С 2025 года штрафы за персональные данные выросли в разы, а с 30 мая 2025-го появились оборотные штрафы за утечки — до 500 млн ₽. При этом подать уведомление в Роскомнадзор об обработке данных теперь обязаны почти все компании и ИП. Разберём, за что штрафуют в 2026 году и как защититься.
Коротко:
- Оборотные штрафы за повторную утечку — 1–3% выручки, от 20 до 500 млн ₽.
- Неуведомление РКН об обработке данных — до 300 тыс. ₽ (обязанность почти для всех).
- Нарушение локализации данных в РФ — до 6 млн ₽, повторно до 18 млн.
- Неуведомление об утечке (24 / 72 часа) — до 3 млн ₽.
- Штраф налагается и на юрлицо, и на должностное лицо одновременно.
- «Проще заплатить штраф» больше не работает.
Что изменилось: оборотные штрафы за утечки
Правовая база — Федеральный закон № 420-ФЗ, новые санкции статьи 13.11 КоАП действуют с 30 мая 2025 года. Главное — штрафы за утечку персональных данных теперь зависят от объёма и могут исчисляться от оборота.
| Объём утечки | Штраф (юрлица и ИП) |
|---|---|
| 1 000–10 000 субъектов | 3–5 млн ₽ |
| 10 000–100 000 субъектов | 5–10 млн ₽ |
| свыше 100 000 субъектов | 10–15 млн ₽ |
| биометрия | 15–20 млн ₽ |
| повторная утечка | 1–3% выручки, от 20 до 500 млн ₽ |
Уведомление в Роскомнадзор: теперь почти для всех
С 30 мая 2025 года прежние исключения резко сужены. Подать уведомление об обработке персональных данных обязаны практически все операторы — включая всех работодателей (обрабатывают данные сотрудников) и сайты с формами сбора данных.
- Срок: до начала обработки.
- Как: электронно через портал персональных данных pd.rkn.gov.ru (нужна ЭП или Госуслуги) либо на бумаге в теротделение РКН.
- Штраф за неуведомление: должностные лица 30 000–50 000 ₽, ИП и юрлица 100 000–300 000 ₽.
Обработка без согласия и без политики
- Обработка без правового основания — юрлица 150 000–300 000 ₽.
- Обработка без письменного согласия, когда оно обязательно — юрлица 300 000–700 000 ₽, повторно 1–1,5 млн ₽.
- Нет политики обработки ПДн на сайте — юрлица 30 000–60 000 ₽. Политика должна быть доступна на каждой странице, где собираются данные (формы заявок, обратная связь, подписки, cookie).
Локализация: данные россиян — в России
Первичный сбор и хранение персональных данных граждан РФ должны вестись на серверах в России (242-ФЗ). Иностранный хостинг, зарубежные CRM и облака для первичного хранения — нарушение.
- Штраф: юрлица 1–6 млн ₽, повторно 6–18 млн ₽.
Утечка: уведомить за 24 и 72 часа
При утечке нужно уведомить Роскомнадзор:
- в течение 24 часов — первичное уведомление об инциденте;
- в течение 72 часов — результаты внутреннего расследования.
Штраф за неуведомление — должностные лица 400 000–800 000 ₽, ИП и юрлица 1–3 млн ₽ (это отдельно от штрафа за саму утечку).
Чек-лист: как снизить риск
- Подать уведомление в РКН об обработке ПДн (pd.rkn.gov.ru) — до начала обработки.
- Разместить политику обработки ПДн на сайте.
- Оформить согласия сотрудников и клиентов, отдельное согласие на cookie и рассылки.
- Обеспечить локализацию — хранить данные россиян в РФ.
- Назначить приказом ответственного за обработку ПДн, утвердить регламенты.
- Настроить процедуру реагирования на утечку (24 / 72 часа), вести журнал инцидентов.
Роль 1С:Фреш
В 1С хранятся персональные данные сотрудников (ЗУП, кадры) и клиентов (контрагенты, CRM), поэтому база 1С — это информационная система персональных данных (ИСПДн), которую нужно защищать по 152-ФЗ и приказу ФСТЭК № 21.
Данные 1С:Фреш хранятся в дата-центрах на территории РФ (ЦОД класса K2), а для строгих требований есть отдельный продукт «Аттестованный 1С:Фреш» с аттестатом ФСТЭК — это закрывает техническую защиту и локализацию. Но организационные обязанности — уведомление РКН, политика, согласия, ответственный — остаются на компании. Подробнее — в статье про безопасность данных в 1С:Фреш. Локальная 1С на своём сервере требует самостоятельной аттестации ИСПДн.
Частые ошибки
- Не подали уведомление в РКН — раньше пользовались исключением «только работники», теперь оно почти для всех обязательно.
- Формальная или отсутствующая политика обработки на сайте.
- Сбор через формы и cookie без согласия.
- Хранение данных на зарубежных серверах — нарушение локализации.
- Нет процедуры уведомления об утечке в срок 24/72 часа.
Источники
- Статья 13.11 КоАП РФ — КонсультантПлюс
- pd.rkn.gov.ru — подача уведомления в Роскомнадзор
- 152-ФЗ «О персональных данных» — КонсультантПлюс
- Приказ ФСТЭК № 21 — защита персональных данных в ИСПДн
Связанные материалы:
- Что такое 1С:Фреш — облачная 1С для бизнеса
- Резервное копирование и безопасность данных в 1С:Фреш
- Налоговая реформа 2026: что изменилось для бизнеса
Поможем с безопасностью данных
Подскажем, как разместить базу 1С в аттестованном облаке 1С:Фреш и закрыть техническую часть требований по персональным данным.
