История первая. Сотрудник компании скопировал базу клиентов на флешку, чтобы поработать дома. Флешку потерял в метро. Компания узнала об этом, когда в дверь постучали полицейские. Штраф — 4 миллиона рублей.
История вторая. Администратор настроил доступ к облачной папке с документами и забыл его закрыть. Через открытую ссылку данные нашёл посторонний человек. Штраф — 3,5 миллиона рублей.
История третья. Интернет-магазин поставил на сайте одну галочку «Я согласен на обработку персональных данных» и считал, что этого достаточно. Клиент получил рекламу, на которую не подписывался, и пожаловался. Штраф — 160 тысяч рублей.
Что общего у этих трёх историй? Во-первых, все они реальные. Это свежая практика 2026 года, и имена компаний известны. Во-вторых, ни в одной из них не было злого умысла. Никто не воровал данные, чтобы их продать. Никто не хотел навредить компании. Просто человеческая ошибка, человеческая лень и надежда на «авось пронесёт». Но не пронесло.
Почему так выросла ответственность
Законодательство в сфере персональных данных ужесточилось. Но дело не только в законах. Изменилась сама философия правоприменения. Раньше штрафовали за то, что данные украли и продали. Теперь штрафуют за сам факт того, что данные оказались там, где им быть не положено. Неважно, украли их или потеряли. Неважно, пострадал кто-то или нет. Важно только одно: информация покинула пределы компании без законного основания.
Это принципиально меняет правила игры. Раньше бизнес мог сказать: «У нас нет утечек, потому что никто не жаловался». Теперь этот аргумент не работает. Инцидент может произойти, и вы узнаете о нем только когда придёт штраф.
Какие ещё нарушения штрафуют
Кроме инцидентов, массово штрафуют за процедурные нарушения. Вот самые частые.
Одна галочка вместо нескольких. Суды прямо говорят: согласие должно быть конкретным. Нельзя одной галочкой разрешить и доставку товара, и рекламную рассылку, и передачу данных партнёрам. Нужно три галочки или три отдельных действия. За одну галочку — штраф.
Неактуальное уведомление в РКН. Подали уведомление при открытии бизнеса и забыли? Сменили адрес, цели обработки, подключили подрядчика? Всё это требует обновления уведомления. Забыли — штраф.
Нет политики обработки ПДн или она устарела. Многие компании скачивают шаблоны из интернета и не меняют годами. Суды это видят. В политике должны быть актуальные цели обработки, порядок уничтожения данных, права субъектов. Нет этого — штраф.
Что делать
Ответ простой и неприятный: перестать относиться к персональным данным как к формальности. Это не «бумажки для юриста». Это реальные риски, которые могут обойтись в миллионы.
Проверьте, как вы собираете согласия. Если на сайте одна галочка на всё — переделывайте. Обновите уведомление в РКН. Это несложно и недорого, но может спасти от штрафа в сто тысяч рублей. Внедрите технический запрет на выгрузку данных на флешки и в личные облачные сервисы. DLP-системы стоят денег, но они дешевле штрафа в несколько миллионов. И самое главное — объясните сотрудникам, почему это важно. Покажите им эти истории. Пусть они увидят цифры. Сотрудник, который знает, что его флешка может стоить компании 4 миллиона рублей, будет вести себя аккуратнее.