Правоприменительная практика в сфере персональных данных за последние месяцы претерпела серьёзные изменения. Если раньше операторы могли рассчитывать на предупреждение или минимальный штраф, то сегодня Роскомнадзор и суды заняли жёсткую позицию. В этой статье мы разберём реальные дела 2026 года, суммы штрафов и выводы, которые должен сделать каждый бизнес.
Нарушение порядка обработки персональных данных
Самая массовая категория дел касается формальных процедурных нарушений. Казалось бы, мелочи: неправильно оформленное согласие, устаревшая политика обработки, неподанное уведомление в РКН. Но именно за эти «мелочи» компании получают штрафы, которые бьют по карману.
Согласие «одной галочкой» больше не работает. Типичная ситуация: на сайте интернет-магазина стоит чекбокс «Я согласен на обработку персональных данных». Клиент ставит галочку, и компания считает, что получила законное основание для всего — и для доставки товара, и для рекламных рассылок, и для передачи данных партнёрам. Суды в 2026 году признают такой подход незаконным. Согласие должно быть конкретным и раздельным. Одно из свежих дел: оператор оштрафован на 180 тысяч рублей именно за то, что не уточнил цели обработки и не получил отдельного согласия на передачу данных третьим лицам. Диапазон штрафов по ст. 13.11 КоАП РФ за подобные нарушения — от 60 до 300 тысяч рублей на юридическое лицо.
Неактуальное уведомление в РКН — тоже нарушение. Многие компании подают уведомление об обработке ПДн один раз при создании бизнеса и забывают о нём. А зря. Сменился юридический адрес? Появилась новая цель обработки? Подключился подрядчик, который получает доступ к данным? Всё это требует обновления уведомления. В практике 2026 года есть дело, когда компанию оштрафовали на 100 тысяч рублей только за то, что она не сообщила в РКН о смене адреса. Формальность? Да. Но штраф реальный.
Отсутствие политики обработки ПДн или её неактуальность — ещё один частый состав. Суды изучают содержание политик и находят несоответствия. Например, в политике указаны одни цели обработки, а на сайте собираются данные для других целей. Или не прописаны права субъектов персональных данных. Или отсутствует порядок уничтожения данных. За такие нарушения штрафы достигают 200–300 тысяч рублей.
Инциденты с персональными данными: новый уровень ответственности
Если нарушения порядка обработки — это «текучка», то инциденты — это настоящая финансовая катастрофа для бизнеса. В 2026 году сформировался принцип: штрафуют за сам факт, а не за доказанный вред. То есть компании даже не нужно доказывать, что данными воспользовались мошенники или что клиентам причинён ущерб. Достаточно того, что информация покинула контролируемую среду.
Случайный слив данных через облачное хранилище. Компания хранила файлы с персональными данными в Google Диске. Администратор по ошибке выставил настройки доступа «по ссылке». Никто ссылку специально не публиковал, но поисковые роботы её нашли, и через некоторое время файлы стали индексироваться. Штраф — 3 миллиона рублей. Суд указал: оператор не принял минимально необходимых технических мер защиты.
Инцидент по вине сотрудника. Работник выгрузил базу клиентов на личный Google Диск, чтобы работать удалённо. Без злого умысла, доступ был парольный. Но факт выгрузки за пределы корпоративного контура зафиксирован. Штраф — 6 миллионов рублей. Довод компании «это сотрудник сам, а не мы» суд отклонил. Ответственность за действия работников несёт работодатель.
Массовые инциденты. Если инцидент затронул тысячи субъектов, суммы становятся ещё выше. Практика знает случаи штрафов от 12 до 15 миллионов рублей. Причём отягчающим обстоятельством является несвоевременное уведомление РКН об инциденте. Обнаружили инцидент — сообщите в установленный срок, иначе штраф автоматически вырастет.
Что делать оператору: чек-лист по свежей практике
Первое — проведите аудит согласий. Убедитесь, что на вашем сайте нет «универсальной галочки». Согласия должны быть разделены по целям обработки. Второе — проверьте актуальность уведомления в РКН. Сменился адрес или цели обработки? Обновите уведомление. Третье — внедрите технические меры защиты. DLP-системы, контроль выгрузок в облачные сервисы, запрет на копирование данных на внешние носители. Четвёртое — обучите персонал. Сотрудники должны понимать, что их удобство может стоить компании миллионов рублей. Пятое — зафиксируйте всё в документах. Актуальная политика обработки ПДн, инструкции, приказы о назначении ответственных — это не бюрократия, а ваша защита.