Весной 2025 года у Роскомнадзора случился настоящий аврал — тысячи операторов ПД внезапно вспомнили, что нужно подавать уведомления. Всему виной новые штрафы, о которых мы рассказывали здесь. РКН разбирал этот завал, и летом в арбитражных судах было тихо: июнь — 1 дело, август — 1 дело.
А потом началось:
Сентябрь — 13 дел
Октябрь — 9 дел
Ноябрь — 12 дел (но могут быть еще дела, по которым не было решений на момент написания материала)
Роскомнадзор разобрался с уведомлениями и переключился на нарушителей.
Мы проанализировали 46 решений арбитражных судов о привлечении к ответственности за нарушения при обработке персональных данных. И обнаружили важную закономерность: 79% компаний получают предупреждение вместо штрафа, если у них есть смягчающие обстоятельства.
Расскажем, какие именно. Но сначала немного статистики.
За полгода арбитражные суды рассмотрели 46 дел, по 38 из них ответчиком был бизнес (компании или их должностные лица).
Из 26 дел, рассмотренных по существу:
к ответственности привлекли в 85% случаев
59% получили предупреждение (и то при идеальном стечении обстоятельств)
41% получили реальные штрафы
средний штраф — 66,667 руб (от 30 000 до 150 000 руб)
Избежать штрафа или снизить его размер помогают смягчающие обстоятельства.
Так, с июня 2025 г. только 21% компаний, у которых были смягчающие обстоятельства, получили штраф. Остальные 79% отделались предупреждением.
То есть смягчающие обстоятельства действительно работают.
Что считается смягчающим обстоятельством
Большинству компаний помогло, что:
они нарушили впервые,
никто не пострадал,
нарушение успели исправить до суда,
они признали ошибку,
не извлекали выгоду из нарушения.
Как мы видим, если компания нарушила впервые, никому не навредила и успела исправить — почти гарантированно она получит предупреждение, а не штраф.
Если не будет соблюден хотя бы один пункт, штрафа не избежать.
Но есть детали
При повторном нарушении штрафа не избежать.
В практике есть пример: медучреждение наказали в июле, а в сентябре снова поймали на нарушении. Результат — штраф 40 000 руб. Про предупреждение уже не шло речи.
Кого чаще всего привлекают
За полгода ответчиками в арбитражных судах были:
Должностные лица (руководители, ответственные за обработку) — 26%
Обычные компании (ИТ, транспорт, торговля, образование, медицина и т.п.) — 22%
Бюджетные учреждения — 9%
Банки, финансовые компании — 15%
Управляющие компании, ТСЖ, СНТ — 11%
Физические лица — 2%
Надзорный орган (оспаривание документов РКН) — 15%
Как видим, частный бизнес и должностные лица чаще всего становятся ответчиками в суде по делам о нарушениях порядка обработки персональных данных.
Кто инициирует судебное разбирательство
Истцами за этот период были:
Роскомнадзор — 35% дел
Жалобы граждан — 33% дел
Прокуратура — 4% дел
Треть всех дел начинается с того, что человек пожаловался. Недовольный клиент, пользователь сайт, обиженный сотрудник, житель дома — любой может написать жалобу и иск в суд.
Поэтому важно не только соблюдать закон, но и уметь работать с людьми, чтобы не доводить до жалоб.
Топ-5 частых ошибок
Не подали уведомление в Роскомнадзор — 10,5% дел
До начала обработки данных нужно уведомить РКН. Многие не знают или забывают.
Не отвечают на запросы людей — 10,5% дел
«Какие мои данные вы обрабатываете?» — если игнорируете такие вопросы, рискуете получить штраф.
Не уничтожили данные после отзыва согласия — 10,5% дел
Компания должна доказать уничтожение.
Разглашение ПД (в т.ч. публикация в мессенджерах) — 23,7%
WhatsApp-группы, посты ВКонтакте — любая публикация персональных данных без согласия или другого законного основания это риск.
Нет политики обработки ПД или она неправильная — 10,5% дел
Яндекс.Метрика без согласия — 7,8% дел
Ставят на сайт и забывают про баннер. РКН проверяет автоматически.
Утечка (размещение базы данных с ПД) — 7,8% дел
По некоторым делам нет описания нарушений.
Реальная цена ошибки
Распределение штрафов:
До 40 тысяч — 44,5% штрафов
40-60 тысяч — 33,3%
100+ тысяч — 22,2%
Максимальный штраф в выборке - 150 000 рублей (2 дела).
Большинство штрафов (78%) — до 60 тысяч. Суды обычно назначают штраф по минимальной границе.
Но есть нюанс: это только прямые расходы, которые несет компания из-за нарушения. А ещё есть:
время на разбирательства
нервы и стресс
репутационные потери
риск повторного нарушения (тогда штрафы будут больше)
Три главных заблуждения
«У нас мало данных, не заметят»
Ответчики по большинству дел - должностные лица или компании с небольшим количеством ПД, которые они обрабатывают.
Следовательно, под ударом может оказаться кто угодно вне зависимости от размера бизнеса.
«Мы впервые, дадут предупреждение»
Только этого не достаточно. Нужны и другие смягчающие обстоятельства. Если произошла утечка, от штрафа не защитит даже то, что это произошло впервые.
«Можно не уведомлять РКН, это не отслеживают»
10,5% дел — именно из-за неуведомления РКН.
Выводы
Судебная практика показывает сбалансированный подход.
Суды не карают направо и налево. Если нарушили впервые, без злого умысла, никому не навредили — скорее всего, отделаетесь предупреждением.
Но если:
— нарушали раньше
— скрывали проблемы
— причинили вред людям
— игнорировали требования
тогда штраф будет обязательно.
Что можно сделать прямо сейчас
Проверьте сайт на счётчики (Метрика, Google Analytics) → нужен cookie-баннер
Проверьте, подано ли уведомление в РКН → если обрабатываете ПД
Проверьте, есть ли политика обработки ПД → должна быть на сайте
Проверьте рабочие чаты → нет ли там ПД клиентов/сотрудников
Проверьте, как отвечаете на запросы субъектов → есть ли процедура
Каждый пропущенный пункт — потенциальный штраф 30–150 тыс.
Если вы уже нарушали, чтобы не получить штраф за повторное нарушение:
В ближайшее время проведите работу над ошибками - проведите аудит процессов обработки ПД и документов, которые регулируют обработку ПД в вашей организации. Важно, чтобы они не нарушали закон.
Научите сотрудников работать с ПД
