Штрафы за нарушения на сайте в 2026: 152-ФЗ и реклама
Штрафы за нарушения на сайте перестали быть абстрактной угрозой из методичек. После реформы КоАП, вступившей в силу 30 мая 2025 года, суммы выросли, появились оборотные штрафы за утечки, а индивидуальные предприниматели по ряду составов теперь отвечают наравне с компаниями. Ниже разберём, за что именно штрафуют сайт в 2026 году, и приведём таблицы с точными вилками по каждой категории нарушителя: физлицо, должностное лицо, ИП и юридическое лицо.
Все суммы приведены по действующей редакции КоАП РФ. Важно понимать структуру наказания: для одного и того же нарушения закон называет разные штрафы в зависимости от того, кто привлекается к ответственности. Поэтому каждый состав мы даём таблицей, а не одной цифрой.
За что штрафуют по 152-ФЗ: персональные данные
Большинство сайтов собирают персональные данные ещё до того, как посетитель что-то ввёл: через формы, аналитику, чат-виджеты, cookie. Раз есть обработка персональных данных, появляются и обязанности: иметь политику, получить согласие, уведомить Роскомнадзор. За пропуск каждой из них предусмотрен отдельный состав в статье 13.11 КоАП РФ.
Нет политики обработки персональных данных
Политика обработки персональных данных должна быть опубликована в открытом доступе на сайте. Её отсутствие образует самостоятельное нарушение по части 3 статьи 13.11 КоАП РФ. С 30 мая 2025 года по этому составу отменена прежняя скидка 50% за быструю оплату.
| Категория | Штраф, ₽ |
|---|---|
| Физическое лицо | 1 500 – 3 000 |
| Должностное лицо | 6 000 – 12 000 |
| ИП | 10 000 – 20 000 |
| Юридическое лицо | 30 000 – 60 000 |
Для юридического лица за повторное нарушение вилка возрастает до 300 000 – 500 000 ₽. Подробно о том, что именно должно быть внутри документа, рассказано в материале что должно быть в политике конфиденциальности.
Обработка данных без согласия
Если сайт собирает персональные данные без законного основания (например, форма пишет контакты в CRM, а согласия посетитель не давал), это обработка без согласия по части 1 статьи 13.11 КоАП РФ. Это один из самых дорогих «бытовых» составов.
| Категория | Штраф, ₽ |
|---|---|
| Физическое лицо | 10 000 – 15 000 |
| Должностное лицо | 50 000 – 100 000 |
| ИП | 50 000 – 100 000 |
| Юридическое лицо | 150 000 – 300 000 |
При повторном нарушении вилка для юридического лица доходит до 300 000 – 500 000 ₽. Обратите внимание: по части 1 ИП отвечает как должностное лицо, а не как компания. Это отдельный случай, не путайте его с локализацией ниже.
Нарушение порядка получения согласия
С 1 сентября 2025 года согласие на обработку персональных данных нужно оформлять отдельно от других документов. Его больше нельзя «зашить» в текст оферты, пользовательского соглашения или совместить с галочкой об ознакомлении с правилами. Это требование ввёл Федеральный закон от 24.06.2025 № 156-ФЗ, дополнивший статью 9 152-ФЗ. Нарушение порядка получения согласия квалифицируется по части 2 статьи 13.11 КоАП РФ.
| Категория | Штраф, ₽ |
|---|---|
| Физическое лицо | 10 000 – 15 000 |
| Должностное лицо | 100 000 – 300 000 |
| ИП | 100 000 – 300 000 |
| Юридическое лицо | 300 000 – 700 000 |
Под эту же часть попадает частая ошибка cookie-баннеров: когда согласие на аналитические и рекламные cookies совмещено с общим согласием на обработку персональных данных. С сентября 2025 года такие согласия должны быть раздельными. Что должен содержать корректный баннер, разобрано в статье cookie-баннер и согласие.
Не подано уведомление в Роскомнадзор
Почти любой оператор персональных данных обязан до начала обработки подать уведомление в Роскомнадзор через портал pd.rkn.gov.ru. Неуведомление образует состав по части 10 статьи 13.11 КоАП РФ.
| Категория | Штраф, ₽ |
|---|---|
| Физическое лицо | 5 000 – 10 000 |
| Должностное лицо | 30 000 – 50 000 |
| ИП | 30 000 – 50 000 |
| Юридическое лицо | 100 000 – 300 000 |
Та же часть 10 применяется и при неуведомлении о трансграничной передаче данных: уведомление о ней подаётся отдельно и заранее, за 10 рабочих дней до начала передачи.
Нарушение локализации
Локализация представляет собой требование хранить первичную базу персональных данных граждан России на серверах внутри страны. Оно действует с 2015 года, но именно реформа 2025 года резко подняла санкции и приравняла ИП к юридическим лицам. Это редкий случай, когда индивидуальный предприниматель отвечает не как должностное лицо, а наравне с компанией.
| Категория | Первое нарушение (ч. 8), ₽ | Повтор за год (ч. 9), ₽ |
|---|---|---|
| Физическое лицо | 30 000 – 50 000 | 50 000 – 100 000 |
| Должностное лицо | 100 000 – 200 000 | 500 000 – 800 000 |
| ИП | 1 000 000 – 6 000 000 | 6 000 000 – 18 000 000 |
| Юридическое лицо | 1 000 000 – 6 000 000 | 6 000 000 – 18 000 000 |
Состав возникает только при фактическом сборе данных в зарубежную базу: через иностранные формы, CRM, рассылки, хостинг или платёжный процессинг. Передача за рубеж лишь технических данных (например, IP-адрес для шрифтов, CDN, captcha или карт) сама по себе состава локализации не образует. Кому именно касается требование и как проверить свой стек, разобрано в материале локализация по 242-ФЗ.
Утечка персональных данных
Самая дорогая часть статьи 13.11. После реформы 2025 года штраф за утечку зависит от числа пострадавших субъектов, а за повторную утечку введён оборотный штраф: процент от годовой выручки. Для ИП и юридических лиц суммы здесь измеряются миллионами.
| Состав | ИП и юрлицо, ₽ |
|---|---|
| Утечка 1 тыс. – 10 тыс. субъектов (ч. 12) | 3 000 000 – 5 000 000 |
| Утечка 10 тыс. – 100 тыс. субъектов (ч. 13) | 5 000 000 – 10 000 000 |
| Утечка более 100 тыс. субъектов (ч. 14) | 10 000 000 – 15 000 000 |
| Повторная утечка (ч. 15, оборотный) | 20 000 000 – 500 000 000 |
Оборотный штраф по части 15 рассчитывается как 1–3% выручки за предыдущий год, но не менее 20 млн и не более 500 млн рублей. Для физических лиц эти составы тоже наказуемы, но в существенно меньших размерах: например, по части 12 это 100 000 – 200 000 ₽, по части 15 это 400 000 – 600 000 ₽. Отдельно закон требует уведомить Роскомнадзор об инциденте в течение 24 часов, а ФСТЭК в течение 72 часов.
Реклама без маркировки и ERID
Если на сайте размещена реклама (баннеры, интеграции, посевы, реклама чужих товаров и услуг), она подпадает под требования закона «О рекламе» (38-ФЗ): каждый креатив маркируется идентификатором ERID, проходит через оператора рекламных данных (ОРД), а данные о показах передаются в установленный срок. Нарушения этих обязанностей вынесены в статью 14.3 КоАП РФ.
Отсутствие ERID на рекламе
Отсутствие идентификатора рекламы (ERID) на интернет-рекламе образует состав по части 16 статьи 14.3 КоАП РФ.
| Категория | Штраф, ₽ |
|---|---|
| Физическое лицо | 30 000 – 100 000 |
| Должностное лицо | 100 000 – 200 000 |
| ИП | 100 000 – 200 000 |
| Юридическое лицо | 200 000 – 500 000 |
Для юридического лица повторное нарушение наказывается штрафом 500 000 – 1 000 000 ₽. Чтобы маркировка была корректной, нужен договор с ОРД и проведение креатива через него. Как устроен и как проверяется сам идентификатор, разобрано на странице про маркировку рекламы и ERID.
Несвоевременная передача данных в ОРД
Даже если креатив промаркирован, остаётся обязанность вовремя передавать данные о рекламе оператору: отчёт подаётся до 30 числа следующего месяца. Нарушение срока квалифицируется по части 15 статьи 14.3 КоАП РФ.
| Категория | Штраф, ₽ |
|---|---|
| Физическое лицо | 10 000 – 30 000 |
| Должностное лицо | 30 000 – 100 000 |
| Юридическое лицо | 200 000 – 500 000 |
Две эти части часто путают между собой, хотя они про разное: часть 16 про отсутствие самой маркировки, часть 15 про несвоевременную передачу данных оператору. Нарушить можно как одну, так и обе сразу.
Почему таблицы не отвечают на главный вопрос
Свести штрафы в таблицу несложно. Сложнее понять, какие из этих составов применимы именно к вашему сайту. Список норм показывает потолок ответственности, но не говорит, есть ли у вас нарушение: стоит ли политика в открытом доступе, срабатывает ли аналитика до согласия, совмещены ли согласия в баннере, передаются ли данные в зарубежную базу, промаркирована ли реклама.
Практический порядок проверки выглядит так. Сначала проверьте обязательные документы: опубликована ли политика обработки персональных данных и ведёт ли на неё видимая ссылка. Затем разберитесь с согласиями: есть ли отдельное согласие на обработку данных из форм и раздельное согласие в cookie-баннере, не запускается ли аналитика до клика. Проверьте уведомление в Роскомнадзор: подано ли оно. Пройдитесь по сервисам на предмет локализации: где физически хранятся данные из форм, CRM и рассылок. И, если на сайте есть реклама, убедитесь, что креативы промаркированы и проходят через ОРД.
Каждый из этих пунктов представляет собой отдельный риск с собственной вилкой штрафа из таблиц выше. Проверить их вручную можно, но это требует знания, где искать сетевые запросы, как читать заголовки страницы и какие сервисы относятся к зарубежным.
Проверить это автоматически можно на странице проверки по 152-ФЗ: сканер пройдёт по сайту, найдёт расхождения с требованиями и покажет, под какой состав КоАП они подпадают и какая вилка штрафа за каждый. Это единственный способ перейти от общего списка сумм к конкретному ответу про ваш сайт.
Коротко
После реформы 2025 года штрафы за нарушения на сайте выросли, а по локализации и утечкам ИП отвечают наравне с компаниями. Самые частые и дорогие риски: отсутствие политики (часть 3 статьи 13.11), обработка без согласия (часть 1), нарушение порядка согласия и совмещённый cookie-баннер (часть 2), неуведомление РКН (часть 10), локализация в зарубежной базе (части 8 и 9) и отсутствие ERID на рекламе (часть 16 статьи 14.3). Размер штрафа всегда зависит от категории нарушителя, поэтому смотреть нужно не на одну цифру, а на всю вилку. А чтобы понять, какие из этих составов применимы к конкретному сайту, списка штрафов недостаточно: нужна проверка самого сайта.
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ: основной материальный закон об обработке персональных данных (политика, согласие, уведомление РКН, локализация, меры защиты).
- Федеральный закон от 30.11.2024 № 420-ФЗ: поправки в КоАП РФ, включая перенумерацию частей статьи 13.11, оборотные штрафы за утечки, выравнивание ИП под юрлицо для локализации и утечек (в силе с 30.05.2025).
- Федеральный закон от 24.06.2025 № 156-ФЗ: поправки в статью 9 152-ФЗ, по которым согласие на обработку персональных данных оформляется отдельно от иных документов (в силе с 01.09.2025).
- Федеральный закон «О рекламе» от 13.03.2006 № 38-ФЗ: материальный закон о маркировке интернет-рекламы и передаче данных оператору рекламных данных (ОРД).
- КоАП РФ, статья 13.11 часть 1: обработка персональных данных без согласия или в случаях, не предусмотренных законом.
- КоАП РФ, статья 13.11 часть 2: нарушение порядка получения согласия на обработку персональных данных (в том числе совмещение cookie-согласия с согласием на ПДн).
- КоАП РФ, статья 13.11 часть 3: отсутствие политики обработки персональных данных в общем доступе.
- КоАП РФ, статья 13.11 часть 8: нарушение требований о локализации персональных данных граждан РФ (первое); ИП отвечают как юридические лица.
- КоАП РФ, статья 13.11 часть 9: повторное нарушение требований о локализации в течение года; ИП отвечают как юридические лица.
- КоАП РФ, статья 13.11 часть 10: неуведомление Роскомнадзора об обработке персональных данных.
- КоАП РФ, статья 13.11 часть 12: утечка персональных данных от 1 тыс. до 10 тыс. субъектов.
- КоАП РФ, статья 13.11 часть 13: утечка персональных данных от 10 тыс. до 100 тыс. субъектов.
- КоАП РФ, статья 13.11 часть 14: утечка персональных данных более 100 тыс. субъектов.
- КоАП РФ, статья 13.11 часть 15: повторная утечка персональных данных (оборотный штраф 1–3% выручки, минимум 20 млн, максимум 500 млн рублей).
- КоАП РФ, статья 14.3 часть 15: несвоевременная передача данных оператору рекламных данных (ОРД).
- КоАП РФ, статья 14.3 часть 16: отсутствие идентификатора рекламы (ERID) на интернет-рекламе.