- Ужесточение ответственности по административным правонарушениям
- Кто отвечает за нарушения ФЗ-152
- Уголовная ответственность за утечку персональных данных
- Что делать если произошла утечка персональных данных
- Что является главной причиной утечки персональных данных
- Вывод
В 2026 году бизнес работает по обновленной версии 152-ФЗ – закона «О персональных данных» с изменениями, вступившими в силу в июне и сентябре 2025. Суть нововведений – в ужесточении надзора и сведении к минимуму формального подхода к соблюдению правил работы с персональными данными (ПД). К примеру, согласие на обработку ПД теперь должно оформляться строго в виде отдельного документа. Другой закономерный аспект реформы – усиление штрафов за нарушения в области персональных данных, а также включение в КоАП отдельных спецсоставов, детализирующих ответственность за конкретные проступки.
Ужесточение ответственности по административным правонарушениям

Основная статья КоАП РФ, по которой штрафуют нарушителей, – 13.11. С 30.05.2025 штрафы по общему составу для организаций составляют от 150 тыс. до 300 тыс. руб. (справочно: раньше было 60-100 тыс. руб.). Повторное нарушение увеличивает санкцию до 300 тыс. и 500 тыс. руб. соответственно. При этом в указанную статью добавлено новое примечание, согласно которому ИП несут ответственность аналогично юрлицам.
Выше отметили, что в КоАП РФ появились спецсоставы за нарушения в области ПД. Рассмотрим их подробнее:
-
Неуведомление или уведомление с нарушением срока РКН о намерении осуществлять обработку ПД – ч.10 статьи 13.11. Штраф для компаний – от 100 тыс. до 300 тыс. руб.
-
Неуведомление об утечке ПД – ч.11 статьи 13.11. Штраф для компаний – от 1 млн до 3 млн руб.
-
Действие или бездействие оператора ПД, которое повлекло утечку ПД (при этом признаки уголовного преступления отсутствуют) – части 12-14 статьи 13.11. Размер штрафа для компаний варьируется, исходя из объема утечки ПД, и может составлять от 3 млн до 15 млн руб. Нарушение, совершенное повторно, грозит штрафом 1-3% от суммы дохода компании за год, предшествующий нарушению, но не менее 20 млн руб. и не более 500 млн руб.
-
Утечка специальных категорий ПД или биометрических ПД – части 13 и 14 статьи 13.11. Максимальная санкция – 15 млн и 20 млн руб. соответственно. Повторное нарушение облагается по схеме, приведенной в прошлом пункте.
Кроме того, важным нововведением является отмена возможности заплатить штраф со скидкой 50%.
Резюмируя, в мае 2025 не были введены штрафы именно за утечку персональных данных, но появились спецсоставы, предполагающие денежное наказание, если утечка является результатом конкретных действий оператора ПД (или же бездействия), а также за неуведомление РКН об инциденте.
Кто отвечает за нарушения ФЗ-152
По закону компания как оператор ПД отвечает за их обработку и сохранность, однако это не снимает ответственности с сотрудника, назначенного работать с ПД приказом руководителя. К такому должностному лицу могут быть применены следующие виды ответственности:
-
Дисциплинарная. Работодатель на свое усмотрение применяет к ответственному работнику замечание, выговор или, в случае серьезных нарушений, увольнение.
-
Административная или уголовная. Роскомнадзор в ходе проверки оператора персональных данных устанавливает вину должностного лица отдельно от вины оператора. Для должностных лиц составы правонарушений по статье 13.11 КоАП РФ, приведенные выше, предусматривают отдельные штрафы. Если же действия или бездействие ответственного лица привели к уголовному правонарушению, они будут рассматриваться по соответствующей статье УК РФ (например, 293 – халатность).
Уголовная ответственность за утечку персональных данных

Статьи с таким составом в УК РФ нет, но есть относительно «свежая» статья 272.1 (введена 30.11.2024), предусматривающая ответственность за незаконное использование, передачу, сбор и хранение ПД, доступ к которым получен неправомерно. Среди санкций – штраф до 300 тыс. руб. и реальный срок до 4-х лет. Если же речь о специальных или биометрических ПД, санкция увеличивается до 700 тыс. руб. и 5-летнего срока. Также предусмотрены спецсоставы – если преступление совершено в корыстных мотивах, связано с трансграничной передачей ПД, совершено группой лиц и т.д. (части 3-6 статьи 272.1).
Что делать если произошла утечка персональных данных
Компания, столкнувшаяся с утечкой ПД, проводит внутреннее расследование, устанавливает обстоятельства утечки и виновных, принимает меры по устранению ущерба и привлекает ответственных – путем назначения дисциплинарных взысканий или передачи материалов в правоохранительные органы, если на то имеются основания.
Обязательным элементом в этой цепочке действий является направление уведомления в Роскомнадзор об утечке персональных данных. Если этого не сделать, как помним, бизнес рискует заплатить огромный штраф – до 3 млн руб.
В течение одних суток после инцидента направляется первичное уведомление, куда включаются сведения об обстоятельствах, возможных причинах, предполагаемом ущербе субъектам ПД, принятых мерах и лице, уполномоченном на коммуникацию с РКН.
До истечения 72 часов после инцидента сдается дополнительное уведомление, куда следует включить сведения о результатах проведенного внутреннего расследования, виновных лицах и примененных к ним мерах.
Соответствующие формы размещены на сайте РКН. Для заполнения потребуется учетная запись ЕСИА. Подать их можно на бумаге (распечатав после заполнения), через сайт ведомства (потребуется усиленная КЭП) или «Госуслуги» (учетная запись должна быть привязана к организации-заявителю).
Что является главной причиной утечки персональных данных

Основной причиной утечек остается человеческий фактор – от случайных ошибок до умышленных действий сотрудников. Даже мощные технические средства защиты часто оказываются бесполезны, если внутри компании слабо развита культура информационной безопасности.
Чаще всего утечки происходят из-за непреднамеренной небрежности: сотрудники отправляют документы «не тому» адресату, теряют устройства, используют слабые пароли или неправильно настраивают доступ в облаке. Более опасны умышленные действия – продажа данных, «вынос» информации перед увольнением или саботаж. Но ключевой катализатор многих проблем – недостаток регулярного обучения и низкая осведомленность персонала.
Внешние атаки тоже играют значительную роль. Фишинг с использованием ИИ, социальная инженерия, вредоносное ПО и эксплуатация уязвимостей в системах позволяют хакерам проникать в инфраструктуру компаний. При этом многие успешные атаки извне начинаются именно с человеческой ошибки – например, открытия подозрительного письма.
Дополнительно риски создают технические и организационные пробелы: устаревшее ПО, неправильные настройки доступа, отсутствие шифрования и слабые политики безопасности.
Вывод
Требования к обработке персональных данных ужесточились. Закономерным продолжением этой политики выступает повышение штрафов и внедрение специальных составов в КоАП. Цифры говорят сами за себя: за неуведомление об утечке РКН не просто погрозит пальцем, но составит протокол, который в арбитражном суде превратится для бизнеса в штраф от 1 до 3 млн руб. И это только один состав – за некоторые нарушения компании штрафуют на сумму до 500 млн руб. Поэтому в 2026 году важно помнить, что соблюдение правил работы с ПД – это не про формальный подход, но про комплексное выстраивание системы работы с данными ваших сотрудников и клиентов.