Оборотные штрафы за утечки данных в 2026: что грозит бизнесу
С 30 мая 2025 года в России начали действовать оборотные штрафы за утечки персональных данных — до 500 миллионов рублей и до 3% от выручки. И если раньше «штраф 50 тысяч» можно было заложить как мелкий риск, то теперь одна утечка с сайта может буквально закрыть бизнес. Разберём, что изменилось, кого это касается (спойлер: каждого, у кого есть сайт с формой заявки), и что нужно сделать прямо сейчас, чтобы не оказаться в зоне риска.
Что вообще считается «персональными данными»
Многие предприниматели уверены, что 152-ФЗ — это про крупные сервисы с миллионами пользователей. На самом деле под закон попадает почти любой бизнес с сайтом. Персональные данные — это любая информация, по которой можно идентифицировать человека:
- Имя, фамилия, отчество.
- Телефон и email.
- Адрес доставки.
- Дата рождения.
- IP-адрес и куки (по позиции Роскомнадзора).
- Фотография.
Если у вас на сайте есть форма «оставьте заявку» с полем «Имя» и «Телефон» — вы уже оператор персональных данных. И это уже требует определённого минимума.
Что изменилось в 2025–2026 годах
Главное нововведение — оборотные штрафы. До этого санкции за нарушения были фиксированными и относительно небольшими. Теперь действует другая логика:
- Первая утечка: штраф от 3 до 15 миллионов рублей.
- Повторная утечка: оборотный штраф от 1% до 3% от выручки за прошлый год, но не более 500 миллионов.
- Утечка биометрии (Face ID, отпечатки, голосовые данные): отдельные повышенные санкции.
- Отсутствие уведомления Роскомнадзора об утечке в течение 24 часов — отдельный штраф.
К этому добавились штрафы за то, что раньше многие игнорировали:
- Отсутствие согласия на обработку данных — от 300 тысяч до 700 тысяч рублей.
- Сбор большего объёма данных, чем нужно — отдельные санкции.
- Хранение данных россиян на серверах за пределами РФ — крупные штрафы.
Кого это касается на самом деле
Распространённое заблуждение — «у меня маленький бизнес, до меня не доберутся». На практике под проверки попадают:
- Все, кто собирает заявки на сайте — салоны, сервисы, доставка, ремонт, юристы, строители.
- Интернет-магазины и онлайн-школы.
- Бизнесы с подпиской на рассылку.
- Любые проекты с регистрацией пользователей.
- Бизнесы, использующие Яндекс.Метрику и Google Analytics (данные про IP и куки).
Поводом для проверки часто становится не «выборочный аудит», а жалоба клиента или конкурента. Один недовольный заполнил форму на сайте Роскомнадзора — и к вам приехали.
Что должно быть на сайте по закону
Минимальный набор, без которого работать с заявками нельзя:
Документ / элементЗачемПолитика обработки персональных данных | Описывает, какие данные собираете, зачем, кому передаёте, сколько храните
Согласие на обработку (чекбокс с активной ссылкой) | На каждой форме сбора данных — заявка, подписка, регистрация
Уведомление о cookies | Информирование посетителя при первом заходе
Подача в Роскомнадзор уведомления оператора | Регистрация бизнеса как оператора персональных данных
Хранение данных на серверах в РФ | Если данные собираются у граждан России
Защита канала (HTTPS) | Сертификат SSL на сайте обязательно
Это минимум, без которого штраф можно получить даже без утечки — за сам факт нарушения.
Что часто упускают даже «приличные» сайты
По нашему опыту аудитов, у малого бизнеса в Воронеже типовые проблемы повторяются:
- Политика обработки скопирована с другого сайта и не соответствует реальности (например, упоминает данные, которые вы не собираете, или наоборот — не упоминает то, что собираете).
- Нет активного чекбокса «Согласен на обработку данных» — есть просто текст под формой.
- Согласие подгружается после отправки формы — это уже не согласие.
- Хостинг или CDN находится за пределами России.
- CRM и email-сервис хранят базу клиентов за границей (Mailchimp, HubSpot).
- Заявки приходят в личный Telegram или email без шифрования и логирования.
- Сайт не уведомил Роскомнадзор о статусе оператора — а должен был.
Каждый из этих пунктов — отдельное основание для штрафа.
Что делать прямо сейчас
Базовый план приведения сайта в порядок:
- Проверьте, что собираете. Какие поля в формах, что хранится в CRM, какие куки ставит сайт.
- Напишите или перепишите политику обработки — под свою реальность, а не «копию у конкурента».
- Поставьте активный чекбокс согласия на каждую форму, со ссылкой на политику.
- Проверьте хостинг — он должен быть в РФ. Перенесите, если нет.
- Подайте уведомление в Роскомнадзор — это бесплатно и делается онлайн.
- Настройте HTTPS на всём сайте, без исключений.
- Уберите внешние сервисы, которые тянут данные за границу, или замените их на российские аналоги.
- Подумайте о минимизации данных — собирайте только то, что реально нужно.
После этого риск штрафа падает на порядок, а сайт перестаёт быть «миной замедленного действия».
Как мы это делаем в LAB301
В студии LAB301 мы изначально разрабатываем сайты с учётом требований 152-ФЗ: размещаем на российском хостинге, ставим HTTPS, делаем корректную политику обработки персональных данных под конкретный бизнес, активные чекбоксы согласия, защищённую передачу заявок в CRM или Telegram, при необходимости помогаем подать уведомление в Роскомнадзор. Не «прикручиваем сверху», а закладываем правильно с первого дня — это и быстрее, и в разы дешевле, чем переделывать готовый сайт под аудит.
Стоит ли заниматься этим прямо сейчас
В 2026 году требования к работе с персональными данными — это уже не «формальность для крупных», а реальный финансовый риск для любого бизнеса с сайтом. Штраф в 3–15 миллионов рублей закрывает большинство малых предприятий мгновенно. И пока вы откладываете «когда-нибудь разберусь», достаточно одной жалобы — и вы получите проверку.
Дешевле один раз привести сайт в порядок, чем потом доказывать в суде, что «мы же только заявки собирали».
Хотите сайт, который не подведёт при проверке? Студия LAB301 разрабатывает сайты с соблюдением 152-ФЗ и проводит аудит существующих сайтов на соответствие требованиям. Обсудим вашу задачу.
