152-ФЗ для IT-компании в 2026 году: как избежать штрафов до 500 миллионов рублей

Время чтения: ~14 минут
Автор: Пушков Дмитрий Андреевич, юрист бюро юридической помощи Леганта Групп

Регулирование персональных данных в России в 2025–2026 годах изменилось радикально. Если раньше штрафы по 152-ФЗ были скорее символическими (до 300 000 руб.), то теперь это полноценные миллионные санкции, которые могут поставить под угрозу существование компании.

Ключевые изменения:

1. С 30 мая 2025 года действуют новые штрафы (Федеральный закон № 420-ФЗ от 30.11.2024). Размеры штрафов выросли в 5–50 раз по разным составам.

2. Введены оборотные штрафы за повторные утечки — 1–3% от годовой выручки, но не менее 20 млн руб. и не более 500 млн руб.

3. Уголовная ответственность за утечки введена с конца 2024 года. Лишение свободы до 10 лет — за отдельные составы.

4. С 28 декабря 2025 года действует ФЗ № 508-ФЗ — дополнительный пакет ужесточений.

5. Изменилась подсудность: с 2026 года такие дела рассматривают мировые судьи.

6. Первые штрафы за крупные утечки уже назначены. По данным «Гарант» от 23 марта 2026 года, действия операторов квалифицированы по новым частям ст. 13.11 КоАП РФ, начали выноситься реальные штрафы по новым правилам.

Почему IT-компании в особой зоне риска

IT-бизнес обрабатывает персональные данные по умолчанию — пользователи сервисов, клиенты b2b-платформ, сотрудники, контрагенты.

При этом IT-компании часто:

• используют облачные сервисы (включая зарубежные);
• собирают данные через формы и API;
• передают данные между странами;
• используют системы аналитики (трекеры, cookies);
• интегрируются с десятками сервисов через API;
• не имеют выделенного юриста по защите данных.

Любая из этих особенностей — потенциальный риск миллионного штрафа.

Бесплатный экспресс-аудит соответствия IT-компании 152-ФЗ. Юристы Леганта Групп проверят 12 ключевых требований и выдадут письменное заключение с расчётом потенциальных штрафов за 1–2 рабочих дня. → [Записаться на аудит]

По ст. 3 152-ФЗ оператор персональных данных — это любое лицо, которое:

• организует или осуществляет обработку персональных данных;
• определяет цели и состав обрабатываемых данных;
• принимает решения о действиях с этими данными.

Что такое персональные данные

Любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. На практике это:

• ФИО, паспортные данные;
• адрес электронной почты, номер телефона;
• IP-адрес (в соответствии с позицией Роскомнадзора и судов);
• cookies, идентификаторы устройств;
• платёжные данные, номера карт;
• биометрия (фото, голос, отпечатки);
• геолокация;
• данные о поведении пользователя на сайте (для определяемого пользователя);
• профили в соцсетях, аккаунты в сервисах.

Почему любая IT-компания — оператор

Случай 1. Вы делаете SaaS-сервис. Пользователи регистрируются через email — вы оператор.

Случай 2. Вы делаете мобильное приложение. Пользователи входят через Google/Apple — вы оператор (даже если данных «по минимуму»).

Случай 3. Вы делаете b2b-сервис. Клиенты — компании, но в админках сидят их сотрудники с ФИО и email — вы оператор.

Случай 4. Вы фриланс-разработчик с одним сайтом-визиткой и формой обратной связи — вы оператор.

Случай 5. У вас нет сайта, но в Excel-файле клиентская база — вы оператор.

Случай 6. Вы IT-аутсорсер и обрабатываете данные клиентов своих заказчиков — вы оператор по поручению (это отдельный статус, требующий своих документов).

Категории обрабатываемых данных и риски

Обычные ПД (ФИО, телефон, email): базовые требования, средние штрафы.

Специальные ПД (расовая принадлежность, политические взгляды, состояние здоровья, религиозные убеждения, интимная жизнь): жёсткие требования, повышенные штрафы. Согласие — только в письменной форме.

Биометрические ПД (фото лица, голос, отпечатки, сканы радужки): максимальный режим защиты, отдельная регистрация в Единой биометрической системе.

ПД несовершеннолетних: дополнительные требования по согласию родителей.

IT-компании часто работают со специальными и биометрическими ПД, не осознавая этого:

• сервисы знакомств и социальные сети — специальные ПД (вкусы, ориентация, интересы);
• HR-tech и медтех — состояние здоровья, биометрия;
• финтех с верификацией KYC — биометрия;
• образовательные платформы для детей — ПД несовершеннолетних.

Таблица актуальных штрафов по ст. 13.11 КоАП РФ для юридических лиц.

Базовые нарушения

Обработка ПД без согласия или с нарушением требований к согласию (ч. 2 ст. 13.11):

• юридические лица: от 300 000 до 700 000 руб. (первое нарушение);
• повторное нарушение: от 1 000 000 до 1 500 000 руб.

Невыполнение оператором обязанности по опубликованию политики обработки ПД (ч. 3 ст. 13.11):

• юридические лица: от 30 000 до 60 000 руб.;

Невыполнение оператором обязанностей по обеспечению защиты ПД (ч. 6 ст. 13.11):

• юридические лица: от 50 000 до 100 000 руб.;

Невыполнение требований по локализации (ч. 8 ст. 13.11)
Самая громкая категория для IT-компаний. Все ПД граждан РФ должны храниться на серверах, физически расположенных в России.

• юридические лица: от 1 000 000 до 6 000 000 руб. (первое нарушение);
• повторное: от 6 000 000 до 18 000 000 руб. — отсюда и популярная формулировка «штраф до 18 млн».

Неуведомление Роскомнадзора (ч. 10 ст 13.11)
Самое массовое нарушение в IT-секторе. Операторы обязаны до начала обработки ПД подать уведомление в Роскомнадзор.

• неуведомление: для юрлиц до 300 000 руб.;
• неуведомление с нарушением прав субъектов: повышенные суммы.

Утечки персональных данных — новая категория с 30 мая 2025

Вот где появились главные риски. Размер штрафа зависит от объёма утечки.

Первая утечка обычных ПД:

Утечка специальных или биометрических ПД:

• юридические лица: от 15 000 000 до 20 000 000 руб.

Оборотные штрафы за повторную утечку

Это самый страшный сценарий для IT-компании.

При повторной утечке:

• штраф составляет от 1% до 3% совокупного размера годовой выручки за предшествующий календарный год;
• но не менее 20 000 000 руб.;
• и не более 500 000 000 руб.

То есть для крупной IT-компании с годовой выручкой 5 млрд руб. повторная утечка обойдётся в 150 млн руб. За одно событие.

Что считается одной утечкой

Это критичный вопрос, по которому начала формироваться практика. Одно событие — это компрометация одной информационной системы или одной базы данных в один временной интервал. Но если в результате одной хакерской атаки скомпрометировано несколько систем — это может быть квалифицировано как несколько событий, и штрафы умножаются.

Для крупных компаний с распределёнными системами один инцидент с теоретическим максимумом по штрафам может приближаться к нескольким сотням миллионов рублей.

Это главный шок 2025 года. Раньше за утечку грозили только административные штрафы. Теперь — уголовная ответственность для конкретных физлиц: руководителя, ответственного за обработку ПД, ИТ-директора.

Состав преступления (ст. 272.1 УК РФ)

«Незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путём неправомерного доступа».

Санкции

Базовый состав: штраф до 300 000 руб. или принудительные работы до 4 лет, или лишение свободы до 4 лет.

При особо крупном масштабе или групповом совершении: лишение свободы до 10 лет со штрафом до 2 млн руб.

Кому грозит лично

В первую очередь:

• руководителю компании-оператора;
• ответственному за обработку ПД (если назначен);
• ИТ-директору, директору по безопасности;
• системным администраторам с привилегированным доступом;
• разработчикам, имевшим доступ к продуктивным базам.

Что делает уголовку реальной угрозой

1. Связь с административными штрафами. Если по результатам утечки выписан штраф 15 млн руб. — это автоматически крупный материальный ущерб, и уголовное дело становится почти неизбежным.

2. Активная позиция Роскомнадзора и СК. Регулятор передаёт материалы в правоохранительные органы по фактам крупных утечек.

3. Суды относятся серьёзно. Первые дела по новой статье уже идут — практика формируется в сторону реальных сроков.

Защита руководителя

Грамотная правовая инфраструктура — главная защита:

• документально подтверждённые меры защиты ПД;
• регулярный аудит соответствия 152-ФЗ;
• обучение сотрудников и фиксация прохождения;
• внутренние процедуры реагирования на инциденты;
• разделение ответственности через локальные акты.

При наличии всего этого даже при утечке у руководителя есть аргументы об отсутствии умысла или халатности.

По данным Роскомнадзора, в IT-секторе одинаково повторяются 12 типовых нарушений.

1. Не подано уведомление в Роскомнадзор

Базовая обязанность каждого оператора. Штраф — до 300 000 руб. Это самое массовое нарушение IT-стартапов. Узнать о пропуске — за 1 минуту: проверьте свой ИНН в реестре операторов на сайте Роскомнадзора.

2. Отсутствует политика обработки ПД на сайте

По ст. 18.1 152-ФЗ политика обязательна и должна быть доступна неограниченному кругу лиц. Размещение в подвале сайта со ссылкой — стандартная практика.

3. Неправильное согласие на обработку

Типовые ошибки:

• не выделено отдельно от пользовательского соглашения;
• не указаны конкретные цели обработки;
• не указаны категории получателей;
• объединено согласие на обработку и согласие на маркетинговую рассылку (это два разных согласия!);
• галочка проставлена по умолчанию.

С 1 сентября 2025 года Роскомнадзор ужесточил требования к форме согласия — об этом ниже отдельный раздел.

4. Хранение данных за пределами России

Базы на AWS, Google Cloud, Azure без российского зеркала — прямое нарушение ч. 5 ст. 18 152-ФЗ. Штраф 1–6 млн руб. (до 18 млн при повторе).

5. Передача данных третьим лицам без правовых оснований

Интеграции с десятками сервисов (CRM, рассылки, аналитика, чат-боты) — это передача ПД. Требует:

• наличия согласия пользователя;
• договора с передатчиком данных (поручение оператора по ст. 6 152-ФЗ);
• обеспечения защиты на стороне получателя.

6. Использование иностранных сервисов аналитики

Google Analytics, Facebook Pixel, Meta Ads — это передача ПД иностранным операторам в недружественные юрисдикции. Требует отдельного уведомления Роскомнадзора и наличия правовых оснований. Без них — штраф.

7. Хранение ПД дольше необходимого

ПД должны уничтожаться по достижении целей обработки или по требованию субъекта. Многие IT-компании держат ПД годами после прекращения отношений с пользователем — это нарушение принципов обработки.

8. Отсутствие документации по защите ПД

Помимо политики, нужны:

• положение об обработке персональных данных;
• положение об организации работы с ПД;
• приказ о назначении ответственного;
• журнал учёта согласий;
• журнал учёта обращений субъектов;
• журнал учёта мест хранения и передачи.

9. Не назначен ответственный за обработку ПД

По ст. 18.1 152-ФЗ обязательно назначение ответственного. Это может быть штатный сотрудник или внешнее лицо по договору.

10. Отсутствие технической защиты

Согласно постановлению Правительства РФ № 1119 и приказу ФСТЭК № 21, требуется техническая защита ПД, включающая:

• разграничение доступа;
• средства защиты от несанкционированного доступа;
• антивирусную защиту;
• криптографическую защиту (для определённых уровней защищённости);
• регулярное резервное копирование;
• логирование действий.

11. Несвоевременное уведомление Роскомнадзора об инциденте

С 2024 года при утечке оператор обязан уведомить Роскомнадзор:

• в течение 24 часов — о факте инцидента;
• в течение 72 часов — о результатах внутренней проверки.

Несоблюдение сроков — самостоятельное нарушение.

12. Биометрия без регистрации в ЕБС

С 2023 года любое использование биометрических ПД требует регистрации информационной системы оператора в Единой биометрической системе. IT-компании, использующие распознавание лиц, голоса, отпечатков, обязаны соответствовать.

Это первое и обязательное действие любого оператора ПД. Без уведомления вся обработка считается незаконной автоматически.

Кому нужно уведомлять

Всем операторам, кроме нескольких узких исключений (обработка только в кадровых целях своих сотрудников при минимальном объёме, обработка по договору без передачи третьим лицам и др.). Для IT-компании исключения практически не работают.

Что включить в уведомление

1. Наименование оператора, ИНН, ОГРН, адрес.
2. Цели обработки ПД.
3. Категории субъектов и обрабатываемых ПД.
4. Правовое основание обработки.
5. Описание мер по обеспечению безопасности.
6. Сведения об ответственном за обработку.
7. Сведения о трансграничной передаче (если есть).
8. Сведения о месте обработки и хранения.

Как подать

Через личный кабинет на сайте Роскомнадзора (rkn.gov.ru). Подача занимает 30–60 минут при готовых данных.

Срок рассмотрения — 30 дней. После регистрации компания вносится в Реестр операторов персональных данных.

Изменения в обработке

При любом изменении состава обрабатываемых ПД, целей, категорий получателей — нужно подать уточняющее уведомление в течение 15 рабочих дней.

Реальные штрафы 2026 года

В первом квартале 2026 года Роскомнадзор активно проверяет реестр и выявляет операторов, работающих без уведомления. По таким случаям выписываются протоколы — суды активно их утверждают.

Регистрация оператора ПД в Роскомнадзоре под ключ. Юристы Леганта Групп заполняют и подают уведомление, готовят все обязательные документы, помогают пройти проверку РКН без замечаний. → [Заказать регистрацию]

Это требование часто становится главной головной болью IT-компаний.

Что говорит закон

По ч. 5 ст. 18 152-ФЗ при сборе ПД, в том числе через сеть Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ.

Что это значит на практике

Можно:

• использовать российские облачные сервисы (Yandex Cloud, VK Cloud, Selectel и др.);
• использовать собственный сервер в дата-центре в РФ;
• использовать гибридную архитектуру с обязательной первичной записью в РФ.

Нельзя:

• хранить «первичную» базу ПД граждан РФ за рубежом (включая AWS, GCP, Azure без российских регионов);
• собирать ПД сразу в иностранную базу с последующим «копированием» в РФ;
• использовать иностранные SaaS-сервисы в качестве основной базы данных пользователей.

Допустимая трансграничная передача

Передача ПД за рубеж возможна — но при соблюдении:

1. Уведомления Роскомнадзора о намерении трансграничной передачи (отдельная форма).
2. Адекватного уровня защиты в стране-получателе. Список «адекватных» стран ведёт Роскомнадзор.
3. Письменного согласия субъекта — обязательно для передачи в страны без адекватной защиты.
4. Отсутствия запретов Роскомнадзора по конкретной передаче.

Особый случай: «недружественные» юрисдикции

С 2022 года в недружественные страны (США, ЕС, Великобритания и т.д.) трансграничная передача требует особого внимания. Роскомнадзор может запретить конкретную передачу мотивированным решением.

Практические сценарии для IT-компании

Сценарий 1: SaaS только для России. Решение: все базы — в Yandex Cloud, VK Cloud или собственном сервере в РФ. Никаких иностранных DB.

Сценарий 2: Глобальный SaaS с пользователями в РФ. Решение: гибридная архитектура. Первичная запись данных российских пользователей — в РФ. Дальнейшая обработка может быть распределённой при соблюдении трансграничной передачи.

Сценарий 3: Использование иностранных аналитических сервисов. Решение: либо отказ от них, либо обеспечение «псевдонимизации» (передаются обезличенные данные, не позволяющие идентифицировать пользователя). Каждый случай — индивидуальное правовое решение.

Сценарий 4: Бэкапы и реплики за рубежом. Решение: бэкапы на иностранных серверах допустимы при условии, что первичная запись и основная обработка — в РФ. Но требует уведомления о трансграничной передаче.

Это самая частая зона нарушений. С 2024–2025 годов требования к форме согласия резко ужесточились.

Базовые требования

По ст. 9 152-ФЗ согласие должно быть:

• конкретным — указаны конкретные цели обработки;
• информированным — субъект понимает, что подписывает;
• сознательным — осознанное действие, а не механический клик;
• доказуемым — оператор должен доказать факт получения согласия.

Что должно быть в согласии

1. ФИО и адрес субъекта (или иной идентификатор).
2. Наименование оператора, его ИНН и адрес.
3. Цели обработки.
4. Категории обрабатываемых ПД.
5. Перечень действий с ПД.
6. Срок действия согласия.
7. Способ отзыва согласия.
8. Дата и подпись (для письменной формы) или электронная подпись.

Изменения с 1 сентября 2025

1. Согласие должно быть отделено от иных документов (пользовательское соглашение, оферта, публичная политика). Один документ = одно согласие.

2. Запрещено объединять разные цели в одном согласии. Если вы собираете ПД и для регистрации, и для рассылки — нужно два согласия.

3. Запрещены «галочки по умолчанию». Чекбокс должен быть обязательно проставлен пользователем активно.

4. Возможность отзыва должна быть явной. Не только в политике — но и непосредственно в форме согласия.

5. Особые требования для специальных и биометрических ПД — только в письменной (электронно-цифровой) форме с усиленной подписью.

Типовые ошибки IT-компаний

Ошибка 1: «Регистрируясь, вы соглашаетесь с условиями». Это не отдельное согласие на ПД — это согласие на оферту. Не годится.

Ошибка 2: Один чекбокс на все цели. «Согласен на обработку ПД и получение маркетинговых сообщений» — это два разных согласия, нужно два чекбокса.

Ошибка 3: Отсутствие даты и времени получения согласия в логах. При проверке Роскомнадзора нужно показать конкретный момент: когда, с какого IP, в какой форме субъект дал согласие. Без логов — нечем доказать.

Ошибка 4: Молчаливое согласие. Регистрация = автоматическое согласие на маркетинг. Это незаконно.

Ошибка 5: Невозможность отзыва. Если в форме согласия нет ясного указания, как отозвать согласие — это нарушение.

Хранение согласий

Согласия должны храниться весь срок обработки ПД + 3 года после окончания обработки. В электронной форме — с метаданными (дата, время, IP, метод подтверждения). При проверке Роскомнадзора оператор обязан предъявить конкретное согласие конкретного субъекта по запросу.

Утечка — самый страшный сценарий по 152-ФЗ. От правильности действий в первые 24 часа зависит, отделаетесь ли вы базовым штрафом или попадёте под максимум.

Час 0: обнаружение инцидента

Источники обнаружения утечки:

• сообщение от пользователя;
• мониторинг внешних угроз (упоминания базы в darknet, телеграм-каналах);
• обнаружение собственной службой безопасности;
• сообщение от подрядчика (хостинга, провайдера);
• запрос от Роскомнадзора или СМИ.

С момента обнаружения — счётчик пошёл.

Часы 1–6: первичные действия

1. Зафиксировать инцидент. Письменно — что, когда, где обнаружено, кто видел.

2. Изолировать пострадавшую систему. Отключить от внешнего доступа, заморозить состояние для криминалистического анализа. Не удалять следы и логи.

3. Привлечь юриста по персональным данным. Это критично — каждое следующее действие должно быть юридически выверено.

4. Привлечь технического эксперта для оценки масштаба утечки — какие данные, сколько субъектов, как давно скомпрометированы.

5. Уведомить руководство. Принятие решений о масштабных мерах требует личного участия CEO/собственника.

Часы 6–24: обязательные уведомления

1. Уведомление Роскомнадзора в течение 24 часов — это ОБЯЗАТЕЛЬНО.

В уведомление включается:

• предположительные причины утечки;
• предположительный масштаб (сколько субъектов, какие категории ПД);
• меры, предпринятые для прекращения утечки;
• меры по уменьшению последствий;
• контактное лицо для дальнейшего взаимодействия.

Подача — через личный кабинет на сайте РКН.

2. Внутреннее расследование. Параллельно с уведомлением начинается полноценное расследование инцидента: технические эксперты, опрос сотрудников, восстановление хронологии.

Часы 24–72: углублённое реагирование

3. Уведомление Роскомнадзора в течение 72 часов — о результатах внутренней проверки.

Указываются:

• подтверждённые причины утечки;
• точный масштаб;
• принятые меры по защите субъектов;
• меры по предотвращению повторного инцидента.

4. Уведомление субъектов ПД. Закон не всегда требует прямого уведомления каждого субъекта, но это необходимая мера, особенно если утечка может привести к финансовому ущербу. Уведомление через email, push, СМС.

5. Сотрудничество со СК и МВД при возможной хакерской атаке. Подача заявления о преступлении — это и защитная мера для руководителя (показывает, что компания добросовестно ищет виновных).

Стратегические действия после 72 часов

Юридический контроль:

• подготовка позиции для проверки Роскомнадзором;
• сбор доказательств добросовестности компании (внедрённые меры защиты, обучение, аудит);
• защита от уголовного преследования руководителя.

PR-управление:

• публичные сообщения для пострадавших;
• работа со СМИ;
• работа с пользователями для предотвращения паники.

Технические меры:

• закрытие уязвимостей;
• усиление контроля доступа;
• внедрение дополнительных средств мониторинга.

Что определяет размер штрафа
При определении размера штрафа Роскомнадзор и суд оценивают:

1. Своевременность уведомлений — пропуск сроков увеличивает штраф.
2. Добросовестность оператора — наличие политики, технических мер, обучения.
3. Реакцию на инцидент — насколько быстро и эффективно отреагировал.
4. Объём утечки — определяет базовую категорию штрафа.
5. Категории данных — обычные/специальные/биометрические.
6. Повторность — здесь начинают работать оборотные штрафы.

Грамотная работа в первые 24 часа может снизить штраф в 3–5 раз против максимума.

Сопровождение инцидента с утечкой ПД 24/7. Юристы Леганта Групп выезжают на место, координируют уведомления Роскомнадзора, готовят защитную позицию. → [Получить экстренную консультацию]

152-ФЗ в 2026 году — это не «галочка для соответствия», а реальный регуляторный риск, способный привести компанию к банкротству. С введением оборотных штрафов до 500 млн руб. и уголовной ответственности до 10 лет персональные данные перестали быть второстепенной темой.

Хорошая новость: большинство нарушений можно устранить за 1–2 месяца при правильной работе с правовой инфраструктурой. И это в разы дешевле, чем устранять последствия утечки.

Минимальный план действий для IT-компании:

1. Эта неделя. Проверить наличие в Реестре операторов ПД. Если нет — подать уведомление.
2. Этот месяц. Аудит политики, согласий, договоров с подрядчиками. Закрытие очевидных пробелов.
3. Следующие 2 месяца. Разработка полного комплекта документации. Внедрение технических мер защиты.
4. Постоянно. Регулярный аудит (раз в год), обучение сотрудников, мониторинг изменений законодательства.

Юристы «Леганта Групп» специализируются на защите персональных данных и IT-праве на всей территории Российской Федерации. Мы:

• проводим экспресс-аудит соответствия IT-компании требованиям 152-ФЗ;
• регистрируем операторов в Роскомнадзоре «под ключ»;
• разрабатываем индивидуальный комплект документации (политики, положения, согласия, регламенты);
• сопровождаем проверки Роскомнадзора;
• ведем дела о нарушениях 152-ФЗ в судах и в рамках КоАП;
• защищаем руководителей от уголовной ответственности при утечках;
• работаем круглосуточно при инцидентах с персональными данными;
• предлагаем абонентское обслуживание IT-компаний по 152-ФЗ.

Бесплатная консультация юриста по 152-ФЗ — 30 минут с экспертом по защите персональных данных.

[Записаться на консультацию] | [Позвонить: +7 (XXX) XXX-XX-XX] | [Написать в WhatsApp]


Статья носит информационный характер и не заменяет индивидуальную юридическую консультацию. По состоянию на май 2026 года.

Источники: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции от 24.06.2025), Федеральный закон от 30.11.2024 № 420-ФЗ, Федеральный закон от 28.12.2025 № 508-ФЗ, Кодекс РФ об административных правонарушениях (ст. 13.11), Уголовный кодекс РФ (ст. 272.1), Постановление Правительства РФ № 1119, Приказ ФСТЭК России № 21, материалы официального сайта Роскомнадзора.