Защита персональных данных: как избежать штрафов

Содержание статьи

Реформа штрафов за утечки (оборотные штрафы)
Кто является оператором ПДн
Обязательный пакет документов
Уведомление Роскомнадзора
- Нужно ли регистрироваться в реестре операторов: исключения, которых почти не осталось
- Как подать уведомление через Госуслуги
Если вы используете иностранные серверы или CRM-системы (Bitrix24, Notion и др.)
Утечки данных
- Что делать, если база данных «утекла» в сеть
- Обязанность уведомить Роскомнадзор в течение 24/72 часов

В 2026 году закон о персональных данных (ФЗ‑152) перестал восприниматься как бумажная формальность. Контроль усилился, а штрафы за нарушения в обработке и защите персональных данных заметно выросли (ст. 13.11 КоАП РФ). Для интернет‑магазинов, онлайн‑школ, клиник и ИТ‑подразделений это уже не вопрос комплаенса для отчета, а фактор, который напрямую влияет на финансовую устойчивость.

Почему «Политика конфиденциальности» из интернета больше не работает

Федеральный закон устанавливает, кто считается оператором персональных данных, по каким основаниям можно собирать и использовать ПД, какие меры защиты требуется внедрить и когда нужно уведомлять Роскомнадзор (ФЗ‑152). Любая утечка или работа по шаблону из интернета повышает риск административной ответственности (ст. 13.11 КоАП РФ), вплоть до оборотных штрафов за повторные инциденты.

Реформа штрафов за утечки (оборотные штрафы)

В начале регулирования компании ограничивались тем, что брали готовый текст политики конфиденциальности, меняли название организации и размещали на сайте. Этот подход не защищает от претензий.

При проверках Роскомнадзор и суды оценивают не сам документ, а то, как бизнес фактически обрабатывает и защищает данные (ФЗ‑152, ст. 19). Если реальная модель работы не совпадает с политикой, документ превращается в дополнительный источник рисков, потому что демонстрирует несоответствие заявленных мер и практики.

Административная ответственность за нарушения сконцентрирована в ст. 13.11 КоАП РФ. Норма охватывает спектр ситуаций:

отсутствие правовых оснований обработки;
нарушение локализации баз данных;
неподачу уведомления;
игнорирование требований по защите;
утечки;
непредоставление субъектам информации о правах.

Главная тема 2026 года – оборотный штраф за повторные утечки и грубые нарушения. Если организация неоднократно допускает инциденты, связанные с персональной информацией, санкции могут достигать до 3% от годовой выручки. Для компании с большим оборотом такая сумма становится сопоставимой с годовым ИТ‑бюджетом или даже превышает прибыль.

Судебные инстанции учитывают не только формальное наличие документов, но и то, какие реальные шаги предпринял оператор для предотвращения и локализации утечки. Верховный Суд указал, что бюрократический подход к защите прав субъектов и игнорирование жалоб не освобождают от ответственности, а споры о правильном согласии и маркетинговых коммуникациях могут заканчиваться пересмотром дел и дополнительными расходами на судебные издержки (Определение ВС РФ от 18.02.2025 № 5‑КГ24‑144‑К2).

Отдельный пласт практики касается оспаривания постановлений Роскомнадзора о назначении штрафов. В Постановлении ВС от 01.12.2023 № 75‑АД23‑5‑К3 подчеркивается, что процессуальные ошибки при обжаловании (неверная подсудность, нарушения сроков, неполный пакет доказательств) могут привести к проигрышу дела по формальным мотивам, даже если материальные аргументы в пользу оператора существуют.

Штрафы 2024 vs 2026:

Нарушение	Кто отвечает	Логика ответственности «до» (2024)	Логика ответственности «после реформы» (2026)
Отсутствие политики и локальных актов	Оператор персональных данных	Штраф за нарушения, суммарно относительно невысокий, часто ограничивался разовыми составами	Повышенные штрафы по ст. 13.11 КоАП РФ, учет системности нарушений, связь с практикой защиты, а не только наличием политики
Неподача уведомления в реестр Роскомнадзора	Оператор, ответственные лица	Санкции применялись, но реже становились ключевой проблемой бизнеса	Увеличены размеры и внимание к обновлению сведений, несвоевременная подача, изменение уведомления – отдельная зона риска
Нарушение локализации баз данных	Оператор, ИТ‑блок, руководство	Отдельные кейсы, но без сильной увязки с крупными суммами	Для повторных нарушений возможен штраф до десятков миллионов рублей (ст. 13.11 КоАП РФ), риск блокировки ресурса и влияния на репутацию
Утечки ПДн (разовые инциденты)	Оператор, ответственное лицо (DPO)	Штрафы чаще имели разовый характер, без привязки к обороту	Оборотный штраф за утечку ПДн в виде доли от годовой выручки, усиленный контроль и учет истории инцидентов
Отсутствие реальной модели защиты и контроля	Оператор, руководитель, службы ИБ	Оценка мер защиты проводилась, но санкции применялись несущественные	Фокус на ст. 19 ФЗ‑152 (меры безопасности), нарушения трактуются строже, возможны комплексные проверки РКН

Такая конфигурация ответственности показывает, что защита превращается в вопрос выживания бизнеса. Ошибка в процедуре или недооценка рисков утечек уже не ограничивается небольшими штрафами и письмом‑предостережением.

Статья 19 ФЗ‑152 требует не только иметь документы, но и внедрять конкретные организационные и технические меры. Например, анализ угроз, разграничение доступа, учет носителей, контроль действий сотрудников. Поэтому устойчивость к проверкам строится на союзе юриста по ПДн и специалиста по информационной безопасности.

Кто является оператором ПДн

Почему оператором является любое ООО с базой клиентов или сотрудников?

Предприниматели и ИТ‑руководители по‑прежнему считают, что оператор персональных данных – это крупный банк или госорган. Однако закон дает более широкое определение. Оператором считается лицо, которое самостоятельно определяет цели и средства обработки ПДн (ст. 3 ФЗ‑152).

Статус не зависит от размера компании, отрасли или оборота. Достаточно факта, что организация собирает, хранит или использует личную информацию.

Сюда относят:

интернет‑магазин, который хранит заказы, контактные данные, адреса доставки;
онлайн‑школа с базой учеников, материалами по прогрессу и платежами;
медицинская клиника с регистрацией пациентов, историей обращений, иногда с биометрическими данными;
HR‑служба, которая ведет учет кандидатов, сотрудников, анкет и оценок;
ИТ‑департамент, который администрирует CRM, корпоративные порталы и алгоритмы учета.

Принципы и основания обработки закреплены в ст. 5-6 ФЗ‑152. Там описывается, что данные должны обрабатываться законно, справедливо и не избыточно по отношению к заявленным целям. Для многих бизнес‑моделей это означает необходимость четко разделить какие ПДн нужны для исполнения договора или оказания услуги, а какие используются для аналитики или маркетинга.

Как только компания принимает решения о том, какие данные собирает, где размещает серверы, кому дает доступ и как долго хранит информацию, она фактически выполняет функции оператора. Это влечет обязанности по уведомлению Роскомнадзора, разработке политики, назначению ответственного лица (DPO) и внедрению мер защиты.

Обязательный пакет документов

Для приведения бизнеса в соответствие с требованиями Фз-152 недостаточно разместить на сайте одну политику конфиденциальности. Закон ожидает, что у оператора появится стройная система документов от публичной политики до внутренних регламентов, моделей угроз и журналов учета (ст. 18.1, ст. 19 ФЗ‑152).

Этот пакет задает рамку для повседневной работы. Должно быть понимание какие сведения собираются, для каких целей, как выглядит жизненный цикл информации, кто контролирует соблюдение правил и как сотрудники отвечают за конфиденциальность.

Политика обработки ПДн (публичная)

Статья 18.1 ФЗ‑152 обязывает предпринимателя утвердить локальные акты и политику в отношении обработки, назначить ответственных и наладить внутренний контроль. Публичная политика, размещенная на сайте:

описывает, какие категории обрабатываются (клиенты, сотрудники, биометрические данные, пользователи сайта);
формулирует цели обработки: от исполнения договора до маркетинга и аналитики;
указывает контактные данные для запросов субъектов и жалоб;
объясняет, какие права есть у субъектов и как их реализовать;
кратко отражает применяемые меры безопасности и порядок уничтожения ПДн после достижения целей.

Для Роскомнадзора политика выступает витриной всей модели соответствия. Если текст противоречит реальности, это быстро проявится при проверке.

Согласие на обработку (разница между «для сайта» и «для маркетинга»)

Согласие на обработку персональных данных – основание обработки, но не единственное. Закон требует, чтобы согласие было конкретным, информированным и осознанным, а также привязанным к определенной цели.

На практике важно разделять по видам. Должно иметься одобрение, необходимое для исполнения договора или оказания услуги. Также согласие на получение рекламных и информационных материалов.

Акцепт для целей договора не покрывает автоматически право отправлять клиенту рекламные сообщения, нарушающие конфиденциальность. Для легитимности маркетинговых коммуникаций требуется отдельное, четко оформленное разрешение, где клиент может ясно увидеть, какие каналы общения будут использоваться и как он может отказаться.

Судебная практика подтверждает, что общие формулировки без конкретики по целям и каналам контакта повышают риск спора. Формальные ссылки на согласие не должны лишать гражданина права на защиту (Определение ВС от 18.02.2025 № 5‑КГ24‑144‑К2).

Модель угроз и акты классификации систем

Обязанность оператора обеспечить безопасность включает анализ угроз и внедрение мер защиты (ст. 19 ФЗ‑152). Для ИТ‑департаментов и служб ИБ это выливается в модель угроз и классификацию информационных систем персональных данных.

Постановление Правительства РФ №1119 устанавливает уровни защищенности и общие требования к защите в зависимости от состава обрабатываемых данных, масштаба системы и последствий компрометации. Приказ ФСТЭК России № 21 детальнее описывает, какие действия необходимо реализовать, от настройки межсетевых экранов и антивирусной защиты до контроля доступа и журналирования.

Правильно сформированная модель угроз и соответствующие акты классификации позволяют обосновать выбранный набор мер и показать регулятору, что оператор подошел к задаче комплексно, а не ограничился декларативными формулировками в политике.

Журналы учета и обязательства о неразглашении с сотрудниками

Внутренний контроль включает распределение прав доступа, учет действий работников и фиксацию ключевых операций (ст. 18.1, ст. 19 ФЗ‑152). Для этого используют:

журналы учета носителей и доступа к базам;
логи действий пользователей в информационных системах;
обязательства о неразглашении и регламенты работы с конфиденциальными данными.

Сотрудники, которые имеют доступ, должны быть ознакомлены с локальными актами, пройти обучение и подписать документы о конфиденциальности. При расследовании инцидента именно журналы и логи помогают показать, какие меры были приняты, и кто фактически имел доступ к скомпрометированной информации.

Действия на сайте за 10 минут:

С опорой на ст. 18.1 ФЗ‑152 и общие требования о прозрачности обработки можно быстро снизить базовые риски на сайте:

Добавить заметную ссылку на политику обработки ПДн в футере и формах сбора данных.
Обновить текст политики так, чтобы отражались реальные цели и категории, а не универсальный шаблон.
Проверить наличие чек-бокса или иного механизма согласия для маркетинговых рассылок, отделенного от акцепта на оказание услуги.
Уточнить текст рядом с формой. Для чего собираются данные (доставка, обратная связь, личный кабинет).
Пересмотреть всплывающие уведомления о cookie и технологиях отслеживания, связав с политикой и моделями аналитики.

Уведомление Роскомнадзора

До начала обработки оператор в большинстве случаев должен уведомить контролирующий орган и попасть в соответствующий реестр Роскомнадзора (ст. 22 ФЗ‑152). Этот шаг часто откладывали или игнорировали, считая, что он обязателен только для крупных участников. Сейчас неподача уведомления или несвоевременное обновление сведений рассматривается как отдельное нарушение, за которое предусмотрены штрафы (ст. 13.11 КоАП РФ).

Нужно ли регистрироваться в реестре операторов: исключения, которых почти не осталось

Статья 22 ФЗ‑152 устанавливает правило. До начала обработки предприниматель направляет уведомление в Роскомнадзор. Закон действительно содержит перечень исключений, но они касаются узких и ограниченных случаев (например, обработка ПДн исключительно в рамках трудовых отношений без передачи третьим лицам при соблюдении других условий).

Для интернет‑магазинов, онлайн‑школ, клиник и компаний, которые используют CRM‑системы, маркетинговые сервисы, колл‑центры и сторонние платформы, эти исключения не применяются. Наличие сайта с формами обратной связи, личного кабинета, онлайн‑записи и аналитики делает регистрацию в реестре актуальной почти для любого бизнеса.

Отсутствие записи в реестре трактуется как нарушение обязанности по уведомлению и влечет санкции, независимо от того, есть ли утечки или жалобы субъектов.

Как подать уведомление через Госуслуги

Процесс уведомления упростили за счет цифровых сервисов. Приказ Роскомнадзора № 180 от 28.10.2022 утвердил формы уведомлений о намерении осуществлять обработку, об изменении данных и о прекращении обработки.

Заявитель заполняет электронную форму на портале Госуслуг или через специализированный раздел сайта Роскомнадзора. В уведомлении указывают:

сведения об операторе;
цели и категории субъектов;
перечень обрабатываемых ПДн;
описание мер по защите;
информацию о трансграничной передаче, если она планируется.

Важно не только подать первичное уведомление, но и своевременно обновлять данные при изменении условий обработки. Игнорирование изменений приводит к расхождению между реестром и фактической практикой, что повышает риск штрафов.

Если вы используете иностранные серверы или CRM-системы (Bitrix24, Notion и др.)

Бизнес, который использует зарубежные облачные сервисы, CRM, платформы совместной работы и аналитики, фактически осуществляет трансграничную передачу ПДн (ст. 12 ФЗ‑152). Это требует оценки, обеспечивает ли иностранное государство адекватную защиту ПДн, и отдельного уведомительного контура.

Дополнительно действует требование локализации. При первичном сборе сведений россиян оператор обязан обеспечить запись, систематизацию и хранение таких данных с использованием хранилищ данных на территории РФ (ст. 18 ФЗ‑152).

С 2025 года хранение данных россиян на серверах за пределами РФ карается блокировкой ресурса и штрафом до 18 млн рублей. Проверьте, где физически находится ваша база данных.

Локализация баз данных в целом становятся предметом отдельного контроля. Если ядро клиентской базы, включая логины, контактные данные и историю операций, физически размещено только на зарубежных серверах, регулятор может расценить это как нарушение требований к хранению.

Оборотный штраф за повторные инциденты и нарушения локализации воспринимается как фактор, который способен съесть несколько процентов от годовой выручки. Для компаний с использованием гибридной инфраструктуры (например, сочетание российского дата‑центра и иностранных сервисов вроде Bitrix24 или Notion) важно четко понимать, где фактически хранится основной массив и какие категории ПДн там обрабатываются.

Утечки данных

Утечка стала ключевым триггером для проверок и штрафов. Любое несанкционированное раскрытие клиентской базы, медицинской информации или кадровых данных показывает, что реализованные меры безопасности оказались недостаточными (ст. 19 ФЗ‑152).

Роскомнадзор ведет реестр инцидентов и выстраивает порядок взаимодействия с операторами, которые столкнулись с утечками (Приказ РКН № 187 от 14.11.2022). Для бизнеса важно не только реагировать на инцидент, но и документировать предпринятые шаги.

Что делать, если база данных «утекла» в сеть

Законодатель связывает безопасность с конкретными организационными и техническими мерами. Утечка часто означает, что модель угроз была неполной или меры защиты внедрили формально.

При появлении информации о возможной компрометации базы оператору необходимо:

провести внутреннюю проверку и определить масштаб инцидента, задействованные системы и категории ПДн;
зафиксировать все действия по локализации (ограничение доступа, смена паролей, отключение уязвимых сервисов);
подготовить сведения, которые потребуются для уведомления Роскомнадзора и, в отдельных случаях, субъектов;
совместно с ответственным (DPO) и ИБ‑подразделением скорректировать модель угроз и план внедрения дополнительных мер.

Документирование шагов помогает в дальнейшем диалоге с контролирующим органом и при рассмотрении вопроса о размере штрафа.

Обязанность уведомить Роскомнадзор в течение 24/72 часов

Закон устанавливает жесткий срок информирования регулятора о неправомерной или случайной передаче (ст. 21 ч. 3.1 ФЗ‑152).

Оператор обязан в течение 24 часов направить в Роскомнадзор сообщение о том, что произошел инцидент и описать характер нарушения, возможные причины, предполагаемый вред и контактное лицо. Далее в течение 72 часов после обнаружения предоставить результаты внутреннего расследования. Также указать, какие меры предприняты, удалось ли установить виновных, какие шаги планируются для предотвращения повторения.

Нарушение этих сроков рассматривается как отдельный проступок и усиливает позицию РКН при назначении наказания. Контур регулирования показывает, что Федеральный закон о персональных данных (ФЗ‑152) перестал быть исключительно юридическим документом. Это инструмент, который определяет устойчивость бизнеса к утечкам, претензиям клиентов и штрафам. Для компаний с выручкой в десятки и сотни миллионов рублей тема защиты стала частью финансового планирования.