с нижним и верхним пределом в рублях (процент, минимум и максимум требуют сверки).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 21, часть 3.1: обязанность оператора уведомить Роскомнадзор о факте неправомерной передачи (утечки) персональных данных в течение 24 часов, а о результатах внутреннего расследования — в течение 72 часов.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также