Оборотные штрафы за утечки и миллионы за согласия: что нужно знать о персональных данных в 2026 году
С 30 ноября 2024 года в России действует Федеральный закон № 420-ФЗ, который кардинально изменил систему ответственности за нарушения в сфере персональных данных . Для бизнеса наступила новая эра: штрафы, которые раньше воспринимались как «допустимые издержки», выросли в десятки раз, а за повторные утечки компании могут лишиться до 3% годовой выручки . Разбираемся, какие риски поджидают операторов персональных данных в 2026 году и как к ним подготовиться.
Почему штрафы выросли: позиция регулятора
Массовые утечки персональных данных стали устойчивым явлением. По данным Роскомнадзора, только за 2022 год в сеть утекло более 660 млн записей с данными россиян . Прежние меры административной ответственности (штрафы до 5 000 рублей за многие нарушения) не соответствовали масштабу ущерба ни для граждан, ни для экономики . Законодатель сделал ставку на превентивную модель: чем выше риск для прав субъектов данных, тем строже ответственность оператора. Теперь размер штрафа напрямую зависит от количества пострадавших субъектов и объема утекших идентификаторов . Министр цифрового развития Максут Шадаев прямо заявил: «Штрафы должны быть значительно больше, чтобы у бизнеса был стимул инвестировать в защиту информации».
Таблица штрафов: что грозит за утечки в 2026 году
ФЗ № 420-ФЗ внес существенные изменения в статью 13.11 КоАП РФ. Рассмотрим ключевые составы правонарушений .
Неуведомление Роскомнадзора об утечке
Это одно из самых «дорогих» нарушений. Оператор обязан сообщить об инциденте в течение 24 часов с момента выявления, а в течение 72 часов направить отчет о результатах расследования .
| Субъект ответственности | Размер штрафа (руб.) |
|---|---|
| Должностные лица | 1 000 000 – 3 000 000 |
| Юридические лица | 1 000 000 – 3 000 000 |
Утечка специальных категорий данных
Особо охраняемые категории: данные о здоровье, национальности, политических взглядах, религии, философских убеждениях, интимной жизни .
| Субъект ответственности | Размер штрафа (руб.) |
|---|---|
| Должностные лица | 1 000 000 – 1 300 000 |
| Юридические лица | 10 000 000 – 15 000 000 |
| Граждане | 300 000 – 400 000 |
Утечка биометрических данных
Биометрия (отпечатки пальцев, изображения лица, голос) находится под особой защитой и влечет максимальные санкции.
| Субъект ответственности | Размер штрафа (руб.) |
|---|---|
| Должностные лица | 1 300 000 – 1 500 000 |
| Юридические лица | 15 000 000 – 20 000 000 |
| Граждане | 400 000 – 500 000 |
Повторные нарушения: оборотные штрафы
Если компания повторно допустит утечку (по частям 12–14, 16–18 статьи 13.11 КоАП РФ), наступает так называемая «оборотная» ответственность .
• Для юридических лиц: от 1% до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей.
• Для должностных лиц: до 1,2 млн рублей.
• Для граждан: до 600 000 рублей.
Для повторной утечки специальных или биометрических данных нижний порог еще выше — не менее 25 млн рублей.
Важно! Индивидуальные предприниматели несут ответственность за утечки наравне с юридическими лицами .
Другие изменения в сфере ПДн в 2026 году
Помимо роста штрафов за утечки, вступили в силу и другие важные требования:
1. Запрет на принуждение к предоставлению данных. С 1 сентября 2025 года действует запрет на отказ в услугах, если клиент не желает предоставлять персональные и биометрические данные (кроме случаев, прямо предусмотренных законом). Штраф за принуждение может составить до 50 000 рублей .
2. Отдельное согласие. Согласие на обработку персональных данных теперь нужно оформлять отдельным документом. Нельзя «прятать» его в пользовательском соглашении или ограничиваться галочкой под формой.
3. Сокращение сроков ответов. Срок обработки запросов граждан сокращен с 30 до 10 дней .
4. Политика на сайте. Отсутствие доступной политики обработки персональных данных на сайте — основание для внеплановой проверки Роскомнадзора и штрафа до 60 000 рублей .
5. Уголовная ответственность. В 2026 году продолжается обсуждение законопроекта, вводящего уголовную ответственность за незаконные сбор, хранение, использование и передачу персональных данных (вплоть до 10 лет лишения свободы) .
Как избежать штрафов: практические рекомендации
Формальный подход к документам больше не работает. Роскомнадзор при проверках запрашивает логи доступа, журналы реагирования на инциденты и доказательства своевременного уведомления .
Рекомендую предпринять следующие шаги:
1. Разработать сценарий реагирования на утечку. В компании должен быть утвержденный порядок действий: o Кто фиксирует инцидент? o Кто проводит первичную оценку? o Кто и в какие сроки уведомляет Роскомнадзор (24 часа)? o Кто готовит отчет по итогам расследования (72 часа)?
2. Провести инвентаризацию данных. Нужно точно понимать: o Сколько субъектов ПДн затронет возможная утечка. o Какие категории данных (обычные, специальные, биометрические) обрабатываются. o Где данные дублируются (CRM, почта, резервные копии) .
3. Оформить согласия правильно. Проверьте, что согласия на обработку выделены в отдельный документ и содержат все обязательные реквизиты по ст. 9 ФЗ-152.
4. Опубликовать политику обработки ПДн. Сделайте ее доступной в один клик с главной страницы сайта.
5. Обеспечить защиту данных. Используйте сертифицированное ПО, системы DLP, шифрование и двухфакторную аутентификацию для доступа к базам данных . Наличие подтвержденных мер защиты может стать смягчающим обстоятельством при определении размера штрафа.
Нужна помощь в аудите системы защиты персональных данных? Готова ответить на ваши вопросы и помочь оценить риски вашей компании. Напишите мне по электронной почте: о почте info@hrhd.ru по телефону +79301253135 присоединяйтесь к каналу, чтобы не пропустить важное: https://t.me/HresHdev