Штрафы за персональные данные с 2026 года: мировые судьи, новые правила и миллионные санкции

📌 Введение: Почему изменилась подсудность дел о персональных данных

С 28 декабря 2025 года вступил в силу Федеральный закон № 508-ФЗ, который вернул дела о нарушениях в сфере персональных данных (ПДн) по статье 13.11 КоАП РФ в юрисдикцию мировых судей. Ранее, с 30 мая 2025 года, такие дела рассматривали арбитражные суды, что давало бизнесу возможность апеллировать к Судебной коллегии по экономическим спорам Верховного Суда РФ. Теперь эта возможность утрачена.

Это процессуальное изменение — часть масштабной реформы ответственности за обработку ПДн. Оно напрямую связано с резким ужесточением штрафов, введением оборотных санкций и уголовной ответственности за утечки данных. Государство усиливает контроль, делая защиту ПДн одним из главных приоритетов для любого бизнеса.

📊 Таблица 1: Эволюция ответственности за нарушения в сфере ПДн (2024–2026 гг.)

Период	Ключевые изменения	Подсудность дел по ст. 13.11 КоАП РФ	Максимальные штрафы для юрлиц
До 30.05.2025	Старые правила: относительно низкие штрафы, без учёта объёма утечки и оборота компании.	Мировые судьи	До 500 тыс. руб.
30.05.2025 – 27.12.2025	Введение градации штрафов по объему утечки, оборотных санкций за повторные нарушения, а также уголовной ответственности по новой ст. 272.1 УК РФ.	Арбитражные суды	До 20 млн руб. за утечку биометрии
С 28.12.2025	Закрепление новых правил. Возврат подсудности мировым судьям (ФЗ № 508-ФЗ), но с сохранением повышенных штрафов.	Мировые судьи (окончательно)	• До 15 млн руб. за массовую утечку, • Оборотный штраф до 3% годовой выручки, • Минимум — 20–25 млн руб. при повторном нарушении.

📌 На основе:
• Федерального закона № 508-ФЗ от 28.12.2025,
• Изменений в КоАП РФ и УК РФ,
• Разъяснений Роскомнадзора и Верховного Суда РФ.

✅ Рекомендация: Независимо от подсудности — риски остаются высокими.
Инвестируйте в защиту персональных данных и обучайте сотрудников.

Шаблон: Политика обработки персональных данных

Соответствует ФЗ-152 | Актуально на 2026 год

1. Общие положения

Настоящая политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Целью настоящей политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных.
Действует в отношении всех персональных данных, полученных от сотрудников, клиентов, посетителей сайта, контрагентов.

2. Основные понятия

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
Обработка ПДн — любое действие (операция) с персональными данными, включая сбор, запись, систематизацию, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление.
Оператор — [полное наименование вашей организации], самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных.

3. Принципы обработки персональных данных

Законность и справедливость,
Целевое назначение (обработка только для заявленных целей),
Минимизация (только необходимые данные),
Достоверность,
Защищённость (применение технических и организационных мер).

4. Условия обработки персональных данных

Обработка осуществляется с согласия субъекта, за исключением случаев, предусмотренных законом.
Согласие может быть отозвано в любой момент путём направления письменного заявления.
Оператор не передаёт ПДн третьим лицам без согласия, кроме как по требованию органов власти или в целях исполнения договора.

5. Категории обрабатываемых персональных данных

Категория субъекта	Виды данных
Сотрудники	ФИО, паспортные данные, СНИЛС, ИНН, банковские реквизиты, медицинские данные (при наличии)
Контрагенты	ФИО контактного лица, должность, телефон, email
Посетители сайта	IP-адрес, cookie, данные форм обратной связи

6. Меры по обеспечению безопасности

Применение средств шифрования и аутентификации,
Разграничение доступа по ролям,
Регулярное обучение сотрудников,
Аудит систем и журналов доступа,
Хранение бэкапов в защищённом месте.

7. Хранение и сроки

Персональные данные хранятся в течение времени, необходимого для достижения целей обработки.
По истечении срока или отзыве согласия данные подлежат уничтожению или обезличиванию.

8. Права субъектов ПДн

На получение информации о своих персональных данных,
На доступ к своим данным,
На исправление, удаление или ограничение обработки,
На отзыв согласия,
На обращение в Роскомнадзор.

9. Контакты

Ответственный за организацию обработки ПДн:
ФИО: ________________________
Телефон: ____________________
Email: _______________________

10. Вступление в силу

Настоящая политика вступает в силу с момента её утверждения руководителем и размещения на официальном сайте организации.

Руководитель:

(подпись, ФИО, дата)

💡 Рекомендация:
• Замените поля в квадратных скобках на данные вашей организации,
• Подпишите и разместите на сайте.
Это обязательное требование 152-ФЗ.

⚖️ Что означает переход к мировым судьям на практике

Изменение подсудности — это не просто технический нюанс. Оно имеет ключевые практические последствия для компаний и ИП, привлекаемых к ответственности:

Сокращение судебных инстанций: Решения мировых судей обжалуются в районных судах общей юрисдикции, а не в арбитражных судах апелляционной инстанции. Это означает иной подход к рассмотрению дел и, как правило, более короткие сроки прохождения всех судебных этапов.
Утрата профильного арбитража: Арбитражные суды традиционно специализируются на спорах в сфере предпринимательской деятельности. Мировые судьи рассматривают широкий спектр административных дел, что может повлиять на глубину анализа специфических вопросов обработки ПДн.
Усиление позиции Роскомнадзора: Контролирующий орган (Роскомнадзор) часто инициирует дела по нарушениям ПДн. Работа в рамках знакомой системы общей юрисдикции может сделать процедуру привлечения к ответственности для него более предсказуемой и оперативной.

💰 Новые штрафы по ст. 13.11 КоАП РФ: что грозит бизнесу с 2026 года

Основой для гигантских санкций стали поправки, вступившие в силу 30 мая 2025 года (Федеральный закон № 420-ФЗ). Теперь штрафы напрямую зависят от масштаба нарушения.

📈 Таблица 2: Штрафы за утечку персональных данных (по объему инцидента)

Объём утечки (кол-во субъектов ПДн / идентификаторов)	Штраф для граждан	Штраф для должностных лиц	Штраф для юридических лиц
1 000 – 10 000 человек или 10 000 – 100 000 идентификаторов	100–200 тыс. руб.	200–400 тыс. руб.	3–5 млн руб.
10 000 – 100 000 человек или 100 000 – 1 млн идентификаторов	200–300 тыс. руб.	300–500 тыс. руб.	5–10 млн руб.
Более 100 000 человек или более 1 млн идентификаторов	300–400 тыс. руб.	400–600 тыс. руб.	10–15 млн руб.
Утечка специальных категорий ПДн (здоровье, раса, политические убеждения и др.)	300–400 тыс. руб.	1–1,3 млн руб.	10–15 млн руб.
Утечка биометрических ПДн (отпечатки, голос, фото для идентификации)	400–500 тыс. руб.	1,3–1,5 млн руб.	15–20 млн руб.

📌 На основе:
• Статьи 13.11 Кодекса Российской Федерации об административных правонарушениях,
• Постановлений Правительства РФ,
• Разъяснений Роскомнадзора и Верховного Суда.

✅ Рекомендация: При обработке биометрии и специальных категорий ПДн:
• Обязательно получайте письменное согласие,
• Применяйте повышенные меры защиты (в т.ч. шифрование),
• Ведите журнал инцидентов.

Чек-лист: Защита персональных данных

Соответствие ФЗ-152 и ГОСТ Р 57580.1-2017 | Актуально на 2026 г.

1. Утверждена Политика обработки ПДн

Политика разработана и утверждена руководителем,
Опубликована на официальном сайте организации,
Обновляется при изменениях законодательства или процессов.

📌 Это обязательное требование ст. 18.1 ФЗ-152.

2. Есть ответственный за обработку ПДн

Назначен сотрудник (оператор),
Есть приказ о назначении,
Контакты указаны в политике и формах сбора данных.

3. Собрано согласие субъектов

На сайтах — через модальные окна с чёткой формулировкой,
При трудоустройстве — письменное заявление,
Возможность отозвать согласие — указана явно.

❗ Без согласия — штраф до 15 млн руб. по ст. 13.11 КоАП РФ.

4. Применены технические меры защиты

Шифрование баз данных и резервных копий,
Аутентификация по логину/паролю + 2FA,
Межсетевые экраны, антивирусы, защита от DDoS,
Регулярные аудиты и тестирование уязвимостей.

5. Организованы организационные меры

Инструкции по работе с ПДн,
Ограничение доступа по ролям,
Журнал учёта инцидентов,
Обучение сотрудников — не реже 1 раза в год.

6. Права субъектов соблюдены

Субъект может запросить свои данные,
Возможно исправление, удаление или ограничение обработки,
Процедура выполнения запроса оформлена регламентом.

7. Обработка биометрии и специальных категорий — под особым контролем

Собрано письменное согласие,
Применяются повышенные меры защиты,
Уведомление в Роскомнадзор — оформлено,
Хранение — только в зашифрованном виде.

✅ Рекомендация:
Проводите ежегодную проверку по этому чек-листу.
Это защитит от штрафов и репутационных рисков.

*Идентификатор — каждая единица информации (например, отдельно фамилия, имя, телефон, e-mail). Один человек в базе может быть представлен десятками идентификаторов.

🚨 Оборотные штрафы: главная угроза для бизнеса

Самое суровое нововведение — оборотные штрафы за повторное нарушение, повлекшее утечку. Санкция составляет от 1% до 3% совокупной годовой выручки компании, но не менее 20 млн рублей (для утечки биометрии или спецкатегорий — не менее 25 млн руб.) и не более 500 млн рублей.

Пример: Интернет-магазин с выручкой 500 млн рублей допустил повторную утечку данных 50 000 клиентов. Фиксированный штраф за такой объем — 5-10 млн рублей. Но как повторное нарушение это грозит оборотным штрафом: 1-3% от 500 млн = от 5 до 15 млн рублей, но не менее 20 млн. Итог: магазин заплатит минимум 20 млн рублей.

⚠️ Другие значимые нарушения и санкции

Неуведомление Роскомнадзора об утечке в течение 24 часов: Штраф для юрлиц — 1–3 млн руб.
Неуведомление о начале обработки ПДн: Штраф для юрлиц — 100–300 тыс. руб..
Обработка ПДн без согласия: Штраф для юрлиц — 300–700 тыс. руб., а за повторное нарушение — 1–1.5 млн руб.

🛡️ Пошаговый план защиты компании от штрафов в 2026 году

Проведите правовой аудит. Проверьте все документы: политику обработки ПДн, формы согласий (они должны быть отдельными и понятными), договоры с подрядчиками (обязательно включите пункт о защите ПДн).
Подайте уведомление в Роскомнадзор. Если вы еще этого не сделали, немедленно подайте уведомление об обработке ПДн через сайт РКН.
Настройте техническую защиту:

Внедрите DLP-системы для контроля утечек.
Обязательно используйте российские серверы для первичного сбора и хранения данных (требование локализации).
Настройте разграничение прав доступа и логирование действий сотрудников.
Регулярно обновляйте ПО и устанавливайте патчи безопасности.

Разработайте регламент действий при утечке. У вас должен быть четкий внутренний документ, описывающий действия в первые 24 часа после инцидента, включая уведомление Роскомнадзора.
Обучите сотрудников. Регулярно проводите инструктажи по основам кибергигиены и правилам работы с ПДн. Помните, что персональная ответственность (вплоть до уголовной) грозит не только компании, но и должностным лицам.

🔮 Заключение и прогнозы

Возврат дел о персональных данных в юрисдикцию мировых судей в сочетании с беспрецедентно высокими штрафами сигнализирует о качественно новом уровне государственного контроля. Бизнесу больше нельзя относиться к защите ПДн как к формальности.

Тренды на 2026 год:

Увеличение количества проверок Роскомнадзора, в том числе с использованием автоматизированных систем на основе ИИ для мониторинга сайтов.
Рост судебной практики по новым составам правонарушений, особенно по оборотным штрафам.
Ужесточение требований к обезличиванию данных в связи с запуском государственной системы «Госозеро».

Единственный способ минимизировать риски — проактивный подход: инвестировать в построение комплексной системы защиты персональных данных, начиная с юридического аудита и заканчивая внедрением современных технических средств.