Штрафы по закону о персональных данных — 7 причин и советы, как бизнесу обезопасить себя

За последний год размеры штрафов за нарушение работы с персданными увеличились в некоторых случаях более чем в два раза, а также появились новые признаки нарушений. Мы изучили судебную практику, чтобы лучше понять, какие нарушения сейчас больше всего привлекают внимание надзорного органа и кто — в наибольшей зоне риска:

• В чем суть закона о персональных данных: наказание и штрафы

• За что штрафуют бизнес по закону о персональных данных — анализ кейсов

• В каких случаях штрафуют реже

• Кто находится в наибольшей зоне риска

• 7 причин, почему компании не справляются с обработкой персональных данных

• Что делать бизнесу, чтобы не получить штраф

В чем суть закона о персональных данных: наказание и штрафы

Федеральный закон № 152-ФЗ «О персональных данных» регулирует:

• обработку персональных данных;

• обязанности оператора;

• права субъектов;

• иные отношения, вытекающие из такой обработки.

Санкции за нарушение закона находятся отдельно — в статье 13.11 КоАП РФ. Они зависят:

• от характера нарушения;

• от его масштаба;

• от повторности;

• от категории нарушителя: гражданин, должностное лицо, ИП или юридическое лицо.

Также некоторые санкции указаны в Уголовном кодексе. Но мы поговорим именно про административные правонарушения — как наиболее обсуждаемые и часто встречающиеся.

Какое ведомство регулирует закон. Контроль за исполнением лежит на Роскомнадзоре, который:

• проводит проверки онлайн-ресурсов;

• делает профилактические визиты;

• делает плановые и внеплановые проверки;

• реагирует на обращения субъектов персональных данных.

За что штрафуют бизнес по закону о персональных данных — анализ кейсов

Мы изучили 62 судебных акта по ст. 13.11 КоАП РФ, посвященной нарушениям в области персональных данных.

Задачи исследования:

• выявить статистику нарушений;

• понять логику регулятора;

• помочь бизнесу избежать наиболее частых ошибок;

• показать, что privacy-функция в организации — уже не перестраховка, а реальная необходимость.

Анализ показал: 53 решения вынесены в пользу надзорного органа или субъекта персональных данных. Шесть актов — в пользу оператора.

Ниже — сводная таблица, где можно увидеть, какие нарушения наиболее частые и как они выявляются.

Разберем особенности этих нарушений:

• Данные клиента обработаны без его согласия

• Согласие клиента на обработку персональных данных взято не в письменном виде

• Политика конфиденциальности не опубликована или нет доступа к ней

• Требование клиента об уточнении персональных данных, блокировке или уничтожении проигнорировано

• Не подано уведомление в РКН о намерении обрабатывать данные

Данные клиента обработаны без его согласия

По итогам исследования лидирует ч. 1 ст. 13.11 КоАП РФ, именно она охватывает наибольшее количество нарушений. В частности, к ней относятся:

1. Обработка персональных данных без правового основания. Например:

   1. нет согласия при сборе данных через сайт;

   2. нет cookie-баннера, который предупреждает пользователя о сборе данных.

2. Обработка, несовместимая с заявленными целями, а также избыточный сбор данных. Например, сбор для оформления заявки, на деле — направление рассылок.

3. Распространение персональных данных без согласия субъекта. Например, публикация в открытом доступе отзыва, где числятся данные субъекта — без его согласия.

4. Утечка персональных данных в небольших объемах (до 1000 субъектов). При больших объемах утечки применяются части 12–18 ст. 13.11 КоАП РФ, штраф по которым составляет от 3 млн до 500 млн рублей для юридических лиц. ИП, по большей части, за нарушения, закрепленные в ст. 13.11, несут ответственность как юридические лица.

Ниже — примеры таких дел.

Согласие клиента на обработку персональных данных взято не в письменном виде

Ч. 2 ст. 13.11 КоАП РФ устанавливает ответственность за несоблюдение требований к письменной форме согласия на обработку персональных данных. Эта часть касается именно случаев, когда закон требует получения письменного согласия. Оно может быть оформлено как на бумаге, так и в электронной форме. При этом обязанность использовать письменную форму возникает в пяти определенных законом случаях:

• обработка биометрических персональных данных;

• обработка специальных категорий персональных данных;

• обработка персональных данных исключительно автоматизированным способом, по итогам которого принимается юридически значимое решение;

• передача персональных данных работника третьим лицам;

• включение персональных данных в общедоступные источники.

Судебных дел по этому нарушению не так много. Тем не менее размер санкций даже за точечное нарушение внушительный:

• для юридических лиц при первом нарушении — от 300 000 до 700 000 рублей;

• для юрлиц при повторном нарушении — от 1 млн до 1,5 млн рублей.

Не опубликована политика конфиденциальности или нет доступа к ней

Ч. 3 ст. 13.11 КоАП РФ предусматривает ответственность за неопубликование политики конфиденциальности либо необеспечение оператором доступа к ней.

Ключевая проблема на практике — формальный подход к размещению документа. Частые ошибки операторов:

1. Размещение политики не на видном месте, например, в малозаметных элементах интерфейса, неочевидных разделах, из-за чего Роскомнадзор при проверке или пользователь могут не обнаружить документ.

2. Отсутствие ссылки на политику на всех страницах сайта. Сбор cookie-файлов технически осуществляется на каждой странице сайта, поэтому возможность ознакомиться с условиями обработки также должна быть на каждой из них.

3. Некорректная работа ссылки (в том числе ошибка «404»), что считается отсутствием доступа к документу. Оператору важно контролировать доступность документа и исправность ссылки на него.

Проигнорировано требование клиента об уточнении персональных данных, блокировке или уничтожении

Ч. 4 и 5 ст. 13.11 КоАП РФ. Суть нарушения — игнорирование требования субъекта об уточнении персональных данных, их блокировании или уничтожении персональных данных, неполный или ненаправленный ответ.

Здесь оператору важно оперативно и корректно реагировать на поступающие запросы субъектов персональных данных. На практике проблемы часто возникают, если:

• оператор нарушил сроки ответа на запрос пользователя;

• оператор предоставил неполный ответ;

• оператор не выполнил или несвоевременно выполнил просьбу субъекта (например, уничтожить персональные данные, прекратить обработку).

В связи с этим оператору важно грамотно выстроить внутренние процессы обработки обращений:

• фиксировать сроки;

• контролировать полноту ответов;

• исполнять требования субъекта.

Иначе дальше субъект персональных данных обратится в Роскомнадзор.

Не подано уведомление в РКН о намерении обрабатывать данные

Ч. 10 ст. 13.11 КоАП РФ. Часто Роскомнадзор сначала выписывает предупреждение с требованием подать уведомление, а уже при неисполнении требования может последовать штраф, который составляет от 100 000 до 300 000 рублей для юридических лиц.

В каких случаях штрафуют реже

Мы не выявили кейсов по следующим двум частям ст. 13.11 КоАП РФ (не считая частей, отвечающих за повторное нарушение):

• ч. 11: неуведомление РКН об утечке персональных данных;

• ч. 12–18: допущение утечки персональных данных в крупном объеме.

Важно: это не исключает наличия споров по данным кейсам на практике. По частям за утечки персональных данных на данный момент почти нет кейсов, но штрафы по ним высокие. В любом случае практика стремительно развивается и новые громкие дела могут появиться в любой момент.

Кто находится в наибольшей зоне риска

Мы выявили следующее соотношение типов операторов, участвующих в делах:

• 62% — юридические лица;

• 20% — ИП;

• 18% — публичный сектор.

Юридические лица и правда больше всего привлекаются по спорам о защите персональных данных. Это связано в основном с размером бизнеса, с количеством субъектов и их данных — чем их больше, тем риск нарушения и проверок выше.

Также в наибольшей зоне внимания находятся операторы, использующие свой сайт при работе с субъектами — такой сайт есть почти у каждого бизнеса. Сайт — это лицо компании, которое находится в открытом доступе, и это первое, что необходимо привести в порядок. РКН при проверке операторов первым делом обращает внимание на онлайн-ресурсы.

На что в первую очередь смотрит РКН, и что следует проверить бизнесу:

1. Есть ли формы сбора данных, правовые основания обработки и корректность получения согласий.

2. Есть ли cookie-баннеры и корректны ли они.

3. Установлены ли на сайте сервисы аналитики. Соответствуют ли фактически подключенные инструменты указанным в политике конфиденциальности.

4. Есть ли политика обработки персональных данных, доступна ли она и соответствует ли процессам обработки.

7 причин, почему компании не справляются с обработкой персональных данных

Раньше работа с персональными данными воспринималась предпринимателями как второстепенная задача, а санкции применялись преимущественно к крупным компаниям. Теперь контроль со стороны Роскомнадзора усилился, но компании с неналаженными процессами и не погруженные в особенности регулирования не успели адаптироваться.

Мы изучили рынок защиты персональных данных в начале 2026 года и выявили ряд причин.

Причина № 1. Российские компании больше боятся вероятности проверки от РКН, нежели самих утечек

Стоит сказать, что страх утечек и их последствий составляет 77,6%. Это в 1,5 раза ниже (57,8%), чем страх наказания. А в 71% компаний процесс управления рисками после подобных инцидентов вообще не внедрен.

Причина № 2. Безопасность данных компании, ее сотрудников и клиентов до сих пор считается формальностью

59,9% компаний оценивают эффективность обработки персональных данных исключительно по тому, как она соответствует законодательству. Это говорит о том, что бизнес не проводит параллель между защитой данных и бизнес-задачами. А реальные процессы сбора, обработки, хранения и уничтожения данных часто даже не совпадают с тем, что написано в политиках и согласиях.

О влиянии информационной безопасности на бренд говорит лишь небольшая часть опрошенных:

• 9,5% связывают информационную безопасность со скоростью запуска продуктов;

• 12% считают, что безопасность персональных данных влияет на бренд.

Причина № 3. Компании не контролируют трансграничную передачу данных

Таких 64,3% организаций. При этом если утечка происходит по вине подрядчика, то ответственность воспринимается как проблема извне, хотя юридически риски остаются внутри компании.

Причина № 4. Бизнес воспринимает штрафы как разовые расходы

После нарушения работа продолжается в том же режиме — без внедрения новых процедур регулирования работы с данными или назначения профильного специалиста для точечного контроля. При этом 47% компаний называют нехватку денег, ресурсов и кадров главной сложностью при реализации 152-ФЗ. 41% компаний до сих пор не имеют выделенного бюджета на защиту персональных данных, еще 37% заморозили расходы на 2025 год.

Причина № 5. Невыстроенные процессы, пренебрежение функцией DPO

Обработка персональных данных часто требует особого подхода, профессионального взгляда и постоянного контроля DPO (специалиста по защите персональных данных). Это именно тот человек, который наиболее погружен и в тонкости законодательства, и в процессы бизнеса, которые он помогает выстраивать. Сделанные много лет назад регламенты и процессы сейчас приносят проблемы и значительные штрафы.

Причина № 6. Компании не обучают сотрудников работе с персональными данными

Мы выяснили, что:

• 44,4% компаний признают проблемными зонами в регулировании персональных данных организационный хаос и человеческий фактор;

• только 37% организаций обучают сотрудников для повышения эффективности работы с персональными данными;

• 63,8% пытаются выйти из ситуации через ужесточение санкций для работников.

В итоге под ударом остаются не только руководители, но и сотрудники, так как многим банально не объяснили, как правильно обращаться с рабочими базами и документацией.

При этом 47% компаний жалуются на дефицит кадров и ресурсов, в то время как за безопасность данных отвечают непрофильные специалисты. Они действуют ситуативно, а обязанность регулировать персональные данные дана в дополнительную нагрузку, часто неоплачиваемую. Неудивительно, что 40,5% компаний фиксируют у сотрудников общий скепсис и цинизм в работе с персональными данными.

Причина № 7. Рост объема данных, которые бизнесу надо обрабатывать

Бизнес стремительно переходит в онлайн-сферу, у каждого имеются сайты, формы сбора и другие инструменты. Объем данных, который обрабатывает бизнес, значительно вырос по сравнению с предыдущими годами. Новые объемы информации также требуют дополнительных организационных и финансовых вложений, к которым оказались готовы не все компании.

В итоге 36,6% говорят о практической невозможности выполнить требования регулятора.

Что делать бизнесу, чтобы не получить штраф

Чтобы обезопасить себя, бизнесу нужно:

1. Привести в порядок сайт и правовые документы, размещенные на нем.

2. Провести аудит процессов обработки данных в компании, убедиться, что на процедуру есть правовые основания и делается она только в соответствующих целям объемах.

3. Назначить лицо, ответственное за организацию обработки персональных данных, определить его реальные функции.

4. Подать уведомление в Роскомнадзор или обновить его в случае измененных данных.

Если процессов слишком много, хорошим решением может быть обращение к услугам аутсорса функции DPO и аудита.

Возможно, вам будет интересно:

• Закон о запрете иностранных слов: что делать бизнесу — разбор и пошаговый план действий

• Налоговая проверка в 2026 году: кто под нее попадет и как ее пройти

• Маркировка звонков обязательна для юрлиц и ИП с 1 сентября. Разбор популярных вопросов с юристом

• Критерии рекламы в интернете 2025 — разбираем каждый