Первая практика по применению новых штрафов по персональным данным: что проверить и как минимизировать риски
29 апреля 2026
В области персональных данных и так нарушения всегда были очень высокими. С июня 2025 с учетом принятых поправок в ст. 13.11 КоАП РФ. они стали беспрецендентными.Штрафы теперь измеряются миллионами, и поэтому важно разобрать, что попало в основные риски после ужесточения санкций.
1. Утечка данных - самое критичное нарушение, за которое сразу в конце прошлого года пошла практика проверок и штрафов.
В этом году Роскомнадзор резко увеличит количество штрафов для бизнеса за утечку персональных данных. Как передаёт корреспондентка «Осторожно, новости» с форума РИФ-2026, об этом заявил член рабочей группы РКН Максим Лагутин.Он рассказал, что Роскомнадзор в прошлом году проанализировал около 78 тысяч сайтов и более чем в 60 тысяч из них найдены нарушения, связанные с хранением персональных данных. В 2024 году РКН изучил только 6 тысяч сайтов, поэтому количество штрафов за утечки в этом году резко вырастет.
По словам Лагутина, так ведомство будет мотивировать бизнес решать проблему.
Риски: от 3 млн. до 20 млн. в зависимости от размера ущерба. При повторном - от 1 до 3% от выручки организации за год (п. п.12.-п.14.п.16-п.17. ст. 13.11. КоАП РФ).
Какие документы критично проверить, чтобы снизить риски?
Перечень документов:
- локальные акты по предотвращению, выявлению и устранению нарушений;
- акт об оценке потенциального вреда;
- акт о соответствии принимаемых Оператором мер в соответствии с актом об оценке потенциального вреда;
- карта целей и субъектов ПД;
- уведомление об обработке в РКН;
- политика об обработке ПД.
2. Приоритет №2. Уведомление об инцидентах.
Если что-то произошло, но компания не хочет уведомлять об этом Роскомнадзор, то штраф только за не подачу такого уведомления в течение 24 часов сразу составит от 1 до 3 млн. А таких уведомлений там два: одно подается в течение 24 часов, а второе в течение 72 часов.Риски: от 1 млн. до 3 млн. (п.11. ст. 13.11. КоАП РФ).
Какие документы критично проверить, чтобы снизить риски?
Перечень документов:
- уведомления в РКН об инцидентах;
- уведомления об результатах расследований.
3. Приоритет №3. Уведомления в РКН.
Многие работодатели считают, что если не уведомить Роскомнадзор о том, что они обрабатывают персональные данные, то Роскомнадзор о них и не узнает.Это очень наивное предположение, с учетом того, что каждое юридическое лицо является Оператором в силу закона. А о том, что такое юридическое лицо существует Роскомнадзор знает исходя из ЕГРЮЛ.
То есть, если упрощенно, в электронном учете всех юридических лиц просто отмечено, выявили они требования по подаче уведомления или нет.
А вот не подача такого уведомления может быть основанием для внеплановой проверки Роскомнадзором.
Поэтому пытаясь «не высовываться», можно как раз этим и привлечь к себе внимание контролирующих органов.
Риски: от 100 до 300 тыс. руб. (п.10. ст. 13.11. КоАП РФ).
Какие документы критично проверить, чтобы снизить риски?
Перечень документов:
- уведомление об обработке ПД (актуальное);
- уведомление о трансграничной передаче;
- карта целей и субъектов ПД;
- документы - подтверждения от принимаемой стороны при трансграничной передаче;
- политика об обработке ПД.
Свяжитесь с нами!
Чтобы получить анкету для подготовки индивидуального предложения:
- написать на почту i.krotov@mitrofanova.ru
- позвонить по тел. +7(916) 416-49-60
