Роскомнадзор в 2025 году резко активизировал проверочную деятельность в связи с вступлением в силу ФЗ-420 и новых оборотных штрафов. Ведомство проверяет как крупные корпорации, так и небольшие сайты с формами обратной связи. По итогам 2025 года можно выделить десять самых распространённых оснований для штрафов. Каждое из них — реальный риск для любого владельца сайта, который собирает данные пользователей.
Рейтинг нарушений: топ-10
-
Отсутствие политики конфиденциальности или её несоответствие требованиям
Штраф: от 60 000 до 100 000 рублей для юридических лиц (ч. 1 ст. 13.11 КоАП РФ)
Самое массовое нарушение. Сайты либо вообще не имеют политики конфиденциальности, либо размещают «скопированные» документы, не соответствующие реальным процессам обработки данных. РКН проверяет наличие документа, его доступность (ссылка на каждой странице с формой сбора данных) и содержание: перечень обрабатываемых данных, цели, сроки хранения, права субъектов.
-
Отсутствие уведомления об операторе персональных данных в РКН
Штраф: от 100 000 до 300 000 рублей для юридических лиц (ст. 19.7 КоАП РФ)
Любая организация или ИП, обрабатывающие персональные данные (кроме узкого круга исключений), обязаны подать уведомление в Роскомнадзор и внести себя в реестр операторов. Проверить наличие в реестре можно на сайте РКН. Тысячи компаний об этой обязанности не знают.
-
Нарушение порядка получения согласия на обработку персональных данных
Штраф: от 60 000 до 100 000 рублей для юрлиц (ч. 2 ст. 13.11 КоАП РФ)
Типичные ошибки: предустановленный чекбокс (галочка уже стоит), согласие «зашито» в общие условия пользования сайтом, форма согласия не содержит информацию о целях и объёме обрабатываемых данных. Роскомнадзор регулярно проверяет формы регистрации и обратной связи.
-
Передача персональных данных за рубеж без соблюдения требований трансграничной передачи
Штраф: от 100 000 до 200 000 рублей (ч. 13 ст. 13.11 КоАП РФ)
Использование иностранных сервисов (Google Analytics, Mailchimp, CRM-систем с серверами за рубежом) без уведомления РКН о трансграничной передаче данных является нарушением. В 2025 году РКН стал активнее отслеживать подключение иностранных пикселей и аналитических систем.
-
Несвоевременное уведомление РКН об утечке персональных данных
Штраф: от 200 000 до 500 000 рублей для юрлиц (ч. 11 ст. 13.11 КоАП РФ)
Требование уведомить РКН в течение 24 часов после обнаружения утечки нарушается чаще всего потому, что компании не имеют настроенной системы мониторинга инцидентов. Задержка даже на несколько часов сверх установленного срока является самостоятельным нарушением.
-
Хранение персональных данных граждан России на зарубежных серверах
Штраф: от 6 000 000 до 18 000 000 рублей для юрлиц (ч. 21 ст. 13.11 КоАП РФ)
Требование о локализации персональных данных россиян на российских серверах действует с 2015 года, однако РКН существенно усилил контроль в 2025 году. Под санкции попадают в том числе иностранные компании, работающие на российском рынке.
-
Обработка персональных данных без законного основания
Штраф: от 60 000 до 100 000 рублей для юрлиц (ч. 1 ст. 13.11 КоАП РФ)
Компании нередко собирают «лишние» данные — запрашивают больше информации, чем нужно для заявленной цели. Например, интернет-магазин спрашивает дату рождения и паспортные данные там, где достаточно имени и email. Принцип минимизации данных — один из ключевых в ФЗ-152.
-
Отсутствие ответа на запрос субъекта персональных данных
Штраф: от 40 000 до 80 000 рублей для юрлиц (ч. 9 ст. 13.11 КоАП РФ)
Каждый гражданин вправе запросить у оператора информацию о том, какие его данные обрабатываются, и потребовать их удаления. Компании обязаны ответить в течение 30 дней. Игнорирование таких запросов — распространённое нарушение, особенно для небольших компаний.
-
Нарушение требований к защите специальных категорий персональных данных
Штраф: от 100 000 до 300 000 рублей для юрлиц (ч. 5 ст. 13.11 КоАП РФ)
Медицинские организации, страховые компании, HR-службы — все, кто работает с данными о здоровье, биометрией, судимостями — несут повышенную ответственность. Стандартные меры защиты здесь недостаточны: требуется усиленный режим безопасности.
-
Непринятие мер по уничтожению персональных данных после достижения цели обработки
Штраф: от 60 000 до 100 000 рублей для юрлиц (ч. 3 ст. 13.11 КоАП РФ)
«Мёртвые» базы данных — резюме людей, не принятых на работу пять лет назад, данные покупателей расформированного подразделения — это юридический и репутационный риск. Политика хранения данных и их своевременного уничтожения — обязательный элемент системы защиты персональных данных.
Статистика проверок РКН в 2025 году
| Тип субъекта | Доля в общем числе проверок | Наиболее частое нарушение |
|---|---|---|
| Интернет-магазины и маркетплейсы | 28% | Неправильное согласие, отсутствие политики |
| Медицинские организации | 19% | Защита спецкатегорий, локализация |
| Банки и финансовые организации | 15% | Трансграничная передача, согласие |
| HR и рекрутинг | 12% | Уничтожение данных, хранение резюме |
| Прочие (малый бизнес, НКО) | 26% | Отсутствие уведомления, политики |
Главный вывод: большинство нарушений, за которые РКН штрафует в 2025 году, легко устранить заблаговременно. Наличие актуальной политики конфиденциальности, корректного согласия и уведомления в РКН закрывает около 60% рисков для типичного сайта малого бизнеса.
