Миллионы за флешку и сотни тысяч за галочку: как штрафуют за ПДн в 2026 году
Долгое время в бизнес-среде существовал миф: персональные данные — это забота юристов, а реальные штрафы грозят только крупным корпорациям. В 2026 году этот миф разбился о реальную практику. Штрафуют всех. И суммы уже не те, что раньше.
Штрафы за порядок обработки: мелочей не бывает
Начнём с того, что многие считают «формальностями». Одна галочка на сайте вместо нескольких конкретных согласий. Подали уведомление в РКН три года назад и забыли. Не обновили политику обработки ПДн после изменения процессов. За всё это — штрафы от 60 до 300 тысяч рублей. И суды перестали заменять их предупреждениями.
Пример из практики. Интернет-магазин собирал данные через форму с чекбоксом «Я согласен с условиями оферты и политикой конфиденциальности». Клиент поставил галочку, оформил заказ, получил товар. А через месяц начал получать рекламные рассылки, на которые не подписывался. Написал жалобу в РКН. При проверке выяснилось: отдельного согласия на рекламу нет, галочка общая. Штраф — 160 тысяч рублей.
Другой случай. Компания сменила юридический адрес. Обновила сайт, печати, договоры. А уведомление в РКН — нет. Просто забыли. Штраф — 100 тысяч рублей. Суд сказал: уведомление должно быть актуальным, иначе контроль со стороны государства невозможен.
Инциденты: от случайности до миллиона
Теперь о том, что действительно страшно. Инциденты с персональными данными в 2026 году — это не репутационный риск, а финансовый. Причём неважно, украли данные специально или потеряли случайно. Важен сам факт.
Кейс с флешкой. Сотрудник небольшой компании скопировал базу клиентов на флешку, чтобы поработать дома. Флешку потерял в метро. Нашёл её случайный человек и обратился в полицию. Компания узнала об этом только от следователя. Штраф — 4 миллиона рублей. Компания пыталась доказать, что приняла все меры: был приказ о запрете выноса данных, сотрудник под подпись ознакомлен. Суд ответил: технических мер не было, контроль отсутствовал. Вина компании доказана.
Кейс с облаком. Другая компания использовала корпоративный Dropbox для хранения рабочих файлов. Администратор настроил доступ для подрядчика, а потом забыл его закрыть. Через открытую ссылку данные нашёл сторонний человек. Штраф — 3,5 миллиона рублей. Довод «это ошибка администратора, а не компании» не сработал. Ответственность за действия сотрудников несёт работодатель.
Кейс с рассылкой. Компания отправила коммерческое предложение по email, в копии поставив всех клиентов в открытом виде. Адреса и имена стали доступны десяткам посторонних людей. Потерпевшие написали жалобы. Штраф — 2 миллиона рублей. Суд указал: даже единичный эпизод неосторожного разглашения является инциденто.
Что это значит для владельца бизнеса
Первое. Вы не можете переложить ответственность на юриста или айтишника. Штраф платит компания, а значит — вы. Второе. Риск есть у всех, независимо от размера бизнеса. Малые компании штрафуют так же, как и крупные. Третье. Суды в 2026 году почти не применяют смягчающие обстоятельства. «Сложное финансовое положение», «нарушение произошло впервые», «ущерба не причинено» — всё это работает всё реже.
Что делать прямо сейчас
Проверьте согласия на сайте. Если одна галочка на всё — переделывайте. Внедрите технический запрет на выгрузку данных во внешние сервисы и на флешки. Назначьте ответственного за ПДн и регулярно обновляйте уведомление в РКН. Обучите сотрудников: покажите им эти кейсы. Пусть они увидят цифры. И зафиксируйте всё в документах — это не панацея, но в споре с судом наличие документов работает в вашу пользу.