С 30 мая 2025 года российский бизнес живёт в условиях принципиально новой системы санкций за нарушения в сфере персональных данных. Федеральный закон ФЗ-420, подписанный 30 ноября 2024 года, ввёл так называемые оборотные штрафы — суммы, которые рассчитываются не как фиксированная величина, а как процент от выручки компании или устанавливаются в диапазоне от нескольких миллионов до полумиллиарда рублей. Разберём, сколько реально придётся заплатить и от чего зависит итоговая сумма.
Что такое оборотный штраф и почему он опасен
До вступления в силу ФЗ-420 максимальный штраф за утечку персональных данных составлял 500 000 рублей. Для крупного бизнеса это была несущественная сумма — неприятная, но не критическая. Именно поэтому многие компании предпочитали не инвестировать в защиту данных, а просто платить штрафы в случае проверок.
Оборотный штраф меняет логику принципиально. Теперь санкция может достигать 3% от годовой выручки компании или 500 миллионов рублей — в зависимости от того, какая величина больше. Для компании с выручкой в 20 миллиардов рублей это означает потенциальный штраф в 600 миллионов рублей. Игнорировать такой риск невозможно.
Ключевой принцип: оборотный штраф применяется только при утечке персональных данных (то есть при их несанкционированном распространении или передаче третьим лицам). За другие нарушения ФЗ-152 — отсутствие политики, ненадлежащее уведомление и так далее — действуют фиксированные штрафы по статье 13.11 КоАП РФ.
Таблица оборотных штрафов за утечку в 2026 году
| Масштаб утечки | Минимальный штраф | Максимальный штраф | Примечание |
|---|---|---|---|
| От 1 000 до 10 000 субъектов | 3 000 000 руб. | 5 000 000 руб. | Первичное нарушение |
| От 10 000 до 100 000 субъектов | 5 000 000 руб. | 10 000 000 руб. | Первичное нарушение |
| Свыше 100 000 субъектов | 10 000 000 руб. | 15 000 000 руб. | Первичное нарушение |
| Специальные категории (биометрия, здоровье) | 15 000 000 руб. | 20 000 000 руб. | Независимо от числа субъектов |
| Повторная утечка в течение года | — | 500 000 000 руб. или 3% выручки | Применяется большая из сумм |
Как считается штраф: практические примеры
Пример 1: интернет-магазин
Небольшой интернет-магазин с базой в 15 000 покупателей допустил утечку: хакеры получили имена, телефоны и адреса электронной почты. Это первичное нарушение, масштаб — от 10 000 до 100 000 субъектов. Штраф составит от 5 до 10 миллионов рублей. Для малого бизнеса с выручкой 30-50 миллионов в год это означает фактическое банкротство.
Пример 2: медицинская клиника
Частная клиника потеряла базу данных пациентов на 3 000 человек, включая информацию о диагнозах. Данные о здоровье относятся к специальным категориям. Штраф — от 15 до 20 миллионов рублей, несмотря на относительно небольшое число пострадавших.
Пример 3: крупный ритейлер
Федеральная сеть с выручкой 50 миллиардов рублей допустила вторую утечку за 12 месяцев — данные 500 000 клиентов. Применяется штраф за повторное нарушение: 3% от выручки = 1,5 миллиарда рублей. Поскольку это больше 500 миллионов, суд назначит именно эту сумму.
Факторы, влияющие на размер штрафа
Смягчающие обстоятельства
- Компания самостоятельно уведомила Роскомнадзор об утечке в установленный срок (24 часа — предварительное уведомление, 72 часа — детальное)
- Были приняты меры по устранению последствий
- Компания сотрудничала со следствием и регулятором
- Ущерб субъектам был минимальным или отсутствовал
- Компания впервые привлекается к ответственности
Отягчающие обстоятельства
- Сокрытие факта утечки или несвоевременное уведомление РКН
- Повторное нарушение в течение одного года
- Утечка данных специальных категорий
- Умышленные действия сотрудников
- Большой масштаб ущерба для граждан
Сравнение штрафов до и после ФЗ-420
| Параметр | До 30.05.2025 | После 30.05.2025 |
|---|---|---|
| Максимальный штраф для юрлица | 500 000 руб. | До 500 млн руб. или 3% выручки |
| Зависимость от масштаба утечки | Нет | Да (4 уровня) |
| Повышенный штраф за повторность | Нет | Да (в течение года) |
| Уголовная ответственность | Нет | Да (ст. 272.1 УК РФ) |
Как снизить риски до минимума
Оборотные штрафы делают инвестиции в защиту персональных данных экономически оправданными даже для небольших компаний. Несколько ключевых мер:
- Провести аудит всех процессов обработки персональных данных
- Разработать и внедрить систему защиты информации (шифрование, контроль доступа)
- Назначить ответственного за обработку персональных данных
- Настроить систему мониторинга инцидентов
- Разработать план реагирования на утечки (включая процедуру уведомления РКН)
- Обучить сотрудников основам работы с персональными данными
Стоимость комплексной защиты персональных данных для среднего бизнеса составляет от 300 000 до 1 500 000 рублей в год. В сравнении с минимальным оборотным штрафом в 3 000 000 рублей — это вложение, которое окупается уже при первом предотвращённом инциденте.
