О чем материал:
Еще год назад многие организации воспринимали требования законодательства о персональных данных как формальность. Достаточно было разместить на сайте политику обработки персональных данных, собрать базовый комплект документов и при необходимости ответить на запрос Роскомнадзора. Такой подход долгое время казался рациональным. Большинство нарушений влекли относительно небольшие штрафы, а сама тема персональных данных редко воспринималась как один из ключевых рисков бизнеса.
Однако после масштабных изменений законодательства ситуация изменилась. Появились новые составы административной ответственности за утечки персональных данных, существенно выросли штрафы за нарушения порядка уведомления Роскомнадзора, а для отдельных нарушений были введены механизмы оборотной ответственности.
В результате ошибки, которые раньше стоили десятки тысяч рублей, сегодня могут обойтись компании в миллионы. Поэтому современная проверка Роскомнадзора представляет собой уже не формальное контрольное мероприятие, а проверку зрелости системы управления рисками в сфере персональных данных.
Что изменилось в эпоху оборотных штрафов
Последние изменения законодательства фактически создали новую модель регулирования. Если раньше основной акцент делался на формальное соблюдение отдельных требований закона, то сегодня государство оценивает способность компании обеспечить безопасную обработку персональных данных на протяжении всего жизненного цикла.
Особое внимание уделяется:
- законности обработки персональных данных;
- корректности уведомлений Роскомнадзора;
- локализации данных российских граждан;
- трансграничной передаче данных;
- утечкам персональных данных;
- обработке биометрических персональных данных;
- готовности компании реагировать на инциденты информационной безопасности.
Для бизнеса это означает, что персональные данные переходят из категории юридического комплаенса в категорию полноценного корпоративного риск-менеджмента.
Как сегодня выглядит фокус проверки Роскомнадзора
На практике регулятора интересует не наличие папки с документами, а способность компании доказать законность и безопасность обработки данных.
Законность обработки данных — компания должна понимать:
- какие данные собираются;
- зачем они собираются;
- на каком основании обрабатываются;
- как долго хранятся;
- когда уничтожаются.
Избыточный сбор данных или отсутствие понятной цели обработки сегодня являются самостоятельными факторами риска.
Корректность уведомления Роскомнадзора — одной из наиболее распространенных проблем остается несоответствие сведений в реестре операторов фактической деятельности компании.
Регулятор сравнивает:
- категории субъектов;
- категории персональных данных;
- информационные системы;
- цели обработки;
- используемые процессы.
Расхождения становятся основанием для претензий даже при отсутствии утечек.
Реальное функционирование системы защиты — проверяются:
- разграничение доступа сотрудников;
- внутренние регламенты;
- процедуры реагирования на инциденты;
- деятельность ответственного за обработку персональных данных;
- контроль исполнения требований законодательства.
Работа с подрядчиками — особое внимание уделяется:
- договорам поручения на обработку персональных данных;
- порядку передачи данных подрядчикам;
- механизмам контроля обработчиков.
Биометрические данные — отдельным направлением контроля остаются:
- системы распознавания лиц;
- биометрическая идентификация;
- специальные категории персональных данных.
Пять ошибок, которые чаще всего приводят к претензиям Роскомнадзора
Ошибка №1. Неактуальное уведомление Роскомнадзора. Компания подала уведомление несколько лет назад и больше его не обновляла. За это время изменились бизнес-процессы, информационные системы и способы обработки данных, однако сведения в реестре остались прежними. Сегодня это одно из самых распространенных нарушений.
Ошибка №2. Отсутствие готовности к утечке данных. Большинство компаний концентрируются на предотвращении инцидентов и забывают о сценарии реагирования. После появления новых составов ответственности качество действий после выявления утечки стало одним из ключевых факторов оценки со стороны регулятора.
Ошибка №3. Формальные документы вместо работающих процессов. Политики существуют отдельно от реальной деятельности компании. Сотрудники не знают требований внутренних документов, подразделения используют собственные процедуры, а контроль исполнения отсутствует.
Ошибка №4. Отсутствие контроля подрядчиков. Компания передает данные внешним исполнителям, но не контролирует их дальнейшую обработку. Для Роскомнадзора подобная ситуация рассматривается как существенный риск.
Ошибка №5. Неправильная работа с биометрическими данными. Использование систем распознавания лиц или иных биометрических решений требует соблюдения специальных требований законодательства. Ошибки в этой сфере традиционно привлекают повышенное внимание регулятора.
Штрафы в сфере персональных данных в 2026 году
Наиболее значимые составы ответственности сегодня связаны не с отсутствием документов как таковых, а с нарушениями, способными повлиять на права субъектов персональных данных или привести к компрометации информации.
| Нарушение | Норма КоАП РФ | Размер штрафа для юридических лиц |
| Незаконная обработка персональных данных | ст. 13.11 КоАП РФ | до 300 000 руб. |
| Обработка персональных данных без надлежащего согласия субъекта | ст. 13.11 КоАП РФ | до 700 000 руб. |
| Непредставление уведомления о начале обработки персональных данных | ст. 13.11 КоАП РФ | до 300 000 руб. |
| Несвоевременное уведомление об инциденте или утечке персональных данных | ст. 13.11 КоАП РФ | до 3 млн руб. |
| Нарушение требований о локализации персональных данных | ст. 13.11 КоАП РФ | до 6 млн руб. |
| Повторное нарушение требований локализации | ст. 13.11 КоАП РФ | до 18 млн руб. |
| Утечка персональных данных | ст. 13.11 КоАП РФ | до 15 млн руб. |
| Повторная масштабная утечка персональных данных | ст. 13.11 КоАП РФ | оборотный штраф от 1 до 3% годовой выручки (но не менее 25 млн и не более 500 млн руб.) |
Важно учитывать, что в случае утечки регулятор оценивает не только сам факт инцидента, но и действия компании после его выявления. Отсутствие внутренних процедур реагирования может существенно ухудшить положение оператора.
Что должен проверить бизнес уже сейчас
Перед возможной проверкой целесообразно провести внутренний аудит по следующим направлениям.
Уведомление Роскомнадзора
- актуальны ли сведения в реестре;
- отражены ли все процессы обработки данных;
- указаны ли все используемые информационные системы.
Документы
- актуализирована политика обработки персональных данных;
- оформлены согласия субъектов;
- подготовлены регламенты реагирования на инциденты.
Сайт
- корректно работают формы сбора данных;
- настроен механизм получения согласия на обработку данных;
- реализован cookie-баннер;
- исключены незаконные трансграничные передачи данных.
Подрядчики
- оформлены поручения на обработку персональных данных;
- предусмотрены механизмы контроля подрядчиков.
Организационные меры
- назначен ответственный за организацию обработки персональных данных;
- проводится внутренний контроль;
- сотрудники проходят обучение.
Инциденты
- разработан порядок реагирования на утечки;
- определены ответственные лица;
- сформирован порядок взаимодействия с Роскомнадзором.
Первые выводы из новой практики
Практика применения новых составов ответственности пока продолжает формироваться. Однако общий вектор уже очевиден. Регулятор постепенно переходит от проверки отдельных документов к оценке фактической способности компании управлять рисками обработки персональных данных.
Это означает, что наличие политики конфиденциальности само по себе больше не гарантирует отсутствие претензий. Значение приобретают реальные процессы, внутренний контроль и готовность компании действовать в условиях инцидента.
Штрафные санкции
Штраф не единственная мера воздействия. Роскомнадзор может выдать предписание об устранении нарушений. В случае его неисполнения ведомство привлекает компанию к ответственности, а также может инициировать в судебном порядке блокировку сайта-нарушителя или полную приостановку незаконной обработки данных.Что делать, если вынесено предписание или штраф? В ситуации, когда проверка завершилась предписанием об устранении нарушений либо административным штрафом, важно действовать быстро, четко и без затягивания сроков. Иначе столкнетесь с серьезными последствиями: от крупных повторных штрафов до блокировки интернет-ресурсов, а для лицензируемых видов деятельности — вплоть до приостановления лицензии.
Исполнение предписания
Если в ходе проверки Роскомнадзор выявил серьезное нарушение в сфере персональных данных, инспектор выдает официальное предписание об их устранении. Срок на исполнение предписания законом не ограничен: он устанавливается инспектором индивидуально в каждом документе, исходя из характера нарушений и времени, необходимого для их устранения.Срок на выполнение предписания законом ограничен:
- не менее 10 рабочих дней;
- не более 30 рабочих дней с момента получения документа.
Для профильных лицензиатов (например, операторов связи) при выявлении грубых нарушений лицензионных условий Роскомнадзор также вправе вынести официальное предупреждение о возможной приостановке лицензии, если предписание не будет исполнено вовремя.
За это время организация обязана:
- устранить все указанные в предписании нарушения;
- собрать документальные подтверждения того, что меры были приняты (акты, приказы, скриншоты обновленного сайта, копии уведомлений и др.);
- направить доказательства в территориальное управление Роскомнадзора.
Если предписание не исполнено в установленный срок, Роскомнадзор вправе обратиться в суд с заявлением о прекращении или запрете обработки персональных данных. Кроме того, за само неисполнение предписания компании грозит административная ответственность по ч. 1 ст. 19.5 КоАП РФ в виде штрафа от 10 тыс. до 20 тыс. руб. для юридических лиц.
Однако штраф за неисполнение предписания — не главная проблема. Гораздо опаснее сопутствующие меры: Роскомнадзор может через суд добиться полной блокировки сайта-нарушителя или запрета на обработку данных, что фактически парализует работу бизнеса. Кроме того, ведомство имеет право назначить повторную внеплановую проверку, которая может привести к новым штрафам
Обжалование результатов проверки
Если вы не согласны с выводами инспекторов или считаете, что нарушения не были допущены, предписание можно обжаловать. Срок подачи жалобы — в течение 10 рабочих дней с даты получения предписания. Жалоба подается исключительно в электронной форме через портал Госуслуг (ст. 40 248–ФЗ).. В ней следует аргументировать позицию: приложить документы, подтверждающие вашу правоту, либо указать на процедурные нарушения при проведении проверки.
После рассмотрения жалобы РКН может отменить предписание полностью или частично либо оставить его без изменений. Если ведомство отказало в удовлетворении жалобы, у компании есть еще один инструмент — обращение в суд. В таких случаях рекомендуется привлекать юриста, специализирующегося на административных спорах с госорганами.
Хотите быть уверены, что компания соблюдает все требования закона о персональных данных? Курс «Защита персональных данных» даст вам полную практическую базу:
- Вы изучите работу с персональными данными и 152-ФЗ, разберетесь с трансграничной передачей данных.
- Научитесь работать с нормативно-правовыми и локальными документами.
- Сможете провести аудит компании на соответствие требованиям законодательства и при необходимости — локализовать данные.

С такой подготовкой вы сможете быстро продвинуться до уровня Data Protection Officer и управлять процессами защиты персональных данных профессионально. Программа обучения:
- Управление рисками.
- Проверка регулятора.
- Составление документов (Уровень PRO).
- Выстраивание систем защиты и обработки персональных данных (Уровень PRO).
- Аудит работы с персональными данными в организации (Уровень PRO).
- Data Protection Officer — статус и функции (в Оптимальном тарифе)
- Карьерное развитие.




