Acsour.com_RU

Персональные данные в 2026: новые штрафы, ответственность и позиция Верховного Суда

Разработано Freepik
2025 год кардинально изменил правила работы с персональными данными в России. Штрафы выросли в десятки раз, появились оборотные санкции до 500 млн рублей за повторные утечки, а передача данных подрядчику больше не снимает ответственности с оператора. Разбираем ключевые изменения и их последствия для бизнеса.

Что изменилось с 2025 года

За последний год вступили в силу несколько блоков поправок. С мая 2025 года ужесточены штрафы за утечки: за потерю данных от 1 до 10 тысяч субъектов — 3–5 млн рублей, от 10 до 100 тысяч — 5–10 млн, более 100 тысяч — 10–15 млн. Повторная утечка грозит оборотным штрафом от 0,1% до 3% годовой выручки (минимум 15 млн, максимум 500 млн рублей).

С июля 2025 года заработало требование о локализации первичной записи данных россиян на серверах в РФ. С сентября согласие на обработку ПДн нужно оформлять отдельным документом, а не прятать в договоре или оферте. Запрещены заранее проставленные галочки. Штраф за неправильное оформление — 300–700 тыс. рублей, за повторное — до 1,5 млн.

С 1 января 2026 года вступили в силу новые требования ФСТЭК для госорганов и госучреждений.

Уголовная ответственность

Федеральный закон № 421-ФЗ ввел в УК статью 272.1, которая предусматривает наказание за незаконные сбор, хранение, использование и распространение персональных данных. Максимальная санкция — лишение свободы до 10 лет со штрафом до 3 млн рублей.

Позиция Верховного Суда: оператор отвечает за всё

В январе 2026 года Верховный Суд вынес важное решение по делу о штрафе Минтруда за утечку 1400 записей. Ведомство ссылалось на взлом подрядчика, но суды всех инстанций заняли жесткую позицию:

  • оператор обязан контролировать подрядчика, договор не перекладывает ответственность, а лишь обязывает к контролю;
  • отсутствие доказательств принятия необходимых мер защиты — самостоятельное нарушение;
  • несвоевременное уведомление Роскомнадзора об утечке — дополнительное нарушение.

Верховный Суд подтвердил: вина оператора в собственном бездействии, а не в действиях подрядчика.

Что это значит для бизнеса

Позиция высшей судебной инстанции будет применяться ко всем компаниям. Это означает:

  • отвечать за подрядчика придется оператору;
  • нужна система контроля обработки данных и мониторинга инцидентов;
  • договор с подрядчиком должен содержать четкие требования к безопасности, но контроль их выполнения — обязанность оператора.

Алгоритм действий при утечке

При инциденте действовать нужно быстро:

  1. Изолировать угрозу и заблокировать доступ.
  2. Создать рабочую группу (ИБ, ИТ, юристы).
  3. Уведомить Роскомнадзор в течение 24 часов.
  4. Провести расследование и установить причины.
  5. В течение 72 часов предоставить отчет в РКН с причинами и планом мер.
Эксперты Acsour готовы:

  • провести аудит процессов обработки ПД;
  • проверить договоры с подрядчиками и выстроить контроль;
  • разработать политики, согласия и локальные акты;

Свяжитесь с нами — проведём диагностику рисков и поможем избежать многомиллионных штрафов.
2026-03-18 14:25 Legal Digest