Штрафы Роскомнадзора в 2026: за что накажут бизнес

Штрафы за персональные данные в 2026 году: оборотные штрафы за утечку до 500 млн ₽, до 300 тыс. за неуведомление РКН, локализация данных. Чек-лист, как избежать, и роль 1С:Фреш.

Марина Соколова · Главный бухгалтер, эксперт по налоговому учёту9 июля 2026 г.· 5 мин чтения

С 2025 года штрафы за персональные данные выросли в разы, а с 30 мая 2025-го появились оборотные штрафы за утечки — до 500 млн ₽. При этом подать уведомление в Роскомнадзор об обработке данных теперь обязаны почти все компании и ИП. Разберём, за что штрафуют в 2026 году и как защититься.

Коротко:

  • Оборотные штрафы за повторную утечку — 1–3% выручки, от 20 до 500 млн ₽.
  • Неуведомление РКН об обработке данных — до 300 тыс. ₽ (обязанность почти для всех).
  • Нарушение локализации данных в РФ — до 6 млн ₽, повторно до 18 млн.
  • Неуведомление об утечке (24 / 72 часа) — до 3 млн ₽.
  • Штраф налагается и на юрлицо, и на должностное лицо одновременно.
  • «Проще заплатить штраф» больше не работает.

Что изменилось: оборотные штрафы за утечки

Правовая база — Федеральный закон № 420-ФЗ, новые санкции статьи 13.11 КоАП действуют с 30 мая 2025 года. Главное — штрафы за утечку персональных данных теперь зависят от объёма и могут исчисляться от оборота.

Схема: штрафы за нарушения с персональными данными в 2026 году для юридических лиц — за утечку по объёму данных, за неуведомление Роскомнадзора, за отсутствие политики, за нарушение локализации, за неуведомление об утечке

Объём утечкиШтраф (юрлица и ИП)
1 000–10 000 субъектов3–5 млн ₽
10 000–100 000 субъектов5–10 млн ₽
свыше 100 000 субъектов10–15 млн ₽
биометрия15–20 млн ₽
повторная утечка1–3% выручки, от 20 до 500 млн ₽

Уведомление в Роскомнадзор: теперь почти для всех

С 30 мая 2025 года прежние исключения резко сужены. Подать уведомление об обработке персональных данных обязаны практически все операторы — включая всех работодателей (обрабатывают данные сотрудников) и сайты с формами сбора данных.

  • Срок: до начала обработки.
  • Как: электронно через портал персональных данных pd.rkn.gov.ru (нужна ЭП или Госуслуги) либо на бумаге в теротделение РКН.
  • Штраф за неуведомление: должностные лица 30 000–50 000 ₽, ИП и юрлица 100 000–300 000 ₽.

Обработка без согласия и без политики

  • Обработка без правового основания — юрлица 150 000–300 000 ₽.
  • Обработка без письменного согласия, когда оно обязательно — юрлица 300 000–700 000 ₽, повторно 1–1,5 млн ₽.
  • Нет политики обработки ПДн на сайте — юрлица 30 000–60 000 ₽. Политика должна быть доступна на каждой странице, где собираются данные (формы заявок, обратная связь, подписки, cookie).

Локализация: данные россиян — в России

Первичный сбор и хранение персональных данных граждан РФ должны вестись на серверах в России (242-ФЗ). Иностранный хостинг, зарубежные CRM и облака для первичного хранения — нарушение.

  • Штраф: юрлица 1–6 млн ₽, повторно 6–18 млн ₽.

Утечка: уведомить за 24 и 72 часа

При утечке нужно уведомить Роскомнадзор:

  • в течение 24 часов — первичное уведомление об инциденте;
  • в течение 72 часов — результаты внутреннего расследования.

Штраф за неуведомление — должностные лица 400 000–800 000 ₽, ИП и юрлица 1–3 млн ₽ (это отдельно от штрафа за саму утечку).

Чек-лист: как снизить риск

  1. Подать уведомление в РКН об обработке ПДн (pd.rkn.gov.ru) — до начала обработки.
  2. Разместить политику обработки ПДн на сайте.
  3. Оформить согласия сотрудников и клиентов, отдельное согласие на cookie и рассылки.
  4. Обеспечить локализацию — хранить данные россиян в РФ.
  5. Назначить приказом ответственного за обработку ПДн, утвердить регламенты.
  6. Настроить процедуру реагирования на утечку (24 / 72 часа), вести журнал инцидентов.

Роль 1С:Фреш

В 1С хранятся персональные данные сотрудников (ЗУП, кадры) и клиентов (контрагенты, CRM), поэтому база 1С — это информационная система персональных данных (ИСПДн), которую нужно защищать по 152-ФЗ и приказу ФСТЭК № 21.

Данные 1С:Фреш хранятся в дата-центрах на территории РФ (ЦОД класса K2), а для строгих требований есть отдельный продукт «Аттестованный 1С:Фреш» с аттестатом ФСТЭК — это закрывает техническую защиту и локализацию. Но организационные обязанности — уведомление РКН, политика, согласия, ответственный — остаются на компании. Подробнее — в статье про безопасность данных в 1С:Фреш. Локальная 1С на своём сервере требует самостоятельной аттестации ИСПДн.

Частые ошибки

  • Не подали уведомление в РКН — раньше пользовались исключением «только работники», теперь оно почти для всех обязательно.
  • Формальная или отсутствующая политика обработки на сайте.
  • Сбор через формы и cookie без согласия.
  • Хранение данных на зарубежных серверах — нарушение локализации.
  • Нет процедуры уведомления об утечке в срок 24/72 часа.

Источники

Связанные материалы:

Поможем с безопасностью данных

Подскажем, как разместить базу 1С в аттестованном облаке 1С:Фреш и закрыть техническую часть требований по персональным данным.

Получить демо-доступ на 30 дней → · Задать вопрос →

Частые вопросы

Нужно ли подавать уведомление в Роскомнадзор об обработке персональных данных?

Да. С 30 мая 2025 года обязанность распространяется практически на всех операторов, включая всех работодателей и сайты с формами сбора данных. Уведомление подаётся до начала обработки через портал pd.rkn.gov.ru. За неуведомление штраф для ИП и юрлиц — от 100 000 до 300 000 рублей.

Какие штрафы за утечку персональных данных в 2026 году?

Штраф зависит от объёма: при утечке 1 000–10 000 субъектов — 3–5 млн ₽, 10 000–100 000 — 5–10 млн ₽, свыше 100 000 — 10–15 млн ₽, за биометрию — 15–20 млн ₽. За повторную утечку действует оборотный штраф: 1–3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.

Обязательно ли хранить персональные данные россиян в России?

Да, действует требование локализации: первичный сбор и хранение персональных данных граждан РФ должны вестись на серверах в России (242-ФЗ). За нарушение штраф для юрлиц — от 1 до 6 млн рублей, при повторном — от 6 до 18 млн. Иностранный хостинг и зарубежные CRM/облака под запретом для первичного хранения.

В какой срок нужно уведомить об утечке данных?

Первичное уведомление в Роскомнадзор — в течение 24 часов с момента обнаружения инцидента, результаты внутреннего расследования — в течение 72 часов. За неуведомление отдельный штраф: для ИП и юрлиц от 1 до 3 млн рублей — сверх штрафа за саму утечку.

Помогает ли 1С:Фреш выполнить требования по персональным данным?

Частично. Данные 1С:Фреш хранятся в дата-центрах на территории РФ (ЦОД класса K2), а для строгих требований есть отдельный продукт «Аттестованный 1С:Фреш» с аттестатом ФСТЭК — это закрывает техническую защиту и локализацию. Но организационные обязанности (уведомление РКН, политика обработки, согласия, назначение ответственного) остаются на самой компании-операторе.

Консультация

Поможем со всеми вопросами по 1С:Фреш

Подберём тариф, объясним отличия конфигураций, посчитаем стоимость, ответим про перенос базы и сроки. Без чат-ботов — живой консультант на связи в рабочее время.

  • Подбор тарифа под ваш бизнес
  • Расчёт стоимости с учётом сеансов и баз
  • Бесплатная демо-подписка на 30 дней
  • Личный консультант, без чат-ботов

Или позвоните прямо сейчас

+7 (978) 650-00-80

Пн–Пт, 9:00–18:00 МСК · в России

Перезвоним за 15 минут

Подберём тариф, ответим на вопросы про перенос базы в облако и подключение.

Это не оплата — просто заявка. Сервис 1С:Фреш предоставляет фирма «1С».