Штрафы за утечку ПД: до 500 млн в 2026

После вступления в силу 420-ФЗ утечки персональных данных перестали быть «проблемой крупных корпораций». С 30 мая 2025 года даже для малого бизнеса это прямой финансовый риск: штрафы за утечку, неуведомление Роскомнадзора и нарушения при сборе данных складываются в одну цепочку.

767 миллионов записей с персональными данными россиян утекло в открытый доступ за 2025 год (отчёт F6). На 67.6% больше, чем в 2024-м. Росреестр, KIA Россия, АльфаСтрахование - крупные компании с выделенными ИБ-отделами не смогли удержать базы. А с 30 мая 2025 года за это начали реально наказывать: 420-ФЗ ввёл оборотные штрафы за утечки. Не 60 тысяч, как раньше. До 500 миллионов.

Первые штрафы по новым статьям уже выписаны. Роскомнадзор обещает больше проверок в 2026. А вы зарегистрированы как оператор ПД?

Что изменил 420-ФЗ?

30 ноября 2024 президент подписал 420-ФЗ. Закон впервые привязал размер штрафа к масштабу утечки и к выручке компании. Основные нормы вступили в силу 30 мая 2025.

До этого момента ситуация была абсурдной. Слили базу на миллион человек? 60-100 тысяч рублей штрафа. Компании буквально закладывали эту сумму в бюджет и не парились. Зачем тратить на защиту данных, если штраф дешевле зарплаты стажёра?

Теперь расклад другой. Первичная утечка - миллионы. Повторная - процент от выручки. И уголовная ответственность по новой ст. 272.1 УК РФ за незаконное использование ПД - до 10 лет.

Параллельно ужесточили требования к локализации. С 1 июля 2025 запрещён первичный трансграничный сбор ПД россиян. Раньше можно было собирать данные на зарубежных серверах и потом копировать в РФ. Теперь нет. Сначала хранение в России, потом - если нужно - передача за рубеж с уведомлением РКН. Google Forms, Typeform, HubSpot без российского зеркала - всё нарушение.

Новые штрафы: конкретные цифры

Штрафы складываются. Слили базу и не уведомили РКН за 24 часа? Штраф за утечку плюс 1-3 млн за неуведомление. Не зарегистрировались в реестре операторов? Ещё 100-300 тысяч. Обрабатывали ПД без согласия? 150-300 тысяч сверху. За один инцидент можно собрать 5-20 млн рублей штрафов.

Среднее количество записей на утечку в 2025 году - 3.27 миллиона. На 26% больше, чем годом ранее. Каждый инцидент бьёт всё больнее.

Отдельно про банки. Для них штраф считается не от выручки, а от размера собственных средств на дату нарушения. Учитывая капитализацию крупных банков, суммы могут быть космическими. Впрочем, банки как раз вкладываются в безопасность больше всех; основной удар примут компании поменьше, у которых и бюджета на защиту нет, и штраф по оборотке будет на минимуме в 20 млн.

А малый бизнес это касается?

Ещё как. 51% российских компаний сталкивались с утечками (СёрчИнформ, 2026). Половина. И до 70% утечек данных приходится на малый и средний бизнес - не потому что хакерам нравятся маленькие базы, а потому что защита там нулевая.

У вас на сайте есть форма обратной связи? Собираете имя, телефон, email? Поздравляю - вы оператор персональных данных по 152-ФЗ. Не важно, ООО вы или ИП с лендингом на Тильде и amoCRM. Закон не делает исключений по размеру бизнеса.

Я проверял сайты наших клиентов в январе 2026. Результат? У четырёх из десяти политика конфиденциальности не соответствовала требованиям. У двоих формы отправляли данные без HTTPS. Один хранил клиентскую базу в Google Sheets с расшаренным доступом - по закону это уже инцидент, несанкционированный доступ к ПД.

Кстати, топ-3 отраслей по утечкам: логистика (60% инцидентов), розница (18%), e-commerce (6.5%). Госсектор в отдельной статистике - 73% от общего числа утечек в 2025 году; 17 инцидентов только за первое полугодие.

Что сделать прямо сейчас

Вот чеклист. Не на потом, а на эту неделю.

• Зарегистрируйтесь как оператор ПД. Бесплатно, 20 минут. pd.rkn.gov.ru. Если не зарегистрированы - уже нарушаете (штраф 100-300 тыс.)
• Обновите политику конфиденциальности. Она должна содержать: ваше ИНН/ОГРН, какие данные собираете, зачем, сколько храните, кому передаёте, как отозвать согласие. Шаблон 2019 года с чужим названием не подойдёт
• SSL-сертификат и HTTPS. Формы, передающие ПД по HTTP - отягчающее обстоятельство при проверке. В 2026 году это как магазин без двери
• Чекбокс согласия на обработку ПД - на каждой форме. Не предзаполненный. С ссылкой на политику
• Подготовьте план на случай утечки. 24 часа на уведомление РКН, 72 часа на отчёт. Если инцидент случится в пятницу вечером, вам нужно знать, кому звонить
• Минимизируйте данные. Зачем барбершопу паспортные данные? Зачем интернет-магазину дата рождения? Меньше собираете - меньше утечёт

Ошибки, которые мы видим каждую неделю

Ссылка на политику конфиденциальности ведёт на 404. Серьёзно - откройте свою прямо сейчас и проверьте. Мы находим это на каждом третьем сайте, который приходит на аудит.

Базы клиентов в Google Sheets с общим доступом. Менеджер расшарил таблицу "для удобства", ссылка индексируется поисковиками. Мы такое встречали дважды за последние полгода. По закону это инцидент; несанкционированный доступ к персональным данным.

CRM без двухфакторки. Бывший сотрудник скачал базу и слил конкуренту. Или просто забыли отключить доступ. Отвечаете вы, не он - оператор ПД несёт ответственность за утечку вне зависимости от того, кто именно её допустил.

И моя "любимая" история. Компания собирает данные через формы на сайте, хранит в CRM, отправляет рассылки - и при этом не зарегистрирована как оператор ПД. На вопрос "почему" отвечают: "А мы не знали, что нужно." Незнание закона не освобождает от штрафа в 300 тысяч.

Как это связано с вашим сайтом

Сайт - первая точка сбора персональных данных для большинства бизнесов. И самая уязвимая.

Формы обратной связи. Каждая форма, собирающая имя + телефон + email, попадает под 152-ФЗ. Нужен чекбокс согласия, HTTPS, корректная политика. С 30 мая 2025 cookies тоже считаются персональными данными, если позволяют идентифицировать пользователя - а значит, нужен cookie-баннер с активным согласием. Не декоративный "мы используем куки, ок?", а полноценный: кнопка принять, кнопка отказаться, выбор категорий (аналитические, рекламные, функциональные). Без предзаполненных галочек. РКН ведёт автоматизированный мониторинг - ежедневные скрипты проверяют сайты.

Хранение данных. Если ваш сайт использует зарубежный хостинг или CRM без локализации в РФ (HubSpot, Salesforce, Typeform) - с 1 июля 2025 это нарушение. Штраф за нелокализованные ПД - 1-6 млн руб. первично, до 18 млн повторно. Причём любой API-запрос, который передаёт IP или cookies на зарубежный сервер, считается трансграничной передачей. reCAPTCHA от Google? Передача. Встроенные виджеты Facebook? Передача. Мы перевели всех наших клиентов на hCaptcha и self-hosted решения ещё в 2025 году.

Аналитика. Google Analytics отправляет IP пользователей на серверы Google. В январе 2025 РКН массово рассылал письма владельцам таких сайтов. Альтернатива - Яндекс.Метрика, которая хранит данные в России. Переход занимает час; штраф за GA на сайте может стоить миллионы.

Согласие на обработку ПД. С 1 сентября 2025 действует требование: отдельное согласие на каждую цель обработки. Нельзя одним чекбоксом покрыть и "связаться с вами" и "отправлять рассылки" и "передавать партнёрам". Каждая цель - отдельный документ. Как это реализовать на сайте - отдельная техническая задача, но начать нужно с юридической: определить цели, составить тексты согласий, прописать сроки хранения для каждой категории данных.

Мы писали об этом подробнее в статье про аудит сайтов для бизнеса - там полный перечень технических проверок по 152-ФЗ.

FAQ

Какой штраф за утечку персональных данных в 2026 году?

Зависит от масштаба. Первый раз: от 3-5 млн (1 000+ пострадавших) до 10-15 млн (100 000+). Повторная утечка - 1-3% годовой выручки, минимум 20 млн, потолок 500 млн руб. Плюс отдельный штраф за неуведомление РКН - 1-3 млн. Штрафы суммируются.

Нужно ли регистрироваться как оператор ПД, если у меня только сайт с формой?

Да. Любой сбор ПД - имя, телефон, email через форму обратной связи - делает вас оператором. Даже если вы ИП. Даже если форма одна. Регистрация бесплатная: pd.rkn.gov.ru. Занимает 20 минут. Штраф за незарегистрированного оператора - 100-300 тыс. руб.

Что делать, если произошла утечка данных?

24 часа на уведомление Роскомнадзора. 72 часа на отчёт о результатах расследования. Не уведомили? Штраф 1-3 млн для юрлиц, 400-800 тыс. для должностных лиц - отдельно от штрафа за саму утечку. Честно, лучше иметь готовый план до того, как случится инцидент.

Кому нужна помощь в первую очередь

E-commerce и онлайн-сервисы. Вы храните ФИО, адреса доставки, историю покупок, платёжные данные. Каждый заказ - персональные данные. При утечке базы на 10 000+ клиентов штраф стартует от 5 млн руб.

Медицина и фитнес. Данные о здоровье - спецкатегория ПД. Утечка медицинских записей - до 15 млн штрафа с первого раза, 25 млн минимум за повторную.

Логистика и доставка - лидер по утечкам в 2025 году. 60% всех инцидентов. Курьерские сервисы, транспортные компании, склады - у всех огромные базы получателей с адресами и телефонами.

Компании с Telegram-ботами и чат-ботами. Бот собирает данные пользователей? Вы оператор ПД. Бот подключён к CRM без локализации в РФ? Нарушение. Мы с этим сталкиваемся постоянно - бизнес запускает бота для автоматизации, а про 152-ФЗ забывает.

По данным аналитиков, средний ущерб от кибератаки на МСБ составляет 2.5-5 млн руб. - простой, штрафы, восстановление, репутация. Для среднего бизнеса - 5-15 млн. И это уже без учёта оборотных штрафов за повторные утечки. 60% взломов малого бизнеса происходят через человеческий фактор: слабые пароли, фишинговые письма, скачивание заражённых файлов. Не через сложные хакерские атаки - через банальную невнимательность.

Если вы не уверены, всё ли в порядке с защитой данных на вашем сайте - это повод провести аудит. Не "когда-нибудь", а до того, как РКН постучится с проверкой. Или до того, как менеджер случайно расшарит базу.

Закон работает. Штрафы настоящие. Регулирование ужесточается по всем фронтам - и ПД, и AI-контент, и реклама. В 2025 году ущерб экономике РФ от кибератак оценивают в 1.5 трлн рублей (Сбербанк). Количество атак выросло в 2.5 раза за два года. Государство закручивает гайки, и это не закончится одним 420-ФЗ.

Начните с простого: зарегистрируйтесь в РКН, обновите политику, включите двухфакторку в CRM, замените Google Analytics на Метрику. Займёт день. Не начнёте - рискуете миллионами.