С 30 мая 2025 года вступили в силу поправки в КоАП РФ по Федеральному закону № 420-ФЗ от 30.11.2024, которые ввели миллионные и оборотные штрафы за утечки персональных данных. Для бизнеса это означает: один инцидент – и санкция может достигнуть 500 млн ₽. Разбираем, как именно считается оборотный штраф, кто под него попадает и что делать владельцу сайта.
Где закреплён оборотный штраф
Оборотный штраф введён частью 15 статьи 13.11 КоАП РФ. Применяется к юридическим лицам и индивидуальным предпринимателям, допустившим повторную утечку персональных данных – то есть утечку, совершённую после уже вынесенного постановления по частям 12, 13 или 14 той же статьи. Норма работает с 30 мая 2025 года и распространяется на любых операторов, обрабатывающих данные граждан РФ.
Как рассчитывается штраф
Базовая ставка – от 1% до 3% от совокупной выручки за календарный год, предшествующий году, в котором выявлено нарушение. При этом установлен жёсткий коридор: минимум 20 млн ₽, максимум 500 млн ₽. Если в предыдущем году деятельность не велась – берётся выручка за текущий календарный год до даты выявления. Для кредитных организаций может учитываться размер собственных средств (капитала).
Что считается утечкой
Утечкой признаётся неправомерная передача (распространение, предоставление, доступ) персональных данных третьим лицам. Сюда попадают: публикация базы в открытых источниках, продажа в теневых маркетплейсах, доступ через незакрытый API, ошибочная рассылка, инсайдерская выгрузка. Не имеет значения, был ли инцидент намеренным – ответственность объективная.
Что считается повторностью
Повторным признаётся нарушение, совершённое в течение года с даты вступления в силу предыдущего постановления по ч. 12–14 ст. 13.11 КоАП РФ. То есть если первая утечка квалифицирована по ч. 13 (5–10 млн ₽) и за год произошла новая – вторая идёт уже по ч. 15 с оборотным штрафом.
Что снижает риск
Главные факторы – уведомление Роскомнадзора в течение 24 часов (ст. 21 152-ФЗ), наличие политики обработки ПДн, корректное согласие субъекта, локализация баз в РФ, регламент реагирования на инциденты. Отсутствие любого из этих элементов в момент проверки – дополнительные составы по другим частям ст. 13.11.
Что делать прямо сейчас
Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:
- Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
- Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
- Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.
База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и cookie. Сравнить тарифы или запустить бесплатную экспресс-проверку.