Оборотные штрафы за утечки данных в 2026: что грозит бизнесу


С 30 мая 2025 года в России начали действовать оборотные штрафы за утечки персональных данных — до 500 миллионов рублей и до 3% от выручки. И если раньше «штраф 50 тысяч» можно было заложить как мелкий риск, то теперь одна утечка с сайта может буквально закрыть бизнес. Разберём, что изменилось, кого это касается (спойлер: каждого, у кого есть сайт с формой заявки), и что нужно сделать прямо сейчас, чтобы не оказаться в зоне риска.


Что вообще считается «персональными данными»


Многие предприниматели уверены, что 152-ФЗ — это про крупные сервисы с миллионами пользователей. На самом деле под закон попадает почти любой бизнес с сайтом. Персональные данные — это любая информация, по которой можно идентифицировать человека:

  • Имя, фамилия, отчество.
  • Телефон и email.
  • Адрес доставки.
  • Дата рождения.
  • IP-адрес и куки (по позиции Роскомнадзора).
  • Фотография.


Если у вас на сайте есть форма «оставьте заявку» с полем «Имя» и «Телефон» — вы уже оператор персональных данных. И это уже требует определённого минимума.


Что изменилось в 2025–2026 годах


Главное нововведение — оборотные штрафы. До этого санкции за нарушения были фиксированными и относительно небольшими. Теперь действует другая логика:

  • Первая утечка: штраф от 3 до 15 миллионов рублей.
  • Повторная утечка: оборотный штраф от 1% до 3% от выручки за прошлый год, но не более 500 миллионов.
  • Утечка биометрии (Face ID, отпечатки, голосовые данные): отдельные повышенные санкции.
  • Отсутствие уведомления Роскомнадзора об утечке в течение 24 часов — отдельный штраф.


К этому добавились штрафы за то, что раньше многие игнорировали:

  • Отсутствие согласия на обработку данных — от 300 тысяч до 700 тысяч рублей.
  • Сбор большего объёма данных, чем нужно — отдельные санкции.
  • Хранение данных россиян на серверах за пределами РФ — крупные штрафы.


Кого это касается на самом деле


Распространённое заблуждение — «у меня маленький бизнес, до меня не доберутся». На практике под проверки попадают:

  • Все, кто собирает заявки на сайте — салоны, сервисы, доставка, ремонт, юристы, строители.
  • Интернет-магазины и онлайн-школы.
  • Бизнесы с подпиской на рассылку.
  • Любые проекты с регистрацией пользователей.
  • Бизнесы, использующие Яндекс.Метрику и Google Analytics (данные про IP и куки).


Поводом для проверки часто становится не «выборочный аудит», а жалоба клиента или конкурента. Один недовольный заполнил форму на сайте Роскомнадзора — и к вам приехали.


Что должно быть на сайте по закону


Минимальный набор, без которого работать с заявками нельзя:

Документ / элементЗачемПолитика обработки персональных данных | Описывает, какие данные собираете, зачем, кому передаёте, сколько храните
Согласие на обработку (чекбокс с активной ссылкой) | На каждой форме сбора данных — заявка, подписка, регистрация
Уведомление о cookies | Информирование посетителя при первом заходе
Подача в Роскомнадзор уведомления оператора | Регистрация бизнеса как оператора персональных данных
Хранение данных на серверах в РФ | Если данные собираются у граждан России
Защита канала (HTTPS) | Сертификат SSL на сайте обязательно


Это минимум, без которого штраф можно получить даже без утечки — за сам факт нарушения.


Что часто упускают даже «приличные» сайты


По нашему опыту аудитов, у малого бизнеса в Воронеже типовые проблемы повторяются:

  • Политика обработки скопирована с другого сайта и не соответствует реальности (например, упоминает данные, которые вы не собираете, или наоборот — не упоминает то, что собираете).
  • Нет активного чекбокса «Согласен на обработку данных» — есть просто текст под формой.
  • Согласие подгружается после отправки формы — это уже не согласие.
  • Хостинг или CDN находится за пределами России.
  • CRM и email-сервис хранят базу клиентов за границей (Mailchimp, HubSpot).
  • Заявки приходят в личный Telegram или email без шифрования и логирования.
  • Сайт не уведомил Роскомнадзор о статусе оператора — а должен был.


Каждый из этих пунктов — отдельное основание для штрафа.


Что делать прямо сейчас


Базовый план приведения сайта в порядок:

  1. Проверьте, что собираете. Какие поля в формах, что хранится в CRM, какие куки ставит сайт.
  2. Напишите или перепишите политику обработки — под свою реальность, а не «копию у конкурента».
  3. Поставьте активный чекбокс согласия на каждую форму, со ссылкой на политику.
  4. Проверьте хостинг — он должен быть в РФ. Перенесите, если нет.
  5. Подайте уведомление в Роскомнадзор — это бесплатно и делается онлайн.
  6. Настройте HTTPS на всём сайте, без исключений.
  7. Уберите внешние сервисы, которые тянут данные за границу, или замените их на российские аналоги.
  8. Подумайте о минимизации данных — собирайте только то, что реально нужно.


После этого риск штрафа падает на порядок, а сайт перестаёт быть «миной замедленного действия».


Как мы это делаем в LAB301


В студии LAB301 мы изначально разрабатываем сайты с учётом требований 152-ФЗ: размещаем на российском хостинге, ставим HTTPS, делаем корректную политику обработки персональных данных под конкретный бизнес, активные чекбоксы согласия, защищённую передачу заявок в CRM или Telegram, при необходимости помогаем подать уведомление в Роскомнадзор. Не «прикручиваем сверху», а закладываем правильно с первого дня — это и быстрее, и в разы дешевле, чем переделывать готовый сайт под аудит.


Стоит ли заниматься этим прямо сейчас


В 2026 году требования к работе с персональными данными — это уже не «формальность для крупных», а реальный финансовый риск для любого бизнеса с сайтом. Штраф в 3–15 миллионов рублей закрывает большинство малых предприятий мгновенно. И пока вы откладываете «когда-нибудь разберусь», достаточно одной жалобы — и вы получите проверку.


Дешевле один раз привести сайт в порядок, чем потом доказывать в суде, что «мы же только заявки собирали».


Хотите сайт, который не подведёт при проверке?
Студия LAB301 разрабатывает сайты с соблюдением 152-ФЗ и проводит аудит существующих сайтов на соответствие требованиям. Обсудим вашу задачу.