Штрафы за нарушения в ПДн в 2026
Новые суммы штрафов за нарушения в персональных данных, оборотные штрафы при утечках и шаги по аудиту до проверки Роскомнадзора.
С 2026 года экономика работы с персональными данными меняется. Прежние штрафы воспринимались бизнесом как фоновая стоимость нарушения, иногда дешевле, чем разовая зарплата комплаенс-специалиста. Новые санкции, включая оборотные при крупных утечках, делают эту арифметику неактуальной.
Прежние и новые суммы
Базовые штрафы по статье 13.11 КоАП за нарушения обработки ПДн юрлицами выросли в несколько раз. Это касается:
- обработки без согласия или с превышением заявленных целей,
- невыполнения обязанности по локализации,
- неуведомления Роскомнадзора о намерении обрабатывать данные,
- отсутствия политики или невыполнения требований по уничтожению.
Для повторных нарушений шкала ещё выше. На практике это означает, что одна и та же типовая ошибка, обнаруженная при первой и второй проверке, превращается в кратно больший штраф.
Оборотные штрафы при утечках
Главное изменение - оборотный штраф за утечку. Если в открытый доступ попадает массив данных от определённого порога (по количеству субъектов или категорий сведений), штраф рассчитывается как процент от выручки за календарный год. Для среднего бизнеса это суммы, способные обнулить годовую прибыль, для малого - заставить закрыть направление.
Под оборотный штраф попадают компании, у которых:
- есть клиентская база с контактами,
- хранятся данные сотрудников, особенно с копиями документов,
- идёт работа с категориями данных, требующих повышенной защиты (медицина, биометрия, дети),
- работают подрядчики с доступом к данным без должного оформления.
Кого касается в первую очередь
Под усиленный режим попадают не только крупные операторы. Малый и средний бизнес тоже в зоне риска, особенно если он:
- продаёт через маркетплейсы и собирает данные через лояльность,
- держит CRM с историями переписки,
- использует SaaS-сервисы, которые хранят данные за периметром компании,
- работает с подрядчиками-фрилансерами без оформленных поручений на обработку.
Граница ответственности между оператором и обработчиком в проверке трактуется не в пользу оператора. Поэтому передача данных подрядчику без оформления отношений по 152-ФЗ - это риск, который не уходит вместе с подрядчиком, и внутреннее расследование тут не закроет всю историю.
Аудит до проверки
Подготовка похожа на проверку контрагента - только направленную внутрь. Шаги, которые стоит пройти до того, как пришло уведомление от Роскомнадзора:
- Инвентаризация данных. Какие категории, в каких системах, по каким основаниям обрабатываются.
- Документы. Политика, согласия, локальные акты, должностные инструкции, реестр обработки.
- Договоры с подрядчиками. Поручения на обработку, требования к защите, ответственность.
- Технические меры. Доступы, журналы, шифрование, бэкапы, защита от утечек.
- Регламент инцидента. Кто что делает в первые сутки после обнаружения утечки.
В связке с этим работает антимонопольный комплаенс - схожий по логике процесс: внутренние правила, обучение, регулярная проверка. Чем раньше встроены такие циклы, тем меньше шансов, что проверка обнаружит системную проблему.
Контекст для понимания, как это сочетается с другими изменениями года, дан в обзоре 2026. По нагрузке на бизнес ПДн в этом году выходят в первую тройку рисков.