С 30 мая 2025 года штрафы по 152-ФЗ выросли в несколько раз — а оборотные штрафы за повторные утечки достигли 500 млн ₽. Подобрали 7 нарушений, по которым РКН реально штрафует малый и средний бизнес.

1. Хранение ПД не в РФ — до 6 млн ₽

Самое дорогое нарушение. По 242-ФЗ серверы для обработки ПД россиян должны находиться на территории РФ. Под удар попадают:

  • Корп.почта на Gmail / Outlook 365 (серверы за рубежом)
  • CRM на иностранных платформах (HubSpot, Salesforce)
  • Сбор лидов через Google Forms, Typeform, Tilda Forms (если форма передаёт данные на зарубежные серверы)
  • Mailchimp, SendGrid, ActiveCampaign в качестве рассылочного сервиса

Штраф: 1–6 млн ₽ для юрлиц, при повторе — 6–18 млн.

2. Виджет онлайн-консультанта без согласия — предписание + штраф

Реальный кейс: РКН проверил сайт, нашёл виджет JivoSite/Talk-Me/Carrot Quest и в форме чата отсутствовал чек-бокс согласия на обработку ПД. Это нарушение ст.9 152-ФЗ. Штраф: 100–300 К ₽, а если виджет ещё передаёт данные за рубеж — добавляется штраф по 242-ФЗ.

3. Фотографии сотрудников без письменного согласия

На странице «Команда» / «Наши специалисты» — карточки с фото и ФИО. По 152-ФЗ + ст. 152.1 ГК это требует письменного согласия каждого сотрудника. Сайт ресторана получил предписание РКН за такую страницу. Штраф: до 300 К ₽.

4. Нет реестрового номера оператора ПД

По ст.22 152-ФЗ каждый оператор обязан подать уведомление в РКН до начала обработки ПД. Не сделали — штраф 100–300 К ₽ по КоАП 19.7. На вашем сайте должен быть указан реестровый номер. Проверить себя: pd.rkn.gov.ru/operators-registry/operators-list/ — поиск по ИНН.

5. Утечка ПД — оборотный штраф до 15 млн ₽ + 3% выручки

Новая шкала с 30 мая 2025:

  • 1 000–10 000 субъектов: 3–5 млн ₽
  • 10 000–100 000: 5–10 млн ₽
  • >100 000: 10–15 млн ₽
  • Спецкатегория (медицина, биометрия): 10–15 млн ₽
  • При повторной утечке: 1–3% годовой выручки, минимум 20 млн, максимум 500 млн ₽

6. Неуведомление об утечке за 24 часа

С 2024 года при обнаружении утечки оператор обязан уведомить РКН в течение 24 часов и субъектов ПД — в течение 72 часов. Не сделали — штраф 1–3 млн ₽.

7. «Неограниченный» / «бессрочный» срок хранения ПД в политике

Классика. В политике написано «срок хранения — до отзыва согласия» или «бессрочно» — это нарушение ст.5 ч.7 152-ФЗ. Срок должен быть конкретным и обоснованным целями обработки. Штраф: до 700 К ₽.

Как защититься

Минимум: проверить хостинг (РФ), убрать чек-боксы по умолчанию, добавить согласие во все виджеты, прописать конкретные сроки хранения, подать уведомление в РКН (это бесплатно и занимает 30 минут).