Как привести сайт компании в соответствие с требованиями 152-ФЗ в 2026 году

13.01.2023
17/07/26
Б-152
Как привести сайт компании в соответствие с требованиями 152-ФЗ в 2026 году
Сайт компании должен соответствовать 152-ФЗ не только на уровне политики обработки персональных данных. Проверять нужно весь путь пользователя: формы сбора, cookie-баннер, аналитику, рекламные рассылки, личный кабинет, подрядчиков, хостинг сайта, CRM и документы, на которые ведут чек-боксы.
В 2026 году основные риски для сайта связаны с локализацией ПДн, отсутствием правового основания обработки, некорректными согласиями, использованием метрических программ и несоответствием политики фактическим процессам.
Главная ошибка бизнеса — воспринимать сайт как набор документов. На практике сайт работает как точка входа в несколько процессов обработки ПДн одновременно: маркетинг, продажи, поддержка, аналитика, регистрация, доставка, обращения и рекламные рассылки.
Содержание
Содержание

Почему сайт компании стал зоной риска по 152-ФЗ

Практически у каждой компании есть сайт: корпоративный портал, интернет-магазин, лендинг, личный кабинет, блог, форма заявки или страница мероприятия. Для клиента это витрина бизнеса. Для Роскомнадзора — открытый источник, по которому можно увидеть часть процессов обработки персональных данных.

Сайт редко обрабатывает ПДн только в одной точке. Обычно данные собираются через формы обратной связи, заявки, подписку на рассылку, онлайн-чат, cookie-файлы, аналитику, рекламные пиксели, личный кабинет, формы регистрации на мероприятия, квизы и интеграции с CRM. Каждый элемент должен иметь понятную цель, правовое основание, корректный текст для пользователя и связь с политикой обработки персональных данных.

Ответственность за нарушения в сфере ПДн в основном сосредоточена в статье 13.11 КоАП РФ. Она охватывает обработку без правового основания, нарушения требований к согласию, отсутствие доступной политики, локализацию, уведомления, инциденты и неправомерную передачу данных.

Для бизнеса важно учитывать несколько моментов:

  1. ИП, если прямо не указано иное или если в санкции нет отдельной графы ответственности для ИП, несут ответственность как должностные лица по ст. 2.4 КоАП РФ.
  2. ИП за правонарушения, предусмотренные частью 1.1 и частями 8−18 ст. 13.11 КоАП РФ, несут ответственность как юридические лица.
  3. Для частей 10−18 под должностными лицами понимаются лица, работающие в государственных или муниципальных органах либо в некоммерческих организациях. Для юридических лиц действует обратная логика: это все юрлица, кроме государственных и муниципальных органов и НКО.

Самые чувствительные штрафные риски связаны с локализацией, неправомерной передачей ПДн, инцидентами, специальными категориями и биометрическими данными. Но на практике сайт часто «падает» на более базовых вещах: нет понятного согласия, политика не соответствует собираемой вформах сбора информации, cookie-баннер не раскрывает аналитику, в чек-боксе смешаны разные правовые основания.
Сайт компании стоит проверять не как набор страниц, а как цепочку обработки ПДн: первый визит, cookie-баннер, форма, заявка, CRM, рассылка, подрядчик, хранение и удаление.

Команда Б-152 может провести такую сверку и показать, где документы расходятся с реальными процессами; отправить запрос можно через форму заявки.

С чего начинать приведение сайта в соответствие 152-ФЗ

Для сайта удобно выделить три приоритетных направления:

  1. требования локализации;
  2. правовые основания обработки ПДн;
  3. наличие политики обработки ПДн и соблюдение требований к ее содержанию.

Такой порядок помогает не распыляться.

Сначала проверяются зоны с наиболее существенными последствиями: где физически собираются и хранятся данные, какие сервисы подключены, есть ли зарубежные инструменты.

Затем анализируются тексты: политика, согласия, оферта, cookie-баннер, формы и гиперссылки.

На практике задача обычно затрагивает несколько подразделений. Юрист видит тексты документов, маркетинг знает, какие формы и метрики подключены, ИТ понимает хостинг, CDN, скрипты и интеграции, продажи работают с CRM, а служба поддержки — с обращениями пользователей. Ошибки чаще всего возникают именно на стыке этих зон.

Карта проверки сайта по 152-ФЗ

Что проверить
Где смотреть
Частая проблема
Локализация ПДн
Хостинг, CRM, формы, аналитика, чаты, рассылки, CDN
Данные российских пользователей первично попадают в зарубежный сервис
Cookie и метрики
Cookie-баннер, политика, скрипты сайта, теги
Баннер не раскрывает Яндекс.Метрику или другие метрические программы
Формы сбора данных
Заявка, подписка, регистрация, личный кабинет, квиз
Форма собирает данные, которых нет в политике или согласии
Правовые основания
Чек-боксы, согласия, оферта, политика
Согласие, оферта и политика смешаны в одном действии
Рекламные рассылки
Форма подписки, чек-бокс, текст согласия
Галочка предустановлена или согласие встроено в оферту
Политика обработки ПДн
Футер сайта, формы, страницы документов
Документ есть, но не соответствует фактическим процессам
Подрядчики и сервисы
CRM, хостинг, рассылки, аналитика, чат, коллтрекинг
Роль контрагента не определена, договорные условия по ПДн не проверены
Обновления сайта
Новые формы, акции, сервисы, интеграции
Документы не обновляются после изменений функционала

Требования локализации: первый блок проверки

Согласно ч. 5 ст. 18 ФЗ № 152 при сборе персональных данных, в том числе через сайт, оператор должен обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории России.

Ответственность за нарушение требований локализации предусмотрена частью 8 ст. 13.11 КоАП РФ. Для юридических лиц и ИП штраф составляет от 1 000 000 до 6 000 000 рублей. За повторное нарушение по части 9 — от 6 000 000 до 18 000 000 рублей.

На практике локализация проверяется не только по основной базе. Нужно смотреть все точки, где сайт собирает или передает данные:

  • формы сбора заявок;
  • личный кабинет;
  • CRM;
  • онлайн-чат;
  • сервис рассылок;
  • метрические программы;
  • рекламные пиксели;
  • CDN;
  • хостинг сайта;
  • интеграции с подрядчиками.

Ошибка часто появляется не из-за намеренного хранения базы за рубежом, а из-за подключенного сервиса. Маркетинг добавляет удобную аналитику, ИТ подключает CDN, подрядчик настраивает виджет чата, а юридическая часть узнает об этом уже после запуска.
Если нужно отдельно разобраться, где именно возникает риск первичной записи или хранения за пределами РФ, полезен материал о хранении персональных данных за границей и соблюдении локализации. Он помогает проверить не только основную базу, но и аналитику, CRM, чаты, рассылки и подрядчиков.

Google Analytics, Cloudflare и иностранные сервисы

Для сайта отдельный риск связан с иностранными сервисами аналитики и инфраструктуры.

Например, указание в согласии на обработку персональных данных или в согласии на использование cookie на сбор ПДн аналитической программой Google Analytics, а также сам факт такого сбора рассматриваются как нарушение требований локализации. В Российской Федерации нет дата-центров Google, поэтому организовать первичный сбор ПДн российских пользователей на территории РФ невозможно. Это означает, что в отношении Google Analytics нельзя обеспечить выполнение требований локализации персональных данных.

Территориальные органы Роскомнадзора рассматривают использование Google Analytics как нарушение требований локализации. Такую позицию, в частности, публиковало Управление Роскомнадзора по Приволжскому федеральному округу. В ходе проверок без взаимодействия с оператором Роскомнадзор выявляет указанное несоответствие и направляет запросы о подтверждении соблюдения требований локализации. Позиция по иностранным сервисам также обсуждалась на семинаре Роскомнадзора от 29.09.2022 г..

Еще один пример — использование Cloudflare. Роскомнадзор рекомендовал владельцам интернет-ресурсов в РФ отказаться от CDN-сервиса компании Cloudflare, которая использует технологии обхода ограничений доступа к запрещенной информации. Служба также рекомендовала использовать отечественные CDN-сервисы.

Для бизнеса практический вывод такой: проверять нужно не только где стоит сайт, но и какие сервисы участвуют в передаче трафика, аналитике, защите, кешировании, логировании и обработке пользовательских событий.

Что проверить по локализации

Элемент
Вопрос для проверки
Хостинг
Где физически размещены базы, через которые обрабатываются ПДн российских пользователей?
CRM
Куда попадают заявки после отправки формы?
Аналитика
Какие метрические и рекламные сервисы получают идентификаторы пользователей?
Cookie
Какие cookie устанавливаются при первом посещении сайта?
CDN
Какие данные проходят через CDN и где обрабатывается трафик?
Онлайн-чат
Где хранится переписка и кто имеет к ней доступ?
Рассылки
Где хранится база подписчиков и кто является поставщиком сервиса?
Подрядчики
Передаются ли данные за пределы РФ через интеграции или субподрядчиков?

Правовые основания обработки ПДн на сайте

Наличие правовых оснований — базовая часть соответствия 152-ФЗ.

Основная масса нарушений на сайтах связана именно с обработкой ПДн без надлежащего правового основания или с обработкой, несовместимой с целями сбора данных. Ответственность за такие нарушения предусмотрена частью 1 ст. 13.11 КоАП РФ: для юридических лиц штраф составляет от 150 000 до 300 000 рублей, для должностных лиц и ИП — от 50 000 до 100 000 рублей. При повторном нарушении по части 1.1 штраф для юридических лиц составляет от 300 000 до 500 000 рублей.

Части 2 и 2.1 ст. 13.11 КоАП РФ касаются обработки специальных категорий ПДн и биометрических данных без письменного согласия, когда оно обязательно, а также нарушений требований к оформлению согласия. По части 2 штраф для должностных лиц и ИП составляет от 100 000 до 300 000 рублей, для юридических лиц — от 300 000 до 700 000 рублей. При повторном нарушении по части 2.1 штраф для ИП составляет от 500 000 до 1 000 000 рублей, для юридических лиц — от 1 000 000 до 1 500 000 рублей.

На сайте правовое основание нужно определять не в целом, а по каждой цели:

  • оформление заявки;
  • заключение или исполнение договора;
  • регистрация в личном кабинете;
  • подписка на рассылку;
  • рекламные рассылки;
  • обратная связь;
  • участие в акции;
  • использование cookie-файлов и метрических программ;
  • обработка обращений;
  • аналитика поведения;
  • персонализация предложений.

Один чек-бокс не может закрыть все эти процессы. Именно поэтому формальные «согласен со всем» создают риск: пользователь не понимает, на что именно дает волю, а компания не может доказать конкретность и информированность согласия.
Чтобы не выбирать согласие автоматически для любой формы, стоит отдельно сверить, когда обработка возможна на другом основании. В материале «Обработка ПДн без согласия: когда это допустимо» разобрано, где согласие действительно нужно, а где важнее корректно зафиксировать договор, законный интерес или иное основание из ст. 6 152-ФЗ.

Cookie-файлы и метрические программы

Частое нарушение на сайтах — работающие cookie-файлы сервиса веб-аналитики Яндекс. Метрика при отсутствии информации об этом в cookie-баннере.

На Дне открытых дверей РКН от 27.08.2025 были отмечены особенности обработки ПДн на сайте с помощью метрических программ. Пользователь должен быть проинформирован о сборе персональных данных с помощью метрических программ при входе на сайт, поскольку функционал таких программ предполагает обработку ПДн с начала пользования сайтом. Информация о сборе ПДн с помощью метрических программ должна быть видна сразу. В cookie-баннере нужно учитывать сам факт такого сбора и название метрической программы.

На практике компании часто ограничиваются фразой «мы используем cookie для улучшения сайта». Этого недостаточно, когда на сайте работают метрические программы, которые собирают IP-адреса, cookie-файлы, идентификаторы устройств и поведенческие данные.
Почему данные, собираемые с помощью cookie-файлов, IP-адреса и данные метрических программ нельзя считать исключительно техническими сведениями, подробнее разобрано в материале «Cookie-файлы как персональные данные». Он полезен именно для оценки баннера, метрик, рекламных пикселей и поведенческой аналитики на сайте.
Рабочий подход:

  • определить все cookie и скрипты;
  • отделить технические cookie от аналитических и рекламных;
  • указать названия метрических программ;
  • проверить, какие данные собираются;
  • описать цели обработки;
  • обеспечить понятный механизм согласия или отказа там, где он требуется;
  • синхронизировать баннер с политикой обработки ПДн.

Срок согласия и перечень данных

Срок согласия на обработку ПДн и согласия на использование cookie — отдельная зона риска.

Когда срок действия согласия ограничен только отзывом со стороны субъекта, такое согласие фактически становится бессрочным до момента волеизъявления субъекта. Это рискованная конструкция: согласие должно содержать условия прекращения обработки.

Статья 5 ФЗ № 152 закрепляет принципы обработки персональных данных. Обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей; обработке подлежат только ПДн, которые отвечают целям обработки.

На практике это означает:

  • в согласии должна быть конкретная цель;
  • перечень данных должен соответствовать этой цели;
  • срок обработки должен быть понятен;
  • условия прекращения обработки должны быть описаны;
  • нельзя собирать данные «на всякий случай»;
  • нельзя описывать в согласии сведения, которые фактически не собираются;
  • нельзя собирать через форму данные, которых нет в согласии или политике.

Без этой связки компания сталкивается с типичной проблемой: форма на сайте собирает один набор данных, политика содержит другой, согласие описывает третий, а CRM фактически хранит четвертый.

Часть 11: оператор не уведомил РКН об инциденте

Часть 11 касается невыполнения или несвоевременного выполнения обязанности по уведомлению РКН при установлении факта неправомерной или случайной передачи, предоставления, распространения или доступа к ПДн, повлекшей нарушение прав субъектов.
Субъект
Штраф
Граждане
50 000–100 000 руб.
Должностные лица
400 000–800 000 руб.
Юридические лица
1 000 000–3 000 000 руб.
Эта часть связана с требованиями части 3.1 статьи 21 ФЗ № 152: оператор должен уведомить РКН о факте инцидента в течение 24 часов с момента выявления, а в течение 72 часов — сообщить о результатах внутреннего расследования.

Практический вывод: у компании должен быть не только план защиты, но и план реагирования. В момент инцидента времени на согласование маршрута обычно нет: нужно заранее понимать, кто фиксирует факт, кто оценивает объем данных, кто готовит уведомление, кто взаимодействует с подрядчиком и кто собирает доказательства.
Инцидент с персональными данными не замыкается на внутренней инфраструктуре
Организации, которые используют подрядчиков, облачные сервисы, CRM, сайты и рассылки, сталкиваются с риском инцидента не только внутри своей инфраструктуры. Разобрать порядок уведомления, роли команды и доказательства контроля подрядчиков можно с Б-152.

Утечки и неправомерная передача ПДн: части 12–18

Части 12−18 ст. 13.11 КоАП РФ относятся к ситуациям, когда действия или бездействие оператора повлекли неправомерную передачу, предоставление, доступ или распространение информации, включающей ПДн.

Здесь размер штрафа зависит от нескольких факторов:

  • количества субъектов;
  • количества идентификаторов;
  • наличия специальных категорий ПДн;
  • наличия биометрических ПДн;
  • повторности нарушения.
Если нужно отдельно оценить не размер штрафа, а саму модель ответственности при раскрытии данных третьим лицам, можно обратиться к материалу об ответственности за разглашение персональных данных третьим лицам. Он дополняет этот блок практическими ситуациями, где утечка или передача выходит за рамки внутренней ошибки.

Части 12–14: размер утечки по количеству субъектов и идентификаторов

Состав
Граждане
Должностные лица
Юридические лица
Часть 12: от 1 000 до 10 000 субъектов и/или от 10 000 до 100 000 идентификаторов
100 000–200 000 руб.
200 000–400 000 руб.
3 000 000–5 000 000 руб.
Часть 13: от 10 000 до 100 000 субъектов и/или от 100 000 до 1 000 000 идентификаторов
200 000–300 000 руб.
300 000–500 000 руб.
5 000 000–10 000 000 руб.
Часть 14: более 100 000 субъектов и/или более 1 000 000 идентификаторов
300 000–400 000 руб.
400 000–600 000 руб.
10 000 000–15 000 000 руб.
Идентификатор по смыслу примечания к ст. 13.11 КоАП РФ — это уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу. На практике граница между ПДн и идентификатором может смешиваться, например при email, уникальном ID в системе и других технических обозначениях.

Пример по части 13: Арбитражный суд Иркутской области в решении от 12.05.2026 по делу № А19−25 808/2025 заменил многомиллионный штраф на предупреждение за утечку данных 36 000 абонентов. Данные — ФИО, номера телефонов, данные документов — оказались в открытом доступе в Telegram-канале. Причиной названа DDoS-атака, но суд установил, что оператор сам создал условия для взлома: не менял пароли, не отключил учетную запись уволенного сотрудника, использовал уязвимое ПО и некорректно настроил систему безопасности. Решение ожидает апелляционной инстанции.

Пример по части 14: решением Арбитражного суда г. Москвы от 05.03.2026 по делу № А40−351 064/2025 юридическому лицу назначен штраф за утечку данных около 300 000 субъектов ПДн. Оператор сам своевременно уведомил РКН о компрометации базы пользователей, данные которой оказались в Telegram. Злоумышленники получили доступ через CRM-систему «Битрикс24». Суд учел, что организация является микропредприятием, и по статье 4.1.2 КоАП назначил штраф как ИП в размере 400 000 руб.

Часть 15: повторная утечка

Субъект
Штраф
Граждане
400 000–600 000 руб.
Должностные лица
800 000–1 200 000 руб.
Юридические лица
от 1% до 3% выручки, но не менее 20 000 000 и не более 500 000 000 руб.
Этот состав показывает, почему после первого инцидента недостаточно «закрыть дыру». Нужно провести расследование, обновить меры защиты, отключить лишние доступы, пересмотреть подрядчиков, исправить регламенты и документально подтвердить корректирующие действия.

Части 16–18: специальные категории и биометрические ПДн

Состав
Граждане
Должностные лица
Юридические лица
Часть 16: неправомерная передача специальных категорий ПДн
300 000–400 000 руб.
1 000 000–1 300 000 руб.
10 000 000–15 000 000 руб.
Часть 17: неправомерная передача биометрических ПДн
400 000–500 000 руб.
1 300 000–1 500 000 руб.
15 000 000–20 000 000 руб.
Часть 18: повторное нарушение по частям 16–17 после привлечения по частям 12–17
500 000–800 000 руб.
1 500 000–2 000 000 руб.
от 1% до 3% выручки, но не менее 25 000 000 и не более 500 000 000 руб.
Специальные категории и биометрия находятся под повышенной защитой из-за чувствительности данных и потенциального вреда для субъекта. Поэтому утечка таких данных оценивается строже, чем утечка обычной клиентской информации.

Формулировка «специальная категория ПДн» может означать самостоятельную ответственность за утечку каждой специальной категории, если неправомерная передача затронула несколько таких категорий. Этот вывод стоит учитывать при оценке рисков в HR, медицине, страховании, биометрических сервисах и процессах, где компания работает с чувствительными сведениями.

Важные примечания к статье 13.11 КоАП РФ

В статье 13.11 КоАП РФ есть примечания, которые существенно влияют на квалификацию и размер ответственности.

1. Индивидуальные предприниматели не всегда отвечают как ИП

ИП за правонарушения, предусмотренные частью 1.1 и частями 8−18 статьи 13.11 КоАП РФ, несут ответственность как юридические лица. Именно поэтому в санкциях этих норм ИП отдельно не указаны.

Для бизнеса это важно при оценке риска: статус ИП не всегда означает более мягкую ответственность.

2. Для частей 10–18 особый подход к должностным и юридическим лицам

Для частей 10−18 под должностными лицами понимаются лица, работающие в государственных или муниципальных органах либо в некоммерческих организациях.

Для юридических лиц действует обратная логика: это все юридические лица, кроме государственных и муниципальных органов и НКО. Поэтому основным субъектом привлечения по статье 13.11 КоАП РФ в коммерческом секторе остаются юридические лица.

3. Идентификаторы могут стать спорной зоной

Для частей 12−14 важны не только субъекты ПДн, но и идентификаторы. Определение идентификатора в КоАП нельзя считать полностью определенным: на практике может возникать смешение ПДн и идентификаторов.

Для компаний это означает: технические ID, email, клиентские номера, внутренние идентификаторы, номера аккаунтов и другие цифровые обозначения нельзя автоматически выводить за пределы контура ПДн.

Другие административные составы

Статья 13.11 КоАП РФ — базовая, но не единственная статья, связанная с ответственностью за нарушения в сфере ПДн.

В главе 19 КоАП РФ «Административные правонарушения против порядка управления» есть нормы, по которым может наступать ответственность за несоблюдение решений должностных лиц РКН. Например, статьи 19.4.1 и часть 1 статьи 19.5 КоАП РФ.

На практике это означает, что риск не заканчивается на самом нарушении ПДн. Отдельные последствия могут возникнуть из-за того, как компания взаимодействует с регулятором: исполняет ли предписания, предоставляет ли документы, соблюдает ли сроки и реагирует ли на требования.

Уголовная ответственность: статья 272.1 УК РФ

Штрафы за нарушения в сфере ПДн предусмотрены не только КоАП РФ, но и УК РФ.

В ноябре 2024 года была введена статья 272.1 УК РФ «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения».

Эта статья стала ответом на развитие цифрового оборота данных, утечек, баз, телеграм-ботов и сервисов, которые позволяют незаконно собирать или распространять персональную информацию.

До появления статьи 272.1 УК РФ к нарушениям, связанным с ПДн, можно было относить, например, статью 137 УК РФ «Нарушение неприкосновенности частной жизни». Теперь в части 1 статьи 137 уже есть отсылка к статье 272.1. Кроме того, статья 272 УК РФ о неправомерном доступе к компьютерной информации также отсылает к статье 272.1.

Компьютерная информация включает информацию, для которой законодательством установлены условия, относящие ее к сведениям государственной, коммерческой, служебной, личной или семейной тайны и только потом персональные данные.

Что считается компьютерной информацией, содержащей ПДн

Объектом преступления по статье 272.1 УК РФ является компьютерная информация, содержащая персональные данные.

В соответствии с примечанием к статье 272 УК РФ компьютерная информация — это сведения, сообщения, данные, представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Компьютерная информация должна находиться в форме, которая доступна для «прочтения» компьютерными устройствами и (или) передается по электрическим каналам связи.

Практический пример: бумажный лист с ПДн сам по себе не является компьютерной информацией. Но после фотографирования и передачи через мессенджер он уже может рассматриваться как компьютерная информация, содержащая ПДн.

Для бизнеса это важный сдвиг. Риск может возникать не только в базе данных или CRM, но и в скриншотах, выгрузках, фотографиях документов, пересылках в мессенджерах, облачных папках и неформальных рабочих каналах.

Какие действия подпадают под ст. 272.1 УК РФ

Для уголовной ответственности важно, чтобы способ получения или использования компьютерной информации, содержащей ПДн, был незаконным.

В статье 272.1 УК РФ указаны такие способы:

  • неправомерный доступ к средствам обработки или хранения компьютерной информации, содержащей ПДн;
  • иное вмешательство в функционирование средств обработки или хранения такой информации;
  • иной незаконный путь.

Статья определяет действия, за которые может наступать ответственность:

  • сбор;
  • использование;
  • хранение;
  • передача;
  • распространение;
  • предоставление;
  • доступ.

Для наступления ответственности достаточно одного из этих действий, если оно незаконно и связано с компьютерной информацией, содержащей ПДн.

Штрафы по статье 272.1 УК РФ

Часть статьи 272.1 УК РФ
Состав
Штраф
Часть 1
Незаконные действия с компьютерной информацией, содержащей ПДн
До 300 000 руб. или в размере дохода за период до 1 года
Часть 2
Те же действия в отношении ПДн несовершеннолетних, специальных категорий и/или биометрических ПДн
До 700 000 руб. или в размере дохода за период до 2 лет
Часть 3
Деяния с квалифицирующими признаками, включая корыстную заинтересованность или крупный ущерб от 1 000 000 руб.
До 1 000 000 руб. или в размере дохода за период до 3 лет
Часть 4
Деяния, сопряженные с трансграничной передачей или трансграничным перемещением
До 2 000 000 руб. или в размере дохода за период до 3 лет
Часть 5
Деяния с тяжкими последствиями или совершенные организованной группой
До 3 000 000 руб. или в размере дохода за период до 4 лет
Часть 6
Создание или обеспечение функционирования ресурса для незаконного хранения и распространения компьютерной информации с ПДн
До 700 000 руб. или в размере дохода за период до 2 лет

Особый состав: незаконные ресурсы с ПДн

Часть 6 статьи 272.1 УК РФ касается создания или обеспечения функционирования информационного ресурса, который изначально предназначен для незаконного хранения, передачи, распространения, предоставления или доступа к компьютерной информации, содержащей ПДн, полученной незаконным путем.

Под информационным ресурсом для этой части понимаются:

  • сайт в Интернете или страница сайта;
  • информационная система;
  • программа для ЭВМ.

Показательный пример — телеграм-бот «Глаз Бога», деятельность по созданию и обеспечению функционирования которого была признана незаконной еще в 2021 году. При рассмотрении такого дела сейчас деятельность подобного бота могла бы квалифицироваться по части 6 статьи 272.1 УК РФ.

Практический вывод: уголовно-правовой риск касается не только хакеров. В поле внимания могут попадать лица, которые продают доступ к базам, поддерживают сервисы поиска по утекшим данным, администрируют ресурсы с незаконно полученной информацией или используют такие инструменты для коммерческого сбора сведений.

Судебный пример по статье 272.1 УК РФ

Показательный пример — приговор Тракторозаводского районного суда города Волгограда от 26.03.2026 по делу № 1-100/2026.

По делу частный детектив был привлечен к ответственности по пункту «а» части 3 статьи 272.1 УК РФ. Ему назначили штраф 300 000 руб. с лишением права заниматься частной детективной деятельностью сроком на 2 года.

Краткая фабула: частный детектив за вознаграждение осуществил незаконный сбор компьютерной информации, содержащей ПДн потерпевшего, с помощью не названного в судебном решении телеграм-бота. В составе данных фигурировали сведения о регистрации, транспортных средствах, абонентских номерах, заключении и расторжении брака, наличии или отсутствии судимости и другие сведения. Затем данные были переданы через мессенджер.

Практический вывод: незаконный сбор ПДн через сторонние сервисы, боты и закрытые базы может выйти за пределы административной ответственности. Для работодателей, служб безопасности, детективных и взыскательных практик это особенно чувствительная зона.
Законность внешних источников данных — зона ответственности, которую нельзя отдавать на откуп сервисам
Командам, которые используют внешние источники проверки контрагентов, сотрудников, должников или клиентов, важно заранее оценить законность источников данных. Разобрать такие процессы с точки зрения 152-ФЗ, УК РФ и доказательной базы можно с экспертами Б-152.

Какие нарушения обходятся бизнесу дороже всего

По совокупности административных составов самые чувствительные зоны в 2026 году:

  1. Локализация ПДн — штрафы для юридических лиц до 6 млн руб. за первое нарушение и до 18 млн руб. за повторное.
  2. Утечки и неправомерная передача — штрафы зависят от объема данных и могут доходить до 15 млн руб. за крупные инциденты.
  3. Повторные утечки — оборотные штрафы до 3% выручки, но не менее 20 млн руб. и не более 500 млн руб.
  4. Специальные категории ПДн — штрафы для юридических лиц до 15 млн руб.
  5. Биометрические ПДн — штрафы для юридических лиц до 20 млн руб.
  6. Повторные нарушения со специальными категориями и биометрией — оборотные штрафы до 3% выручки, но не менее 25 млн руб. и не более 500 млн руб.
  7. Неподача уведомления в РКН — меньшие суммы, но высокий риск выявления для сайтов, форм, CRM и метрических программ.
  8. Несообщение об инциденте — штраф до 3 млн руб. для юридических лиц и отдельный репутационный риск.

При этом размер штрафа — только видимая часть последствий. После нарушения компания часто сталкивается с запросами субъектов, проверкой договоров с подрядчиками, внутренним расследованием, пересмотром ИБ-процессов, остановкой спорных обработок и необходимостью доказывать, что корректирующие меры действительно выполнены.

Что проверить компании, чтобы снизить риск штрафов

Минимальная самопроверка должна идти не по тексту закона, а по процессам компании.
Что проверить
Зачем это нужно
Правовые основания обработки
Снизить риск по ч. 1 ст. 13.11 КоАП РФ
Формы согласий
Проверить письменную форму, отдельность согласия, цели и доказуемость
Специальные категории и биометрию
Не применять к чувствительным данным обычный режим
Политику обработки ПДн
Убедиться, что она доступна и соответствует фактическим процессам
Запросы субъектов
Настроить сроки, ответственных и доказательства ответа
Сроки хранения и уничтожение
Избежать обработки данных после достижения цели
Бумажные носители
Проверить архивы, кадровые документы, договоры, макулатуру, способы и инструменты уничтожения бумажных носителей
Локализацию
Понять, где происходит первичная запись, хранение и извлечение данных
Уведомление в РКН
Сверить цели, категории данных, субъектов, базы и трансграничную передачу
Инциденты
Настроить 24/72 часа, расследование, подрядчиков и доказательства
Подрядчиков
Проверить поручения, роли, доступы, меры защиты и субподрядчиков
Технические идентификаторы
Не пропустить email, ID, cookie, логи и иные цифровые обозначения
Источники данных
Исключить незаконный сбор через боты, базы и сомнительные сервисы

Как выстроить рабочую профилактику штрафов

возникают из-за разрыва между документами и реальными процессами.

Рабочая логика выглядит так:

  1. Составить карту процессов обработки ПДн.
  2. Определить категории субъектов и данных.
  3. Проверить правовые основания.
  4. Сверить документы с фактическими системами.
  5. Проверить уведомление в РКН.
  6. Отдельно оценить локализацию.
  7. Проверить специальные категории и биометрию.
  8. Настроить процесс запросов субъектов.
  9. Инвентаризировать подрядчиков.
  10. Подготовить сценарий реагирования на инциденты.
  11. Зафиксировать корректирующие меры и доказательства.

Главная цель такой работы — не избежать штрафа любой ценой, а сделать позицию компании доказуемой. При споре важно показать, что оператор понимал свои процессы, назначил ответственных, контролировал подрядчиков, актуализировал документы и реагировал на риски.
Для такой профилактики удобно двигаться не от штрафов, а от готовности к вопросам регулятора. В дорожной карте подготовки к проверкам Роскомнадзора собраны контрольные точки, которые помогают заранее проверить документы, процессы и доказательства исполнения требований.

Часто задаваемые вопросы

1) Какие штрафы действуют за нарушение закона о персональных данных в 2026 году?

Основные административные штрафы установлены ст. 13.11 КоАП РФ. В зависимости от состава они варьируются от нескольких тысяч рублей до многомиллионных сумм, а при повторных крупных утечках могут составлять от 1% до 3% выручки в пределах, установленных законом.

2) За что чаще всего штрафуют операторов ПДн?

Типовые основания — обработка без правового основания, некорректные согласия, отсутствие доступной политики, нарушение прав субъектов, неподача уведомления в РКН, нарушение локализации, несообщение об инциденте и утечки.

3) Какой штраф за неподачу уведомления в Роскомнадзор?

По части 10 ст. 13.11 КоАП РФ штраф составляет: для граждан — 5 000−10 000 руб., для должностных лиц — 30 000−50 000 руб., для юридических лиц — 100 000−300 000 руб.

4) Какой штраф за нарушение локализации персональных данных?

По части 8 ст. 13.11 КоАП РФ для юридических лиц штраф составляет от 1 млн до 6 млн руб. За повторное нарушение по части 9 — от 6 млн до 18 млн руб.

5) Какие штрафы предусмотрены за утечки ПДн?

По частям 12−14 ст. 13.11 КоАП РФ размер штрафа зависит от количества субъектов и идентификаторов. Для юридических лиц он может составлять от 3 млн до 15 млн руб. За повторные нарушения возможен оборотный штраф.

6) Почему специальные категории и биометрия штрафуются строже?

Такие данные имеют повышенную чувствительность и могут причинить субъекту больший вред. Поэтому их неправомерная передача квалифицируется по отдельным составам с более высокими штрафами.

7) Что такое статья 272.1 УК РФ?

Это уголовная статья о незаконных использовании, передаче, сборе или хранении компьютерной информации, содержащей персональные данные, а также о создании или поддержании ресурсов для ее незаконного хранения или распространения.

7) Может ли компания получить штраф, даже если утечка произошла из-за атаки?

Да. Важен не только факт атаки, но и то, какие условия создал оператор: были ли закрыты доступы уволенных сотрудников, менялись ли пароли, обновлялось ли ПО, были ли настроены меры защиты и расследование.

Итог

Штрафы за нарушения законодательства о персональных данных в 2026 году стали индикатором зрелости управления данными. Нарушение редко возникает изолированно. Обычно за ним стоит сбой в процессе: некорректное основание, устаревшая политика, слабый контроль доступа, неактуальное уведомление, неподготовленность к инциденту или отсутствие контроля подрядчика.

Самые серьезные риски связаны с локализацией, утечками, специальными категориями ПДн, биометрией, повторными нарушениями и уголовно-правовым составом по ст. 272.1 УК РФ. Но начинать профилактику нужно с базовых вещей: карты процессов, правовых оснований, согласий, уведомления в РКН, сроков хранения, подрядчиков и процедуры реагирования.

Компании, которые могут показать не только документы, но и работающий контроль, находятся в более устойчивой позиции при проверке, жалобе субъекта, инциденте или споре с регулятором.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
А регулярно отслеживать изменения в ответственности за ПДн, судебной практике, утечках, уведомлениях РКН и новых подходах к биометрии удобно в Telegram-канале Б-152.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме