Ответственность за незаконный оборот персональных данных в 2026 году
Ответственность за незаконный оборот персональных данных в 2026 году
Если компания потеряет базу клиентов из-за взлома или сотрудника-инсайдера, цена ошибки теперь измеряется не репутацией, а реальными миллионами рублей и сроком лишения свободы. С 30 мая 2025 года заработали кратно повышенные штрафы за утечки, а с 11 декабря 2024 года действует отдельная уголовная статья 272.1 УК РФ. Ответственность за персональные данные перестала быть формальностью. Ниже актуальная картина 2026 года по конкретным составам и суммам.
Изменения внесли сразу два закона, принятые в один день. Федеральный закон от 30.11.2024 № 420-ФЗ ужесточил административные штрафы по статье 13.11 КоАП РФ, а Федеральный закон от 30.11.2024 № 421-ФЗ ввёл уголовную статью 272.1 УК РФ. Дальше о том, что именно грозит бизнесу и гражданам.
Административная ответственность по ст. 13.11 КоАП РФ
Штрафы за обработку и утечку данных регулирует статья 13.11 КоАП РФ. После поправок 420-ФЗ, действующих с 30 мая 2025 года, она содержит десятки составов с резко выросшими суммами.
За обработку персональных данных без согласия субъекта или с нарушением требований к согласию штраф для граждан составляет от 6 000 до 10 000 рублей, для должностных лиц от 20 000 до 100 000 рублей, для юридических лиц от 300 000 до 700 000 рублей. При повторном нарушении штраф для компании достигает от 1 000 000 до 1 500 000 рублей.
Отдельно с 2025 года появились составы за саму утечку (неправомерную передачу) персональных данных. Для юридических лиц размеры зависят от масштаба инцидента:
- утечка данных от 1 000 до 10 000 субъектов: от 3 000 000 до 5 000 000 рублей;
- от 10 000 до 100 000 субъектов: от 5 000 000 до 10 000 000 рублей;
- более 100 000 субъектов: от 10 000 000 до 15 000 000 рублей;
- утечка специальных категорий или биометрических данных: от 10 000 000 до 15 000 000 рублей (по ряду составов до 20 000 000 рублей).
Оборотные штрафы за повторную утечку
Самая жёсткая мера это оборотный штраф за повторную утечку. Если компания допустила утечку повторно, штраф рассчитывается как от 1 до 3% совокупного размера выручки за предшествующий календарный год.
При этом установлены жёсткие границы: не менее 20 000 000 или 25 000 000 рублей (в зависимости от состава) и не более 500 000 000 рублей. Для крупного бизнеса оборотная санкция способна превысить любой фиксированный штраф, поэтому повторные инциденты особенно опасны.
Отдельный состав это неуведомление Роскомнадзора об утечке в установленный срок. За это юридическому лицу грозит штраф от 1 000 000 до 3 000 000 рублей. То есть молчание после инцидента наказывается само по себе, независимо от штрафа за саму утечку.
Уголовная ответственность по ст. 272.1 УК РФ
Федеральный закон от 30.11.2024 № 421-ФЗ ввёл в Уголовный кодекс статью 272.1, вступившую в силу 11 декабря 2024 года. Она наказывает за незаконные использование, передачу, сбор и хранение компьютерной информации с персональными данными, полученными неправомерно, а также за создание и работу ресурсов для незаконного хранения и распространения таких данных.
Базовый состав (часть 1) предусматривает штраф до 300 000 рублей либо лишение свободы на срок до 4 лет. Если речь идёт о данных несовершеннолетних, специальных категориях или биометрии (часть 2), срок доходит до 5 лет. При корыстном мотиве, крупном ущербе, совершении организованной группой или с использованием служебного положения (часть 3) грозит до 6 лет лишения свободы и штраф до 1 000 000 рублей.
Наиболее тяжкие составы наказываются строже всего. За трансграничную передачу незаконно полученных данных (часть 4) грозит до 8 лет, а при тяжких последствиях или совершении преступным сообществом (часть 5) до 10 лет лишения свободы со штрафом до 3 000 000 рублей. Торговля «слитыми» базами стала самостоятельным преступлением.
Что именно под запретом
Под уголовный и административный запрет подпадают конкретные действия. Создание и продажа баз данных с персональными данными, собранными без согласия субъектов. Использование, покупка и распространение «слитых» баз из утечек. Передача персональных данных третьим лицам без законного основания. Сбор биометрии без надлежащего согласия и вне аккредитованных систем.
Ответственность наступает не только у того, кто организовал утечку, но и у того, кто скачал, купил или использовал чужую базу. Для бизнеса это означает, что «найденные в интернете» контактные базы для рассылок ведут прямиком к статье 272.1 УК РФ.
Как защититься компании
Если утечка всё же произошла, главное это скорость реакции. По статье 21 Закона от 27.07.2006 № 152-ФЗ оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов с момента его обнаружения, а в течение 72 часов сообщить о результатах внутреннего расследования.
Дальнейший алгоритм такой:
- провести внутреннее расследование, зафиксировать причины и масштаб утечки;
- уведомить пострадавших субъектов персональных данных;
- устранить уязвимость и усилить меры технической защиты.
Своевременное уведомление регулятора и принятые меры по устранению последствий учитываются как смягчающие обстоятельства при назначении штрафа. Сокрытие инцидента, наоборот, грозит отдельным штрафом и переводит ситуацию в разряд отягчающих.
Как защититься физлицу, ставшему жертвой утечки
Если вы подозреваете, что ваши данные оказались в открытом доступе, начните с проверки. Существуют сервисы, проверяющие email и телефон по базам известных утечек. Стоит сменить пароли и включить двухфакторную аутентификацию на ключевых аккаунтах.
При обнаружении своих данных вы вправе направить оператору требование удалить их и уведомить Роскомнадзор о нарушении. Если данные использовали мошенники (оформили кредит, вывели деньги), подавайте заявление в полицию, а при наличии убытков гражданский иск к оператору-источнику утечки о возмещении вреда. Компенсацию морального вреда суд может присудить и без доказанного имущественного ущерба.
Частые вопросы
Какой максимальный штраф за утечку персональных данных в 2026 году?
За первичную утечку более 100 000 субъектов юридическому лицу грозит до 15 000 000 рублей (по специальным категориям данных до 20 000 000). За повторную утечку применяется оборотный штраф от 1 до 3% годовой выручки, но не более 500 000 000 рублей.
Когда наступает уголовная ответственность по ст. 272.1 УК РФ?
Когда лицо незаконно использует, передаёт, собирает или хранит персональные данные, заведомо полученные неправомерным путём, либо создаёт ресурсы для их распространения. Наказание варьируется от штрафа до 300 000 рублей до 10 лет лишения свободы по наиболее тяжким составам.
В какой срок нужно уведомить Роскомнадзор об утечке?
По статье 21 Закона № 152-ФЗ в течение 24 часов с момента обнаружения инцидента, а о результатах внутреннего расследования в течение 72 часов. За неуведомление предусмотрен отдельный штраф для юрлица от 1 000 000 до 3 000 000 рублей.
Грозит ли ответственность за использование чужой «слитой» базы?
Да. Покупка, скачивание и использование незаконно полученных баз персональных данных подпадают под статью 272.1 УК РФ наравне с организацией утечки. «Найденные в интернете» базы для рассылок это уголовный риск, а не маркетинговый инструмент.
Кто подготовил материал
Статья подготовлена редакцией сервиса «Юрист» и проверена на соответствие действующему законодательству РФ по состоянию на июнь 2026 г.. Материал носит информационно-справочный характер и не заменяет персональную консультацию юриста: в конкретной ситуации могут действовать особенности, которые важно учесть.