Штрафы за нарушения на сайте в 2026: 152-ФЗ и реклама

9 мин
штрафы152-ФЗКоАП
Таблицы штрафов за нарушения на сайте по 152-ФЗ и рекламе в 2026 году, обложка статьи sitelaw

Штрафы за нарушения на сайте перестали быть абстрактной угрозой из методичек. После реформы КоАП, вступившей в силу 30 мая 2025 года, суммы выросли, появились оборотные штрафы за утечки, а индивидуальные предприниматели по ряду составов теперь отвечают наравне с компаниями. Ниже разберём, за что именно штрафуют сайт в 2026 году, и приведём таблицы с точными вилками по каждой категории нарушителя: физлицо, должностное лицо, ИП и юридическое лицо.

Все суммы приведены по действующей редакции КоАП РФ. Важно понимать структуру наказания: для одного и того же нарушения закон называет разные штрафы в зависимости от того, кто привлекается к ответственности. Поэтому каждый состав мы даём таблицей, а не одной цифрой.

За что штрафуют по 152-ФЗ: персональные данные

Большинство сайтов собирают персональные данные ещё до того, как посетитель что-то ввёл: через формы, аналитику, чат-виджеты, cookie. Раз есть обработка персональных данных, появляются и обязанности: иметь политику, получить согласие, уведомить Роскомнадзор. За пропуск каждой из них предусмотрен отдельный состав в статье 13.11 КоАП РФ.

Нет политики обработки персональных данных

Политика обработки персональных данных должна быть опубликована в открытом доступе на сайте. Её отсутствие образует самостоятельное нарушение по части 3 статьи 13.11 КоАП РФ. С 30 мая 2025 года по этому составу отменена прежняя скидка 50% за быструю оплату.

КатегорияШтраф, ₽
Физическое лицо1 500 – 3 000
Должностное лицо6 000 – 12 000
ИП10 000 – 20 000
Юридическое лицо30 000 – 60 000

Для юридического лица за повторное нарушение вилка возрастает до 300 000 – 500 000 ₽. Подробно о том, что именно должно быть внутри документа, рассказано в материале что должно быть в политике конфиденциальности.

Обработка данных без согласия

Если сайт собирает персональные данные без законного основания (например, форма пишет контакты в CRM, а согласия посетитель не давал), это обработка без согласия по части 1 статьи 13.11 КоАП РФ. Это один из самых дорогих «бытовых» составов.

КатегорияШтраф, ₽
Физическое лицо10 000 – 15 000
Должностное лицо50 000 – 100 000
ИП50 000 – 100 000
Юридическое лицо150 000 – 300 000

При повторном нарушении вилка для юридического лица доходит до 300 000 – 500 000 ₽. Обратите внимание: по части 1 ИП отвечает как должностное лицо, а не как компания. Это отдельный случай, не путайте его с локализацией ниже.

Нарушение порядка получения согласия

С 1 сентября 2025 года согласие на обработку персональных данных нужно оформлять отдельно от других документов. Его больше нельзя «зашить» в текст оферты, пользовательского соглашения или совместить с галочкой об ознакомлении с правилами. Это требование ввёл Федеральный закон от 24.06.2025 № 156-ФЗ, дополнивший статью 9 152-ФЗ. Нарушение порядка получения согласия квалифицируется по части 2 статьи 13.11 КоАП РФ.

КатегорияШтраф, ₽
Физическое лицо10 000 – 15 000
Должностное лицо100 000 – 300 000
ИП100 000 – 300 000
Юридическое лицо300 000 – 700 000

Под эту же часть попадает частая ошибка cookie-баннеров: когда согласие на аналитические и рекламные cookies совмещено с общим согласием на обработку персональных данных. С сентября 2025 года такие согласия должны быть раздельными. Что должен содержать корректный баннер, разобрано в статье cookie-баннер и согласие.

Не подано уведомление в Роскомнадзор

Почти любой оператор персональных данных обязан до начала обработки подать уведомление в Роскомнадзор через портал pd.rkn.gov.ru. Неуведомление образует состав по части 10 статьи 13.11 КоАП РФ.

КатегорияШтраф, ₽
Физическое лицо5 000 – 10 000
Должностное лицо30 000 – 50 000
ИП30 000 – 50 000
Юридическое лицо100 000 – 300 000

Та же часть 10 применяется и при неуведомлении о трансграничной передаче данных: уведомление о ней подаётся отдельно и заранее, за 10 рабочих дней до начала передачи.

Нарушение локализации

Локализация представляет собой требование хранить первичную базу персональных данных граждан России на серверах внутри страны. Оно действует с 2015 года, но именно реформа 2025 года резко подняла санкции и приравняла ИП к юридическим лицам. Это редкий случай, когда индивидуальный предприниматель отвечает не как должностное лицо, а наравне с компанией.

КатегорияПервое нарушение (ч. 8), ₽Повтор за год (ч. 9), ₽
Физическое лицо30 000 – 50 00050 000 – 100 000
Должностное лицо100 000 – 200 000500 000 – 800 000
ИП1 000 000 – 6 000 0006 000 000 – 18 000 000
Юридическое лицо1 000 000 – 6 000 0006 000 000 – 18 000 000

Состав возникает только при фактическом сборе данных в зарубежную базу: через иностранные формы, CRM, рассылки, хостинг или платёжный процессинг. Передача за рубеж лишь технических данных (например, IP-адрес для шрифтов, CDN, captcha или карт) сама по себе состава локализации не образует. Кому именно касается требование и как проверить свой стек, разобрано в материале локализация по 242-ФЗ.

Утечка персональных данных

Самая дорогая часть статьи 13.11. После реформы 2025 года штраф за утечку зависит от числа пострадавших субъектов, а за повторную утечку введён оборотный штраф: процент от годовой выручки. Для ИП и юридических лиц суммы здесь измеряются миллионами.

СоставИП и юрлицо, ₽
Утечка 1 тыс. – 10 тыс. субъектов (ч. 12)3 000 000 – 5 000 000
Утечка 10 тыс. – 100 тыс. субъектов (ч. 13)5 000 000 – 10 000 000
Утечка более 100 тыс. субъектов (ч. 14)10 000 000 – 15 000 000
Повторная утечка (ч. 15, оборотный)20 000 000 – 500 000 000

Оборотный штраф по части 15 рассчитывается как 1–3% выручки за предыдущий год, но не менее 20 млн и не более 500 млн рублей. Для физических лиц эти составы тоже наказуемы, но в существенно меньших размерах: например, по части 12 это 100 000 – 200 000 ₽, по части 15 это 400 000 – 600 000 ₽. Отдельно закон требует уведомить Роскомнадзор об инциденте в течение 24 часов, а ФСТЭК в течение 72 часов.

Реклама без маркировки и ERID

Если на сайте размещена реклама (баннеры, интеграции, посевы, реклама чужих товаров и услуг), она подпадает под требования закона «О рекламе» (38-ФЗ): каждый креатив маркируется идентификатором ERID, проходит через оператора рекламных данных (ОРД), а данные о показах передаются в установленный срок. Нарушения этих обязанностей вынесены в статью 14.3 КоАП РФ.

Отсутствие ERID на рекламе

Отсутствие идентификатора рекламы (ERID) на интернет-рекламе образует состав по части 16 статьи 14.3 КоАП РФ.

КатегорияШтраф, ₽
Физическое лицо30 000 – 100 000
Должностное лицо100 000 – 200 000
ИП100 000 – 200 000
Юридическое лицо200 000 – 500 000

Для юридического лица повторное нарушение наказывается штрафом 500 000 – 1 000 000 ₽. Чтобы маркировка была корректной, нужен договор с ОРД и проведение креатива через него. Как устроен и как проверяется сам идентификатор, разобрано на странице про маркировку рекламы и ERID.

Несвоевременная передача данных в ОРД

Даже если креатив промаркирован, остаётся обязанность вовремя передавать данные о рекламе оператору: отчёт подаётся до 30 числа следующего месяца. Нарушение срока квалифицируется по части 15 статьи 14.3 КоАП РФ.

КатегорияШтраф, ₽
Физическое лицо10 000 – 30 000
Должностное лицо30 000 – 100 000
Юридическое лицо200 000 – 500 000

Две эти части часто путают между собой, хотя они про разное: часть 16 про отсутствие самой маркировки, часть 15 про несвоевременную передачу данных оператору. Нарушить можно как одну, так и обе сразу.

Почему таблицы не отвечают на главный вопрос

Свести штрафы в таблицу несложно. Сложнее понять, какие из этих составов применимы именно к вашему сайту. Список норм показывает потолок ответственности, но не говорит, есть ли у вас нарушение: стоит ли политика в открытом доступе, срабатывает ли аналитика до согласия, совмещены ли согласия в баннере, передаются ли данные в зарубежную базу, промаркирована ли реклама.

Практический порядок проверки выглядит так. Сначала проверьте обязательные документы: опубликована ли политика обработки персональных данных и ведёт ли на неё видимая ссылка. Затем разберитесь с согласиями: есть ли отдельное согласие на обработку данных из форм и раздельное согласие в cookie-баннере, не запускается ли аналитика до клика. Проверьте уведомление в Роскомнадзор: подано ли оно. Пройдитесь по сервисам на предмет локализации: где физически хранятся данные из форм, CRM и рассылок. И, если на сайте есть реклама, убедитесь, что креативы промаркированы и проходят через ОРД.

Каждый из этих пунктов представляет собой отдельный риск с собственной вилкой штрафа из таблиц выше. Проверить их вручную можно, но это требует знания, где искать сетевые запросы, как читать заголовки страницы и какие сервисы относятся к зарубежным.

Проверить это автоматически можно на странице проверки по 152-ФЗ: сканер пройдёт по сайту, найдёт расхождения с требованиями и покажет, под какой состав КоАП они подпадают и какая вилка штрафа за каждый. Это единственный способ перейти от общего списка сумм к конкретному ответу про ваш сайт.

Коротко

После реформы 2025 года штрафы за нарушения на сайте выросли, а по локализации и утечкам ИП отвечают наравне с компаниями. Самые частые и дорогие риски: отсутствие политики (часть 3 статьи 13.11), обработка без согласия (часть 1), нарушение порядка согласия и совмещённый cookie-баннер (часть 2), неуведомление РКН (часть 10), локализация в зарубежной базе (части 8 и 9) и отсутствие ERID на рекламе (часть 16 статьи 14.3). Размер штрафа всегда зависит от категории нарушителя, поэтому смотреть нужно не на одну цифру, а на всю вилку. А чтобы понять, какие из этих составов применимы к конкретному сайту, списка штрафов недостаточно: нужна проверка самого сайта.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ: основной материальный закон об обработке персональных данных (политика, согласие, уведомление РКН, локализация, меры защиты).
  • Федеральный закон от 30.11.2024 № 420-ФЗ: поправки в КоАП РФ, включая перенумерацию частей статьи 13.11, оборотные штрафы за утечки, выравнивание ИП под юрлицо для локализации и утечек (в силе с 30.05.2025).
  • Федеральный закон от 24.06.2025 № 156-ФЗ: поправки в статью 9 152-ФЗ, по которым согласие на обработку персональных данных оформляется отдельно от иных документов (в силе с 01.09.2025).
  • Федеральный закон «О рекламе» от 13.03.2006 № 38-ФЗ: материальный закон о маркировке интернет-рекламы и передаче данных оператору рекламных данных (ОРД).
  • КоАП РФ, статья 13.11 часть 1: обработка персональных данных без согласия или в случаях, не предусмотренных законом.
  • КоАП РФ, статья 13.11 часть 2: нарушение порядка получения согласия на обработку персональных данных (в том числе совмещение cookie-согласия с согласием на ПДн).
  • КоАП РФ, статья 13.11 часть 3: отсутствие политики обработки персональных данных в общем доступе.
  • КоАП РФ, статья 13.11 часть 8: нарушение требований о локализации персональных данных граждан РФ (первое); ИП отвечают как юридические лица.
  • КоАП РФ, статья 13.11 часть 9: повторное нарушение требований о локализации в течение года; ИП отвечают как юридические лица.
  • КоАП РФ, статья 13.11 часть 10: неуведомление Роскомнадзора об обработке персональных данных.
  • КоАП РФ, статья 13.11 часть 12: утечка персональных данных от 1 тыс. до 10 тыс. субъектов.
  • КоАП РФ, статья 13.11 часть 13: утечка персональных данных от 10 тыс. до 100 тыс. субъектов.
  • КоАП РФ, статья 13.11 часть 14: утечка персональных данных более 100 тыс. субъектов.
  • КоАП РФ, статья 13.11 часть 15: повторная утечка персональных данных (оборотный штраф 1–3% выручки, минимум 20 млн, максимум 500 млн рублей).
  • КоАП РФ, статья 14.3 часть 15: несвоевременная передача данных оператору рекламных данных (ОРД).
  • КоАП РФ, статья 14.3 часть 16: отсутствие идентификатора рекламы (ERID) на интернет-рекламе.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также