Оборотные штрафы за утечку персональных данных: кого касается в 2026

С 2025 года ответственность за нарушения в области персональных данных резко ужесточилась. Появились оборотные штрафы — то есть привязанные к выручке компании. Разберём, кого это касается и что делать.

Что изменилось

Раньше штрафы за нарушения 152-ФЗ были относительно небольшими. Теперь:

• за повторную утечку персональных данных введены оборотные штрафы — процент от годовой выручки, и суммы измеряются десятками и сотнями миллионов рублей;
• выросли и обычные штрафы для юридических лиц за нарушения при обработке данных.

Это сделало тему персональных данных вопросом не «бумажным», а финансовым — риск стал ощутимым для бизнеса любого размера.

Кого это касается

Практически любой бизнес, который собирает данные людей:

• сайты с формами — заявки, обратная связь, регистрации;
• интернет-магазины и сервисы — данные клиентов и доставки;
• работодатели — данные сотрудников и кандидатов;
• офлайн-бизнес — анкеты, программы лояльности, видеонаблюдение.

Если вы собираете имя, телефон, e-mail или иные данные, по которым можно определить человека, — вы оператор персональных данных со своими обязанностями.

Что нужно сделать бизнесу

1. Подать уведомление в Роскомнадзор об обработке персональных данных (если ещё не подано).
2. Привести документы в порядок — политика конфиденциальности, согласия, приказы и регламенты.
3. Настроить сайт — корректные формы согласия, cookie-баннер, обработка данных только с согласия.
4. Проверить, где и как хранятся данные — в том числе требование локализации на серверах в РФ.

Как снизить риск

Ключевая идея новых штрафов — наказывать тех, кто игнорирует требования. Базовый комплаенс (уведомление, документы, корректные согласия, аудит обработки) кратно снижает риск и сам штраф, даже если инцидент произойдёт.

Если не уверены, всё ли у вас в порядке с персональными данными, — начните с аудита. Напишите нам, и мы подскажем, что требуется именно вашему бизнесу.

Коротко

Оборотные штрафы сделали 152-ФЗ финансовым риском для бизнеса. Минимальный набор — уведомление в Роскомнадзор, корректные документы и настройка сайта — закрывает большую часть этого риска.