152-ФЗ в 2026: штрафы за утечку персональных данных — сколько, за что и как защититься

Ещё пару лет назад штраф за утечку персональных данных был настолько мал, что многие компании закладывали его в расходы и не вкладывались в защиту. С 30 мая 2025 года эта логика сломалась: размеры штрафов выросли в десятки раз, появился оборотный штраф за повторное нарушение и уголовная ответственность за незаконный оборот данных. Теперь утечка базы клиентов — это не «неприятность», а прямой финансовый и репутационный риск, сопоставимый с потерей крупного контракта.

Эта статья — технический и организационный разбор для бизнеса. Мы показываем актуальные размеры штрафов и обязанности оператора, а затем — что конкретно нужно сделать с инфраструктурой, чтобы снизить вероятность утечки и успеть отреагировать в установленные законом сроки. Важная оговорка: мы как IT-аутсорсер отвечаем за техническую и организационную сторону вопроса, а юридическую квалификацию конкретной ситуации и оценку рисков должен давать юрист.

Что изменилось с 30 мая 2025 года

Главное изменение — поправки в Кодекс об административных правонарушениях (КоАП), которые вступили в силу 30 мая 2025 года. Они кардинально подняли размеры штрафов за утечку персональных данных и привязали их к объёму скомпрометированных данных. Теперь чем больше субъектов затронуто, тем выше штраф — диапазоны фиксированы в законе.

Появились три принципиально новые конструкции, которых раньше не было в таком виде:

• Прогрессивная шкала штрафов за первичную утечку — в зависимости от числа затронутых субъектов или идентификаторов персональных данных.
• Оборотный штраф за повторную утечку — процент от совокупной годовой выручки компании.
• Уголовная ответственность (статья 272.1 Уголовного кодекса РФ) за незаконные сбор, передачу и использование персональных данных.

Параллельно ужесточилась ответственность за процедурные нарушения: неуведомление Роскомнадзора (РКН) об утечке и неуведомление о намерении обрабатывать персональные данные теперь тоже наказываются ощутимыми суммами.

Таблица штрафов за утечку персональных данных

Размер штрафа за первичную утечку для юридического лица зависит от объёма скомпрометированных данных. Ниже — действующие диапазоны.

Отдельно наказываются процедурные нарушения, которые часто всплывают именно при разборе инцидента:

На практике это означает, что одна утечка часто оборачивается сразу несколькими штрафами: за саму утечку и за то, что компания не подала вовремя нужные уведомления. Поэтому процедурная дисциплина — такая же часть защиты, как и технические средства.

Оборотный штраф за повторную утечку

Самая чувствительная для крупного бизнеса конструкция — оборотный штраф за повторную утечку. Если у компании уже была утечка и происходит новая, штраф рассчитывается не фиксированной суммой, а как процент от выручки:

• от 1 до 3% совокупной годовой выручки компании;
• но не менее 20 млн ₽ и не более 500 млн ₽;
• для утечек биометрии и специальных категорий данных нижняя граница повышена — не менее 25 млн ₽.

Логика законодателя проста: разовая ошибка наказывается фиксированно, а систематическое пренебрежение защитой данных бьёт по обороту. Для компании с выручкой, например, 2 млрд рублей в год повторная утечка может стоить от 20 до 60 млн рублей в рамках 1–3%. Это уже не «расход, который можно заложить», а удар по финансовой модели.

Уголовная ответственность (статья 272.1 УК РФ)

С 2025 года введена статья 272.1 Уголовного кодекса РФ — за незаконные сбор, передачу и использование персональных данных. Это качественный сдвиг: теперь за определённые действия с чужими данными отвечают не только организации рублём, но и конкретные люди — вплоть до лишения свободы.

Наказание по ряду составов — вплоть до нескольких лет лишения свободы. Конкретные сроки по каждому составу мы намеренно не приводим: их нужно уточнять по действующему тексту УК РФ и оценивать с юристом применительно к конкретной ситуации. Здесь важна сама тенденция: данные клиентов и сотрудников из «актива, за который никто не отвечает лично» превратились в зону персональной ответственности менеджмента и тех, кто имеет доступ к базам.

Обязанности оператора: 24 часа на уведомление

Если утечка всё-таки произошла, у оператора персональных данных жёсткие сроки реагирования. Их нарушение — отдельный штраф (см. таблицу выше).

• 24 часа — уведомить Роскомнадзор о факте утечки с момента её обнаружения.
• 72 часа — подать итоговый отчёт по результатам внутреннего расследования инцидента.

24 часа — это очень мало, если инцидент обнаружен в пятницу вечером, а у компании нет ни дежурного реагирования, ни заранее подготовленных шаблонов уведомления, ни понимания, какие именно данные утекли и в каком объёме. Именно поэтому подготовка к инциденту (а не только защита от него) — отдельная задача: нужно заранее знать, где лежат персональные данные, кто за них отвечает и как быстро собрать факты для отчёта.

Что делать бизнесу: организационные меры

Защита персональных данных начинается не с покупки софта, а с порядка. Базовый организационный минимум:

• Подать уведомление в РКН о намерении обрабатывать ПДн, если это ещё не сделано, — иначе штраф 100–300 тыс. ₽ возникает сам по себе, без всякой утечки.
• Провести инвентаризацию данных: где хранятся персональные данные клиентов и сотрудников, в каких системах, кто имеет к ним доступ. Без этой карты невозможно ни защитить данные, ни уложиться в 24 часа при инциденте.
• Назначить ответственного за организацию обработки персональных данных и описать процессы во внутренних документах (политика обработки ПДн, регламент реагирования на инциденты).
• Минимизировать данные: не хранить лишнее, удалять то, что больше не нужно. Чем меньше данных — тем меньше масштаб возможной утечки и ниже диапазон штрафа.
• Подготовить план реагирования на инцидент: кто и в каком порядке уведомляет РКН, кто собирает факты для отчёта, кто общается с клиентами.

Что делать бизнесу: технические меры

Организационные меры задают рамку, а реальную вероятность утечки снижают технические средства защиты. Минимальный технический контур для оператора персональных данных:

• Разграничение доступа. К базам с персональными данными должны иметь доступ только те сотрудники, кому это нужно по работе. Принцип минимальных привилегий, отзыв доступов при увольнении.
• Шифрование данных при хранении и передаче — чтобы перехваченная или украденная база была бесполезна без ключей.
• Защита периметра — межсетевой экран нового поколения (NGFW) для контроля трафика и фильтрации атак, защита веб-приложений (WAF), через которые чаще всего и утекают данные.
• Защита от утечек (DLP). Системы Data Loss Prevention контролируют, не уходят ли персональные данные за периметр — по почте, в мессенджеры, на флешки, в облака.
• Мониторинг и журналирование. Без логов и мониторинга невозможно ни заметить утечку вовремя, ни собрать факты для отчёта в РКН за 72 часа. Круглосуточный мониторинг (NOC/SOC) ловит аномалии раньше, чем данные успевают уйти массово.
• Резервное копирование и защита от шифровальщиков. Часть утечек сопровождается атаками вымогателей, поэтому бэкапы и защита от программ-вымогателей — часть того же контура.

Эти меры не существуют по отдельности: NGFW без мониторинга, шифрование без разграничения доступа или DLP без инвентаризации данных дают ложное чувство защищённости. Работает именно связка, выстроенная под конкретную инфраструктуру. Многие из этих технических провалов мы разбирали в материале про 7 ошибок корпоративной сети.

Роль IT-аутсорсера

Привести инфраструктуру в соответствие требованиям к защите персональных данных — это проект, который удобно отдать профильному IT-аутсорсеру с собственным NOC. Что берём на себя мы:

• Аудит инфраструктуры на соответствие требованиям к защите персональных данных: где лежат данные, как разграничен доступ, что с шифрованием и защитой периметра. Результат — письменный отчёт с перечнем разрывов.
• Внедрение средств защиты: NGFW, WAF, DLP, шифрование, разграничение доступа — подбор и настройка под конкретную инфраструктуру, а не «коробка ради галочки».
• Мониторинг 24/7 из нашего NOC — чтобы инцидент был замечен в первые минуты, а не когда база уже в открытом доступе. Это напрямую помогает уложиться в 24-часовой срок уведомления РКН.
• Сопровождение и поддержка: обновления, контроль доступов, реагирование на инциденты как часть управляемой услуги.

Чёткое разделение зон: техническую и организационную подготовку делаем мы, юридическую оценку рисков и квалификацию состава нарушения даёт юрист. Мы не оказываем юридических услуг по 152-ФЗ — мы делаем так, чтобы инфраструктура физически соответствовала требованиям и чтобы у вас была возможность быстро отреагировать на инцидент.

FAQ

Какой максимальный штраф за утечку персональных данных в 2026 году?

За первичную утечку для юридического лица максимум 10–15 млн ₽ (если затронуты данные свыше 100 000 субъектов или более 1 млн идентификаторов, а также специальные категории данных). За повторную утечку применяется оборотный штраф — от 1 до 3% совокупной годовой выручки, но не менее 20 млн и не более 500 млн ₽; для биометрии и специальных категорий нижняя граница повышена до 25 млн ₽.

С какой даты действуют новые штрафы по 152-ФЗ?

Поправки в Кодекс об административных правонарушениях (КоАП), которые ввели крупные штрафы за утечку персональных данных, вступили в силу 30 мая 2025 года. До этого штрафы были несоизмеримо ниже.

В какой срок нужно уведомить Роскомнадзор об утечке данных?

Уведомить Роскомнадзор о факте утечки нужно в течение 24 часов с момента её обнаружения. Итоговый отчёт по результатам внутреннего расследования инцидента подаётся в течение 72 часов. За неуведомление об утечке предусмотрен отдельный штраф: для юридических лиц 1–3 млн ₽.

Появилась ли уголовная ответственность за утечку персональных данных?

Да. С 2025 года введена статья 272.1 Уголовного кодекса РФ за незаконные сбор, передачу и использование персональных данных. Наказание по ряду составов — вплоть до нескольких лет лишения свободы. Конкретные сроки по каждому составу следует уточнять по действующему тексту УК и оценивать с юристом.

Что грозит, если компания вообще не подавала уведомление в РКН о том, что обрабатывает персональные данные?

За неуведомление Роскомнадзора о намерении обрабатывать персональные данные предусмотрен штраф для юридических лиц 100–300 тыс. ₽. Подача такого уведомления — базовое требование для любого оператора, и его отсутствие проверяется в первую очередь.

Может ли IT-аутсорсер взять на себя выполнение требований 152-ФЗ?

IT-аутсорсер закрывает техническую и организационную часть: приводит инфраструктуру в соответствие требованиям к защите персональных данных, внедряет средства защиты, настраивает разграничение доступа, шифрование, мониторинг и реагирование на инциденты, помогает уложиться в 24-часовой срок уведомления РКН. Юридическую оценку рисков и квалификацию состава даёт юрист — это разные зоны ответственности.

Штрафы считаются за каждую утечку отдельно или суммарно?

Размер штрафа за разовую утечку привязан к объёму скомпрометированных данных — числу субъектов или идентификаторов. Чем больше затронуто записей, тем выше диапазон штрафа: от 3–5 млн ₽ до 10–15 млн ₽. Повторное нарушение переводит ответственность в оборотный штраф — процент от годовой выручки компании.

Вывод

С 30 мая 2025 года защита персональных данных перестала быть «бумажной» задачей. Разовый штраф до 15 млн рублей, оборотный штраф до 3% выручки за повтор, уголовная ответственность по статье 272.1 УК и жёсткие 24 часа на уведомление РКН — всё это делает утечку прямым бизнес-риском, а не формальностью. Главные точки контроля: знать, где лежат ваши данные, кто имеет к ним доступ, чем они защищены и как быстро вы сможете отреагировать на инцидент.

Кибер Авангард приводит инфраструктуру в соответствие требованиям к защите персональных данных технически и организационно: аудит, внедрение средств защиты (NGFW, WAF, DLP, шифрование, разграничение доступа), мониторинг 24/7 из NOC и сопровождение. Юридическую оценку рисков оставляем юристам — это их зона. Если хотите понять, где у вас сейчас разрывы, начните с ИБ-аудита: письменный отчёт с перечнем уязвимостей и планом по их закрытию.