Персональные данные: 7 нарушений, которые могут стоить бизнесу миллионов

Контроль со стороны государства становится все более системным, а размеры штрафов за нарушения в сфере персональных данных заметно выросли. При этом под санкции попадают не только крупные корпорации с большими бюджетами. Риски есть у обычных компаний: магазинов, образовательных проектов, медицинских учреждений, служб доставки, агентств по продвижению, владельцев сайтов, организаторов мероприятий и работодателей.

CPAExchange на практических примерах видит одну и ту же закономерность: чаще всего причиной штрафа становится не злой умысел, а отсутствие выстроенной системы работы с персональными данными. Компания может быть прибыльной, узнаваемой и технологичной, но при этом оказаться совершенно неподготовленной к проверке.

Разберем семь распространенных причин, из-за которых компании получают штрафы, и объясним, как снизить риски.

Какие штрафы грозят бизнесу

Важно учитывать: размеры штрафов в сфере персональных данных уже нельзя воспринимать как незначительные административные расходы. По отдельным нарушениям ответственность для компаний может исчисляться миллионами рублей.

По состоянию на момент публикации настоящей статьи для юридических лиц предусмотрены следующие размеры штрафов:

• за обработку персональных данных в случаях, не предусмотренных законом, либо с нарушением заявленных целей — от 150 000 до 300 000 рублей;

• за повторное нарушение этого правила — от 300 000 до 500 000 рублей;

• за обработку персональных данных без необходимого письменного согласия или с нарушением требований к его содержанию — от 300 000 до 700 000 рублей;

• за повторное нарушение, связанное с отсутствием надлежащего согласия, — от 1 000 000 до 1 500 000 рублей;

• за отсутствие или несвоевременную подачу уведомления в Роскомнадзор о намерении обрабатывать персональные данные — от 100 000 до 300 000 рублей;

• за неуведомление Роскомнадзора об утечке персональных данных — от 1 000 000 до 3 000 000 рублей;

• за утечку персональных данных от 1 000 до 10 000 человек — от 3 000 000 до 5 000 000 рублей;

• за утечку персональных данных от 10 000 до 100 000 человек — от 5 000 000 до 10 000 000 рублей;

• за утечку персональных данных более 100 000 человек — от 10 000 000 до 15 000 000 рублей;

• за утечку специальных категорий персональных данных — от 10 000 000 до 15 000 000 рублей;

• за утечку биометрических персональных данных — от 15 000 000 до 20 000 000 рублей;

• за повторную крупную утечку персональных данных возможен оборотный штраф — от 1% до 3% выручки, но не менее 20 000 000 рублей и не более 500 000 000 рублей.

Итоговая сумма зависит от состава нарушения, количества субъектов персональных данных, категории сведений, повторности нарушения и других обстоятельств дела.

Именно поэтому защита персональных данных сегодня — это не формальность и не «бумажный» вопрос. Для компании это зона финансового, репутационного и управленческого риска.

Причина № 1. Компания не уведомила Роскомнадзор

Одно из самых распространенных заблуждений звучит так: «Мы не банк и не государственная структура, поэтому нас это не касается».

На практике персональные данные обрабатывает почти любая организация. Если у компании есть сотрудники, клиенты, подписчики рассылок, посетители сайта, участники мероприятий или пользователи приложения, она уже работает с персональными данными.

Многие предприниматели забывают, что в ряде случаев необходимо уведомить Роскомнадзор о начале обработки персональных данных. Иногда руководители считают, что достаточно разместить на сайте политику обработки данных или получить согласие пользователя. Но это разные обязанности.

Представьте небольшую сеть спортивно-оздоровительных клубов. Компания собирает имена и номера телефонов клиентов для записи на занятия, хранит историю посещений и отправляет сообщения о расписании. Бизнес работает несколько лет, база насчитывает тысячи человек. Во время проверки выясняется, что уведомление в Роскомнадзор никогда не подавалось. Формально нарушение уже есть, даже если сами данные хранились аккуратно.

Первое, что стоит проверить любой компании: подано ли уведомление в Роскомнадзор и соответствует ли оно реальным процессам обработки данных.

Причина № 2. Согласие оформлено неправильно

Многие организации до сих пор используют формы согласия, скачанные из открытых источников много лет назад. Но универсальное согласие «на все» уже давно не выглядит безопасным решением.

Согласие на обработку персональных данных должно быть понятным, конкретным и связанным с определенной целью. В нем важно указать, какие данные собираются, зачем они нужны, какие действия с ними будут совершаться, как долго они будут храниться и как человек может отозвать согласие.

Особенно часто проблемы возникают у магазинов, работающих через сайт, служб доставки, образовательных проектов и компаний сферы услуг. Клиент оставляет номер телефона для консультации, а затем начинает получать рекламные сообщения, на которые отдельного согласия не давал. С точки зрения закона это уже может стать нарушением.

Хорошая аналогия — аренда квартиры. Если человек разрешил вам зайти в прихожую, это не означает, что он автоматически разрешил пользоваться всеми комнатами. Так же работает и согласие на обработку данных: оно должно быть конкретным, ограниченным по цели и понятным для человека.

Причина № 3. Компания собирает лишние данные

Еще одна типичная ошибка — стремление собрать о клиенте максимум сведений «на всякий случай».

Компании нередко запрашивают дату рождения, адрес проживания, паспортные данные, место работы или другую информацию, которая не имеет отношения к конкретной услуге. Но если человеку нужно просто подписаться на информационную рассылку, обычно достаточно адреса электронной почты. Если он оставляет заявку на обратный звонок, чаще всего достаточно имени и номера телефона.

Чем больше данных собирает компания, тем выше ее ответственность. Избыточные сведения нужно хранить, защищать, учитывать в документах и объяснять, зачем они были получены.

Контролирующие органы все чаще обращают внимание на принцип минимизации: компания должна собирать только те данные, которые действительно необходимы для заявленной цели.

Поэтому перед добавлением любого нового поля в форму стоит задать простой вопрос: «Мы точно не сможем оказать услугу без этой информации?» Если ответ отрицательный, от такого поля лучше отказаться.

Причина № 4. Данные передаются подрядчикам без надлежащего оформления

Современная компания редко работает с данными полностью самостоятельно. Она может использовать службы электронных рассылок, рекламные площадки, системы анализа посещаемости сайта, формы обратной связи, центры телефонного обслуживания, удаленные хранилища, бухгалтерские программы и внешних подрядчиков.

Проблема возникает тогда, когда персональные данные клиентов передаются таким партнерам без надлежащего правового оформления.

Представьте ресторан, который решил провести рекламную кампанию и передал базу клиентов агентству по продвижению. Если необходимые документы не оформлены, ответственность может наступить именно для ресторана как оператора персональных данных.

Многие руководители ошибочно считают, что после передачи базы вся ответственность автоматически переходит подрядчику. На практике это не так. Компания, которая собрала данные и определила цели их обработки, обычно остается ключевым ответственным лицом перед клиентом и контролирующими органами.

Поэтому с подрядчиками, которые получают доступ к персональным данным, необходимо оформлять договоры и поручения на обработку данных, а также проверять, какие именно сведения им передаются и для чего.

Причина № 5. Нарушаются правила хранения и защиты информации

Собрать данные законно — только половина задачи. Не менее важно обеспечить их безопасность.

Компании по-прежнему хранят клиентские базы в открытых таблицах, пересылают документы через незащищенные каналы связи, используют простые пароли, дают доступ к данным слишком широкому кругу сотрудников и не контролируют, кто именно работает с информацией.

Типичная ситуация: сотрудник скачал клиентскую базу на личный ноутбук, чтобы поработать из дома. Устройство было потеряно, а сведения оказались доступны посторонним. Даже если это произошло случайно, организация может столкнуться с серьезными последствиями.

Персональные данные сегодня — такой же ценный актив, как деньги на расчетном счете. Никто не хранит выручку в незапертом ящике стола. С данными клиентов необходимо обращаться с той же степенью ответственности.

Безопасная система хранения должна включать ограничение доступа, надежные пароли, внутренние правила работы с данными, контроль выгрузок, порядок удаления сведений и понятную ответственность сотрудников.

Причина № 6. Компания игнорирует обращения граждан

У человека есть право узнать, какие персональные данные о нем обрабатываются, потребовать уточнения информации, блокирования или уничтожения данных, а также отозвать согласие на обработку.

На практике многие компании не имеют внутреннего порядка работы с такими обращениями. Письма клиентов теряются, сотрудники не понимают, кто должен отвечать, сроки пропускаются, а запросы остаются без реакции.

Для контролирующих органов это самостоятельный риск.

Если клиент просит удалить его из базы рассылки, компания обязана отреагировать. Недостаточно просто проигнорировать обращение в надежде, что человек забудет о своем запросе.

Чтобы избежать проблем, у компании должен быть понятный порядок: кто принимает обращения, кто проверяет личность заявителя, кто готовит ответ, в какие сроки он направляется и как фиксируется исполнение запроса.

Причина № 7. Нет внутренней документации

Самая недооцененная проблема — отсутствие документов, подтверждающих соблюдение требований закона.

Иногда компания действительно старается работать правильно: не собирает лишние сведения, ограничивает доступ сотрудников, отвечает клиентам и не передает базы посторонним. Но во время проверки не может доказать это документально.

Нет приказов, внутренних положений, инструкций для сотрудников, перечня обрабатываемых данных, порядка хранения и уничтожения сведений, документов по работе с подрядчиками, программы обучения персонала.

В результате возникает парадоксальная ситуация: организация фактически соблюдает многие правила, но юридически выглядит неподготовленной.

Защита персональных данных — это не только программы, пароли и технические средства. Это еще и грамотно оформленные внутренние процессы, которые можно показать при проверке.

Кто находится в зоне повышенного риска

Особое внимание на работу с персональными данными стоит обратить следующим категориям организаций:

• магазинам, работающим через сайт;

• медицинским учреждениям;

• образовательным проектам;

• агентствам по продвижению;

• финансовым организациям;

• работодателям с большим количеством сотрудников;

• владельцам сайтов и приложений;

• организаторам мероприятий;

• компаниям, которые ведут электронные рассылки;

• организациям, которые передают данные подрядчикам.

Чем больше персональных данных проходит через компанию, тем выше потенциальные риски. Но это не означает, что малый бизнес находится в безопасности. Небольшая студия красоты с базой клиентов может получить те же претензии, что и крупная федеральная сеть, если нарушает требования закона.

Как выстроить безопасную систему работы с персональными данными

Практика показывает: наиболее защищенными оказываются не самые крупные компании, а те, которые подходят к вопросу системно.

Для этого необходимо:

• провести проверку всех процессов обработки персональных данных;

• определить правовые основания для каждой операции;

• проверить необходимость уведомления Роскомнадзора;

• привести формы согласий в соответствие с реальными целями обработки;

• обновить политику обработки персональных данных на сайте;

• подготовить внутренние документы, приказы и инструкции;

• ограничить доступ сотрудников к информации;

• установить порядок хранения, удаления и уничтожения данных;

• обучить сотрудников правилам работы с персональными данными;

• проверить подрядчиков, которые получают доступ к данным клиентов;

• настроить порядок реакции на обращения граждан и возможные утечки.

Важно понимать: защита персональных данных сегодня — это уже не задача только юристов или специалистов по информационной безопасности. Это элемент устойчивости компании, который напрямую влияет на ее репутацию, финансовую стабильность и доверие клиентов.

---

В 2026 году персональные данные окончательно перестали быть формальностью. Государство усиливает контроль, размеры штрафов растут, а сами пользователи становятся внимательнее к тому, как компании используют их информацию.

Побеждают не те организации, которые надеются избежать проверки, а те, которые заранее выстраивают прозрачную, законную и понятную систему работы с данными.

Здесь важно помнить простое правило: дешевле один раз навести порядок в процессах, чем потом объяснять контролирующим органам, почему клиентская база оказалась в открытом доступе, почему согласие было оформлено неправильно или почему компания не смогла подтвердить законность обработки данных.

Персональные данные — это не просто юридическая обязанность. Это вопрос доверия. Если человек передает компании свои сведения, он ожидает, что с ними будут обращаться аккуратно, законно и ответственно.

Информация о размерах штрафов и требованиях законодательства приведена по состоянию на момент публикации настоящей статьи. Поскольку регулирование в сфере персональных данных может меняться, перед принятием управленческих решений компании следует проверять актуальную редакцию закона и учитывать особенности своей деятельности.

Если вам интересны актуальные вопросы цифрового продвижения, рекламы, партнерских программ, аналитики и правового регулирования бизнеса в сети Интернет, присоединяйтесь к экспертному сообществу CPAExchange. Здесь профессионалы рынка обсуждают практические примеры, делятся опытом и вместе ищут решения для сложных задач современной цифровой среды.

Если ваша компания продвигает продукты или услуги в цифровой среде, важно не только привлекать внимание аудитории, но и делать это безопасно: корректно работать с персональными данными, соблюдать требования закона, выстраивать прозрачную коммуникацию и не рисковать доверием клиентов.

CPAExchange объединяет профессиональное сообщество специалистов в сфере цифрового продвижения, рекламы, партнерских программ, аналитики и правового регулирования бизнеса в сети Интернет. Здесь обсуждают практические примеры, делятся опытом и разбирают инструменты, которые помогают компаниям развиваться эффективнее и осознаннее.

Если вы хотите безопасно продвигаться, быть заметными для профессиональной аудитории и использовать проверенные каналы коммуникации, изучите коммерческий пакет CPAExchange. В нем представлены форматы размещения в электронных рассылках, социальных сетях и других коммуникационных каналах, а также примеры возможного продвижения для компаний, которые хотят заявить о себе на рынке.

Посмотреть или скачать коммерческое предложение можно по ссылке: https://www.cpaexchange.ru/content/Программа_платного_спонсорства_от_платформы_CPAExchange.pdf

Продвигайтесь там, где вашу компанию видит профессиональная аудитория, а коммуникация строится не на случайном охвате, а на доверии, экспертизе и понятной ценности для рынка.