Назад
Войти
8 (800) 222-49-42
telegram
RU
KZ UZ

Штраф за утечку персональных данных — до 500 млн рублей: как не попасть под каток закона

Штраф за утечку персональных данных в 2025 году вырастет до 500 млн руб. Узнайте, какие типичные нарушения допускает бизнес и как защитить свою компанию от санкций, исков и репутационных потерь.
ст пд 2.png
Штраф за утечку персональных данных — до 500 млн рублей: как не попасть под каток закона - 42CLOUDS
3970
7 мин
7 марта 2026

Большинство предпринимателей даже не подозревают, что их сайты, документы и процессы работы с клиентами нарушают закон «О персональных данных». Они думают: «У нас маленькая компания, кому мы нужны?» Но практика показывает: проверки Роскомнадзора могут коснуться любого бизнеса: от небольшого интернет-магазина до крупной корпорации.

В этой статье мы рассказали, какие изменения ждут бизнес в 2025 году, какие типичные ошибки совершают компании при работе с персональными данными и как защитить себя от огромных штрафов и судебных исков.

Новые штрафы с 30 мая 2025 года

С 30 мая 2025 года ужесточается ответственность за ПД в России. Если раньше максимальный штраф за утечку персональных данных составлял 300 000 руб., то теперь он может достигать 500 млн руб.

Штрафы будут рассчитываться в зависимости от масштаба утечки и типа данных — обычные, специальные или биометрические. При повторных нарушениях компаниям грозят оборотные штрафы за утечку данных в 2025 году — от 1% до 3% годовой выручки.

Вводится также новый состав правонарушения — отсутствие уведомления Роскомнадзора об утечке данных. Еще одно важное изменение: размер штрафа устанавливают арбитражные суды, а не мировые.

Кроме штрафов, компании могут получить иски от граждан, чьи данные утекли. Суды часто встают на сторону пострадавших. Так, в 2023 году москвич получил компенсацию морального вреда 5000 руб. от «Яндекс.Еда» после того, как его личные данные попали в Интернет. Суды изначально наложили на компанию штраф за утечку персональных данных, а затем удовлетворили иск гражданина. А теперь представьте, если такая проблема затронет не одного человека, а сотни или тысячи. При массовой утечке бизнес потратит огромные деньги на компенсации всем пострадавшим. Такие выплаты могут превысить суммы штрафов и подорвать репутацию бренда.

Распространенные нарушения: выявляем риски и внедряем решения

Штраф за утечку персональных данных

Многие компании даже не подозревают, что нарушают закон о ПД, подвергая себя риску огромных штрафов. Рассмотрим наиболее распространенные ошибки, которые могут стоить бизнесу миллионы.

Не уведомлен Роскомнадзор

Компания должна быть зарегистрирована в Роскомнадзоре как оператор персональных данных. Для регистрации нужно направить уведомление. Исключения возможны в случаях, если компания:

  • обрабатывает данные только своих сотрудников в рамках трудовых отношений;
  • собирает данные клиентов исключительно для исполнения договора без передачи третьим лицам;
  • обрабатывает данные на бумажных носителях без использования средств автоматизации.

Будьте осторожны: от лица Роскомнадзора могут действовать мошенники. Они часто используют тему ужесточения законодательства и угрозу крупных штрафов, чтобы вынудить компании совершить необдуманные действия. Злоумышленники направляют письма от лица разных госорганов. О подобных схемах и способах защиты читайте в статье «Письма мошенников от лица межведомственных комиссий: как распознать и что делать».

Не разработана политика конфиденциальности

По закону о персональных данных каждый оператор персональных данных обязан разместить актуальную политику конфиденциальности в подвале сайта. Этот документ должен соответствовать всем требованиям законодательства и содержать информацию о целях, способах, сроках обработки данных и многом другом.

Нет согласия на обработку данных под формами сбора

Без правового основания (чаще всего это согласие) сбор персональных данных через любые формы на сайте незаконен. Ошибкой считается не только полное отсутствие разрешения от пользователя, но и:

  • наличие согласия, не соответствующего требованиям закона;
  • размещение ссылки на политику конфиденциальности вместо согласия.

Пример из судебной практики: предпринимателя из Оренбургской области оштрафовали на 50 000 руб. за повторное нарушение требований к оформлению согласий на обработку персональных данных. При заключении договоров предприниматель получал от клиентов расписки, однако эти документы не содержали обязательных по закону сведений: ФИО и адрес субъекта, данные его документа, информацию об операторе, перечень обрабатываемых данных и действий с ними, срок действия и способ отзыва. Суд подтвердил, что такие «формальные» согласия, не соответствующие требованиям статьи 9 закона «О персональных данных», являются серьезным нарушением прав граждан.

Стоит отметить, что телефон и электронная почта сами по себе не яляются персональными данными. Так, Арбитражный суд Москвы в деле страховой компании «Арсеналъ» постановил, что эти сведения без дополнительных идентификаторов не требуют получения согласия на обработку. Если на вашем сайте есть форма обратной связи только с полями для телефона или электронной почты — согласие может не потребоваться. Но как только добавляются поля для ФИО или других идентифицирующих данных, наличие согласия становится обязательным.

Не размещены куки- / cookie-баннеры на сайте

Файлы куки / cookie официально признаны персональными данными, поэтому сайты обязаны информировать посетителей об их сборе и получать согласие. Показательный случай произошел с социальной сетью LinkedIn, когда суд признал деятельность ее интернет-ресурсов нарушающей права российских граждан на неприкосновенность частной жизни. В материалах дела отмечалось, что LinkedIn собирает персональные данные, включая файлы куки / cookie, без надлежащего согласия и не обеспечивает их хранение на серверах в России. Российский суд обязал Роскомнадзор внести сайт в реестр нарушителей и ограничить к нему доступ. Штраф за утечку персональных данных составил 4 млн руб.

Отзывы опубликованы без согласия

Размещение отзывов клиентов с указанием их имен, фотографий и других данных без специального согласия на распространение персональных данных также является нарушением. Компании должны получать отдельное согласие по форме, утвержденной Роскомнадзором, а также публиковать в политике конфиденциальности информацию об условиях обработки таких данных.

1C: Управление нашей фирмой
Арендуйте без покупки лицензий
Обновления включены в стоимость
Тестировать бесплатно

Используются запрещенные сервисы аналитики

Базы данных сервисов должны быть расположены на территории России, чтобы не нарушать требование о локализации данных граждан РФ. Например, Twitter, в 2020 году заплатил штраф в размере 4 млн руб. за хранение данных российских пользователей на серверах в США и Европе. Похожий случай произошел с АНО «Еврейское Агентство “Сохнут” Северо-Запад», чей руководитель получил штраф за утечку персональных данных в размере 100 000 руб. за использование американской системы обработки.

Не назначен ответственный за обработку персональных данных

Каждая организация должна назначить специального сотрудника, который будет отвечать за это направление. Такой человек получает указания напрямую от генерального директора и отчитывается только перед ним. Организация должна предоставлять этому специалисту все необходимые сведения о том, как обрабатываются персональные данные в компании.

В обязанности ответственного за персональные данные входит:

  1. Проверять, как компания и ее работники соблюдают закон о персональных данных.
  2. Информировать всех сотрудников о внутренних документах компании по ПД и требованиях к защите информации.
  3. Принимать обращения людей, чьи данные хранятся в организации. Также следить, чтобы такие запросы обрабатывались правильно и вовремя.

Для эффективной организации работы ответственного сотрудника рекомендуем ознакомиться со статьей «Система штрафов для мотивации сотрудников: как использовать».

Нет перечня лиц, которые имеют доступ к персональным данным

Руководитель издает приказ, в котором указано, кто именно имеет право доступа к персональным данным. Каждый работник должен получать только те сведения, которые действительно нужны ему для выполнения своих задач (абз. 6 ст. 88 ТК РФ).

В таком приказе можно:

  • указать конкретных сотрудников по фамилии, имени, отчеству и должности;
  • перечислить только должности сотрудников и их отделы;
  • указать целые подразделения, где сотрудникам нужен такой доступ.

Неправильно хранятся данные на бумаге

Штраф за утечку персональных данных — до 500 млн рублей: как не попасть под каток закона - 42CLOUDS

Если вы храните персональные данные не в компьютере, а в журналах, ведомостях и т. д., нужно соблюдать несколько важных правил:

  1. Для каждого вида сведений определите конкретное место хранения (например, в каком шкафу или сейфе будут храниться документы).
  2. Определите, кто именно может работать с этими документами или иметь к ним доступ. Составьте список таких сотрудников.
  3. Данные, которые собираются для разных целей, храните отдельно друг от друга.
  4. Убедитесь, что информация в безопасности, никто посторонний не может получить к ней доступ.

Важно: компания сама решает, какие именно меры применять, кто будет отвечать за их выполнение и какой порядок работы с документами установить.

Современное решение этих проблем — переход на электронный документооборот. Система «1С:Документооборот» позволяет не только упорядочить хранение документов, но и обеспечить надежную защиту персональных данных благодаря функциям электронной подписи, разграничения доступа и контроля за движением информации. При этом для внедрения не требуется покупка дорогостоящих лицензий — решение можно арендовать.

Работники не ознакомлены с законом о персональных данных

Сотрудники, которые работают с персональными данными, должны знать правила их обработки (п. 6 ч. 1 ст. 18.1 закона о персональных данных). Для этого есть два простых способа:

  1. Создайте отдельный документ — лист ознакомления, где работники распишутся в том, что они прочитали и поняли законы о персональных данных и внутренние правила компании по их обработке.
  2. Включите все нужные положения прямо в трудовой договор с работником.

Зафиксированы нарушения при передаче данных работников третьим лицам

Работодатели не обеспечивают защиту данных сотрудников при оформлении зарплатных проектов или страховок ДМС. Важно помнить: для каждой цели передачи данных нужно отдельное согласие. Нельзя использовать один документ для разрешения передачи данных в любых целях.

В двух словах: как не попасть на штраф за утечку персональных данных

С 30 мая 2025 года компании, допустившие утечку данных, могут получить штраф 500 млн руб.

Однако соблюдение базовых принципов работы с персональными данными поможет избежать проблем:

  1. Обрабатывайте данные только при наличии законного основания.
  2. Собирайте только необходимые сведения.
  3. Обеспечивайте надлежащую защиту информации.
  4. Своевременно реагируйте на запросы субъектов.
  5. Обновляйте документацию в соответствии с изменениями законодательства.

Инвестиции в кибербезопасность бизнеса и защиту персональных данных сегодня — это экономия на штрафах и репутационных потерях завтра. Начните подготовку к изменениям в законе о ПД уже сейчас, чтобы не попасть под угрозу многомиллионных штрафов в будущем.

Логотип Маркет42
1500+ проверенных обработок, отчетов и интеграций для 1С
Перейти в каталог
Логотип Маркет42
Сервис из Маркет42 за 1 рубль!
Арендуйте 1С на 3 месяца и получите сервис из Маркет42 всего за 1 рубль!
Подробнее
Логотип 42clouds
1С-Отчетность
бесплатно на 30 дней

Подключайте 1С в облаке
и пользуйтесь 1С-Отчетностью бесплатно 30 дней

Подробнее
Логотип 42clouds
Весь функционал для бизнеса
без дополнительных расходов

Бесплатная настройка
и поддержка 24/7

Попробовать бесплатно
0 0 голоса
Рейтинг

Подписаться Подписаться

0 комментариев
Ранние Сортировка
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Новые статьи этого автора
28 июля 2025

Когда руководитель выгорел: как заново выстроить связь с командой
10 июля 2025

Почему отдел продаж не справляется с планом: 5 шагов, чтобы найти слабое звено
04 июля 2025

Персональные данные в 2025 году: когда и как подать уведомление в Роскомнадзор
10 июня 2025

4 ошибки при работе с самозанятыми, за которые ФНС оштрафует бизнес
Новое на сайте
Как заполнить 6-НДФЛ в 2026 году — инструкция
10 апреля 2026
Как заполнить 6-НДФЛ в 2026 году — инструкция
Российский ретейл в 2026 году: ключевые тренды, которые меняют онлайн-торговлю и маркетплейсы
9 апреля 2026
Российский ретейл в 2026 году: ключевые тренды, которые меняют онлайн-торговлю и маркетплейсы
7 финансовых метрик для бизнеса, кроме выручки и прибыли: что важно отслеживать в 2026 году
8 апреля 2026
7 финансовых метрик для бизнеса, кроме выручки и прибыли: что важно отслеживать в 2026 году
FBO и FBS: как загружать акты приемки для разных схем работы с маркетплейсами
7 апреля 2026
FBO и FBS: как загружать акты приемки для разных схем работы с маркетплейсами
НДС на УСН: почему упрощенка формально с НДС, но платят не все
6 апреля 2026
НДС на УСН: почему упрощенка формально с НДС, но платят не все
Интеграция CRM с 1С: как мы за 3 недели настроили обмен и закрыли вопрос с ручным вводом УПД - 42CLOUDS
2 апреля 2026
Интеграция CRM с 1С: как мы за 3 недели настроили обмен и закрыли вопрос с ручным вводом УПД

Все полезное про 1С
в одном месте — акции, гайды, вебинары и кейсы
в нашем Telegram-канале

ПОДПИСАТЬСЯ НА КАНАЛ
Оставьте отзыв о нас

Расскажите, как сервис 42Clouds помог вашему бизнесу.

Отзыв будет опубликован после проверки модератором.

Оставьте заявку. Мы свяжемся с вами в самое ближайшее время.

*нажимая на кнопку, Вы даете согласие на обработку персональных данных

Мы используем куки! Что это значит?
Ok