Оборотные штрафы и проверки РКН

Содержание статьи

Почему за утечку персональных данных можно потерять бизнес
Актуальные штрафы
- Введение оборотных штрафов (от 0,1% до 3% от выручки за повторные утечки)
- Административная и уголовная ответственность для топ-менеджмента
Золотой стандарт документов
Трансграничная передача
- Как легально использовать зарубежные CRM, облака и сервисы рассылок в условиях санкций и новых требований РКН
Что делать при утечке данных
- Правило 24/72 часов: уведомление Роскомнадзора об инциденте
Чек-лист для сайта на соответствие 152-ФЗ

Онлайн‑сервисы, HR‑отделы и маркетинг работают с телефонами, резюме, логами активности, иногда с биометрией. Закон рассматривает подобные компании как операторов персональных данных с набором обязанностей.

Как соблюдать закон о персональных данных и минимизировать риски при утечках

Закон 152‑ФЗ требует обрабатывать только те сведения, которые относятся к конкретной цели. Опираться на правовое основание, а не на подход брать все, что доступно.

Почему за утечку персональных данных можно потерять бизнес

Утечка информации влечет не только разовый штраф. Теряется часть клиентской базы, снижается конверсия, растут расходы на поддержку и юристов. Компании приходится объяснять инцидент банкам, крупным заказчикам, партнерам. При массовом уходе клиентов и остановке сделок такие потери по деньгам превалируют над прямыми штрафами по персональным данным в 2026 году.

Дальше подключается регулятор. Статья 13.11 КоАП РФ позволяет рассматривать каждый эпизод обработки как отдельное нарушение. Например, осуществлялся незаконный сбор, оформлено неверное согласие, случились сбой в защите или неправомерная передача. При повторной утечке включается оборотный штраф в процентах от выручки. Одновременно появляется риск блокировки отдельных сервисов, ограничений на трансграничную передачу данных и усиленного контроля со стороны Роскомнадзора. В сочетании со спадом продаж и потерей доверия такой набор последствий превращается не в угрозу бизнес‑модели.

Актуальные штрафы

После изменений ответственность стала зависеть не только от состава нарушения, но и от масштаба бизнеса. ФЗ № 420‑ФЗ изменил ст. 13.11 КоАП РФ, ввел возможность считать санкцию как процент от выручки.

Для ориентира по ст. 13.11 КоАП РФ (с учетом реформы):

за отсутствие политики, локальных актов и уведомления о начале обработки – штраф 30 000 до 60 000 рублей для юридических лиц за эпизод;
за обработку без основания или без надлежащего согласия – до 300 000 рублей;
если речь об утечке (неправомерной передаче, доступа), санкции для юрлиц зависят от масштаба и начинаются от 3-5 млн, плюс отдельный состав за неуведомление об утечке;
за повторные нарушения, связанные с утечкой или незаконной передачей – оборотный штраф до 3 % годовой выручки в пределах 500 000 000 рублей.

Ответственность должностных лиц по ст. 13.11 КоАП РФ достигает 50 000-100 000 руб. при грубых и повторных нарушениях.

Верховный Суд в деле № 75‑АД24‑1‑К3 по ч. 4 ст. 13.11 КоАП РФ указал на ценность корректной квалификации и соблюдения процессуальных правил. При ошибках в применении нормы постановления подлежат пересмотру. Это усиливает значение грамотной защиты и качества материалов проверки.

Введение оборотных штрафов (от 0,1% до 3% от выручки за повторные утечки)

ФЗ № 420‑ФЗ закрепил оборотный штраф за повторные нарушения в сфере персональных данных.

Санкция рассчитывается в процентах от годовой выручки. В аналитике и официальных материалах фигурирует диапазон от 0,1 % до 3 % дохода с верхней границей 500 000 000 рублей. И это только административная часть без учета расходов на расследование, восстановление инфраструктуры и компенсации партнерам.

При нескольких эпизодах в течение года суммарная нагрузка по ст. 13.11 КоАП РФ создает значимое давление даже на крупный проект. Для среднего e‑commerce 2-3 инцидента с данными способны изменить финансовый план на год.

Административная и уголовная ответственность для топ-менеджмента

Статья 13.11 КоАП РФ распространяется на юридические и должностные лица. Под действие нормы подпадают руководители компаний, директора по ИТ, безопасности, HR, назначенные ответственные за обработку.

Отдельно действует ст. 272.1 УК РФ. Норма описывает ситуации, когда работа с компьютерной информацией, содержащей персональные данные, выходит за рамки нарушения порядка обработки и превращается в преступление. Речь идет о неправомерном доступе, изменении, блокировании, копировании и распространении данных. Уголовный риск возникает при умышленных действиях. Например, передача клиентской базы конкуренту, продажа выгрузок, сознательное отключение защиты ради удобства партнеров.

При разбирательстве судья назначает штраф вплоть до 500 000 руб., а при крупном ущербе и тяжких последствиях — более жесткие меры, включая лишение свободы. В зоне риска оказываются как инсайдеры, так и руководители, чьи указания или бездействие привели к противоправным действиям с данными.

Профессиональная помощь адвоката

+7 (495) 133-57-83

Линия юридической поддержки 24/7

Не принимайте решений без консультации специалиста

Анализ ситуации и оценка рисков за 15 минут

Сопровождение от переговоров до результата в суде

Фиксированная стоимость по договору без доплат

Золотой стандарт документов

Внутренние документы по персональным данным показывают фактическую модель работы, а не служат формальной папкой. Закон требует организационных и технических мер (ст. 18.1, 19 ФЗ № 152‑ФЗ), а также вменяемого описания обработки для субъектов.

Политика обработки ПД (не копируйте у конкурентов)

Политика конфиденциальности для сайта описывает:

цели обработки;
категории данных и субъектов;
категории получателей;
сроки и порядок уничтожение данных;
меры по защите (ст. 5, 18.1 ФЗ № 152‑ФЗ).

Перечень в документе должен соответствовать реальному набору полей и сценариям на сайте и в бэк‑офисе. Избыточные цели, фиктивные категории или упоминание биометрии нарушают принцип минимизации (ст. 5 ФЗ № 152‑ФЗ).

При проверке Роскомнадзор сопоставляет политику с формами, интерфейсами, кодом, сетевыми следами. Несоответствие воспринимается как признак формального подхода и основание для применения ст. 13.11 КоАП РФ.

Автоматические системы сопоставляют тексты, структуру сайта и поведение форм.

5 фатальных ошибок в политике конфиденциальности, которые видит робот РКН:

Что видит РКН	Суть нарушения и ссылка на закон
Перечисление лишних категорий	Документ упоминает биометрию, финансовые данные, хотя сайт ограничивается телефоном и e‑mail. Это нарушает принцип минимизации (ст. 5 ФЗ № 152‑ФЗ).
Расхождения с интерфейсом	Политика обещает ссылку на согласие под каждой формой, а форма для телефона не содержит кликабельной ссылки и явного текста согласия (ст. 9 ФЗ № 152‑ФЗ).
Умолчание о зарубежных сервисах при работе с иностранными CRM и рассылками	В тексте и уведомлении отсутствует упоминание о трансграничной передаче данных, что противоречит ст. 12 ФЗ № 152‑ФЗ.
Неопределенные формулировки о сроках и механике уничтожения данных	Фразы без конкретики противоречат требованиям ст. 5 и 18.1 ФЗ № 152‑ФЗ.
Разногласия с договорами и регламентами	Содержание текста говорит о строгих требованиях к подрядчикам, а поручение на обработку не содержит описания мер защиты и ответственности (ст. 18.1, 19 ФЗ № 152‑ФЗ).

Набор таких признаков повышает вероятность включения ресурса в план проверок и запуска полноценного надзора.

Согласие на обработку (чекбоксы, формы обратной связи)

Согласие по ст. 9 ФЗ № 152‑ФЗ должно быть конкретным, информированным, выраженным действием.

В онлайн‑практике это чекбоксы, нажатие кнопки, отмеченное согласие под формой. Для правовой защиты требуется понятный текст с указанием цели и используемых данных и связь между текстом и формой. Облегчает процесс и возможность восстановить факт согласия через логи, скриншоты, записи с датой и временем.

При отсутствии доказуемого волеизъявления обработка квалифицируется как незаконная и подпадает под составы ст. 13.11 КоАП РФ. Для опоры в суде полезно иметь фиксированный набор логов, экспортов и внутренних регламентов, которые описывают процедуру.

РКН использует автоматические сканеры. Если на вашем сайте форма сбора номера телефона не содержит активной ссылки на согласие, вы попадаете в план проверок автоматически, без жалоб пользователей.

Согласие в онлайн формате должно быть однозначным и подтверждаемым (ст. 9 ФЗ № 152 ФЗ). Алгоритмы анализируют наличие текста о согласии, ссылки на политика конфиденциальности для сайта, структуру формы и факт передачи данных.

Форма, которая запрашивает телефон или e mail без видимого правового основания, воспринимается как сигнал к углубленной проверке.

Регламент доступа сотрудников, журналы учета

Организационные меры реализуются через локальные акты. Ст. 18.1 и 19 ФЗ № 152‑ФЗ требуют установить:

порядок разграничения доступа;
учет операций с данными;
контроль за использованием систем;
режим уничтожения данных и обезличивания.

Локальные акты и регламенты должны работать не на бумаге, а в ежедневных процессах. Внедряются через обучение сотрудников, контроль доступа и регулярные проверки. Руководитель подразделения отвечает за то, чтобы новые специалисты не получали лишние права, а уволенные не сохраняли доступ к системам. Периодический аудит журналов помогает выявлять подозрительные действия до того, как это превратится в инцидент в виде массовых выгрузок баз, нехарактерных заходов в ночное время. Такой контур снижает риск утечек по вине персонала и показывает надзору, что оператор управляет процессами, а не ограничивается формальными приказами.

Трансграничная передача

Использование зарубежных CRM, облаков и сервисов рассылок связано с режимом трансграничной передачи данных и требованием локализации баз данных.

Как легально использовать зарубежные CRM, облака и сервисы рассылок в условиях санкций и новых требований РКН

До начала передачи данных в другую юрисдикцию оператор направляет уведомление в Роскомнадзор (ст. 12 ч. 3, ст. 22 ФЗ № 152‑ФЗ). Формы размещены на портале ведомства.

Локализация баз данных означает, что первичная запись сведений о гражданах РФ происходит на территории России. Допустимы зарубежные резервные копии и дополнительные контуры после фиксации в локальной базе. При этом, основная база и ключевые сервисы – в российском дата‑центре, а внешняя CRM или рассылщик получают данные после локальной регистрации. Договор с иностранным сервисом должен содержать поручение на обработку, перечень полей, требования к защите, порядок уведомления о нарушениях.

Нарушение требований о локализации и уведомлении влечет ответственность по ст. 13.11 КоАП РФ (части, связанные с порядком обработки и безопасностью) с максимальными значениями до 500 000 рублей за эпизод и последующей эскалацией до оборотного штрафа при повторных инцидентах. В дополнение возможно ограничение доступа к сервису по линии надзора.

При выборе зарубежного сервиса важно учитывать не только цену и функциональность, но и то, в какой стране располагается и какое право к нему применяется. На этапах закупки и внедрения стоит проверить, может ли поставщик выполнить требования российского регулятора. Выяснить поддерживает ли разделение окружений, позволяет ли ограничить круг администраторов, предоставляет ли отчеты по инцидентам и по запросам иностранных органов. Внутри компании полезно закрепить правило, что ни один новый внешний сервис не подключается к боевой базе до правовой и технической оценки. А любые тесты с данными проходят через отдельный согласовательный контур. Это снижает вероятность того, что данные утекут за рубеж в обход установленного порядка и без возможности их контролировать.

Юридическая экспертиза

Нужен оперативный совет адвоката по вашему делу?

Разберем перспективы дела и тактику защиты за одну встречу

Предоставим честный прогноз без пустых обещаний успеха

Или позвоните нам: +7 (495) 133-57-83

Что делать при утечке данных

Информационные системы не дают абсолютной гарантии. Закон и практика ожидают четкого алгоритма реагирования.

После обнаружения инцидента оператор:

фиксирует факт и время события;
ограничивает доступ к затронутым системам;
проводит внутреннее расследование;
определяет виды и объем утекших данных, круг затронутых субъектов.

На этом этапе важно собрать цифровые следы, логи доступа, выгрузки конфигураций, служебную переписку.

Верховный Суд в Определении № 5‑КГ22‑144‑К2 от 07.02.2023 отметил, что электронные доказательства подлежат оценке наряду с иными материалами, при условии проверяемости происхождения и связи с обстоятельствами дела. Корректно оформленный цифровой след подтверждает выполнение ст. 18.1 и 19 ФЗ № 152‑ФЗ и снижает риск максимальных санкций по ст. 13.11 КоАП РФ.

Правило 24/72 часов: уведомление Роскомнадзора об инциденте

Статья 21 ч. 3.1 ФЗ № 152‑ФЗ закрепляет двухэтапный формат уведомления надзора. Сначала оператор передает краткое сообщение о самом факте инцидента. Описывается дата обнаружения, какие системы затронуты, какая категория данных могла пострадать. На это отводится 24 часа. Затем, в течение 72 часов, направляется развернутый отчет с результатами внутренней проверки. В которой будут отражены причины, масштаб, выявленные уязвимости, предпринятые шаги по ограничению последствий и сведения о причастных лицах, если удалось установить.

Такой порядок дисциплинирует внутренние процессы. Без заранее прописанного сценария расследования и ответственных по направлениям уложиться в эти сроки трудно. Компании приходится выстраивать внутренние цепочки эскалации, регламенты взаимодействия ИТ, безопасности, юристов и PR. Это работает в обе стороны, ускоряет реакцию на реальные инциденты и показывает регулятору, что оператор не замалчивает проблемы и управляет ситуацией, а не откладывает уведомление на потом.

Чек-лист для сайта на соответствие 152-ФЗ

Регулярная самопроверка сайта на соответствие требованиям закона снижает риски и упрощает диалог с надзором. Следует помнить:

Политика конфиденциальности должна описывать реальные цели обработки, перечень собираемых сведений, сроки хранения и порядок удаления. Содержание соотносится с тем, что пользователь видит в формах, личном кабинете и сервисах аналитики (ст. 5, 18.1 ФЗ № 152‑ФЗ).
Тексты согласий читаются без юридического тумана, а ссылки заметны рядом с полями ввода. Интерфейс настроен так, чтобы человек знакомился с условиями до отправки анкеты или заявки. Система фиксирует факт согласия: время, источник, используемую форму, что позволяет восстановить картину задним числом (ст. 9 ФЗ № 152‑ФЗ).
Сведения об операторе в реестре совпадают с действительностью. Указаны актуальные категории данных и субъектов, процессы и привлеченные исполнители (ст. 22 ФЗ № 152‑ФЗ).
При работе с иностранными сервисами заранее учитываются требования к передаче информации за рубеж и размещению основных баз на территории России (ст. 12 ФЗ № 152‑ФЗ). В договорах с внешними провайдерами описаны меры защиты и порядок обмена сообщениями при инцидентах (ст. 18.1, 19 ФЗ № 152‑ФЗ).

Такой аудит позволяет вовремя заметить расхождения между документами и практикой и снижает шансы на то, что ресурс станет целью углубленной проверки после автоматического скрининга.