Роскомнадзор взыскал 30 000 рублей штрафа с компании за отсутствие политики обработки персональных данных на сайте. Судебное дело № А40-342669/25 показывает: даже если нарушение оперативно устранено, это не защищает от ответственности. Рассказываем, почему политика конфиденциальности - это не формальность, а юридическая защита бизнеса, и как избежать штрафов от 30 000 до 60 000 рублей.
Суть дела: почему оштрафовали компанию
По делу А40-342669/25 от 10.12.2025 года Роскомнадзор привлек ООО "Правовые Новости" к административной ответственности по части 3 статьи 13.11 КоАП РФ. Основание - отсутствие на сайте политики обработки персональных данных при наличии активных форм сбора информации о пользователях.
Что установил регулятор:
- На сайте компании размещены формы для сбора персональных данных посетителей (имя, фамилия, отчество, должность, email, телефон, название компании)
- Общество является оператором персональных данных в соответствии с требованиями ФЗ-152
- Обязательный документ (Политика обработки персональных данных) на сайте отсутствовал
- Факт нарушения подтвержден скриншотами и распечатками страниц сайта
Попытки защиты не сработали. Компания указала, что устранила нарушение и просила признать его малозначительным. Однако суд отклонил эти доводы. Более того, выяснилось, что за день до этого организация уже была оштрафована по той же статье КоАП РФ - за неподачу уведомления в Роскомнадзор.
Решение суда: штраф 30 000 рублей. Суд отметил, что существенная угроза охраняемым общественным отношениям заключается не в материальных последствиях, а в пренебрежительном отношении к исполнению публично-правовых обязанностей.
Правовая база: почему политика персональных данных обязательна
Требование о размещении политики конфиденциальности закреплено в части 2 статьи 18.1 Федерального закона № 152-ФЗ "О персональных данных".
Ключевые нормы закона:
Обязанность всех операторов. Каждый оператор персональных данных обязан опубликовать или обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных.
Усиленные требования для онлайн-операторов. Если вы собираете персональные данные через интернет (формы обратной связи, заявки, подписки, онлайн-чаты), политика должна быть опубликована непосредственно на сайте. Пользователь должен иметь возможность ознакомиться с документом до того, как передаст свои данные.
Кто считается оператором:
- Юридические лица (ООО, АО, НКО)
- Индивидуальные предприниматели
- Физические лица (включая самозанятых), осуществляющие обработку персональных данных
Если на вашем сайте есть любая форма, собирающая данные посетителей - вы автоматически становитесь оператором персональных данных. Даже простая форма "Заказать звонок" с полями "Имя" и "Телефон" делает вас субъектом регулирования ФЗ-152.
Размеры штрафов: сколько заплатят за нарушение
Административная ответственность за отсутствие политики обработки персональных данных установлена частью 3 статьи 13.11 КоАП РФ.
Актуальная шкала штрафов в 2026 году:
- Физические лица и самозанятые: от 1 500 до 3 000 рублей
- Должностные лица: от 6 000 до 12 000 рублей
- Индивидуальные предприниматели: от 10 000 до 20 000 рублей
- Юридические лица: от 30 000 до 60 000 рублей
Важно: это только за отсутствие политики. Полный спектр ответственности по статье 13.11 КоАП РФ значительно шире:
| Вид нарушения | Штраф для юрлиц |
|---|---|
| Обработка без согласия или с нарушением требований к согласию | 300 000 – 700 000 руб. |
| Отсутствие политики обработки на сайте | 30 000 – 60 000 руб. |
| Невыполнение требования субъекта об уточнении, блокировке или удалении данных | 50 000 – 90 000 руб. |
| Нарушение требований локализации данных (хранение на серверах вне РФ) | 1 000 000 – 6 000 000 руб. |
| Неуведомление Роскомнадзора о начале обработки персональных данных | 100 000 – 300 000 руб. |
| Неуведомление об утечке данных (инциденте безопасности) | 1 000 000 – 3 000 000 руб. |
При повторных нарушениях штрафы увеличиваются в несколько раз. Для крупных утечек данных введены оборотные штрафы - до 3% от годовой выручки компании (но не менее 25 млн и не более 500 млн рублей).
Почему суд не признал нарушение малозначительным
Компания пыталась избежать ответственности, ссылаясь на статью 2.9 КоАП РФ о малозначительности правонарушения. Однако суд отказал по нескольким причинам:
1. Характер угрозы. Суд указал, что существенная угроза охраняемым общественным отношениям заключается не в наступлении каких-либо материальных последствий, а в пренебрежительном отношении к исполнению своих публично-правовых обязанностей.
2. Повторность нарушений. Суд учел, что ООО "Правовые Новости" уже привлекалось к административной ответственности по статье 13.11 КоАП РФ - буквально днем ранее за неподачу уведомления в Роскомнадзор. Это свидетельствует о системном пренебрежении требованиями законодательства.
3. Устранение нарушения после выявления. Хотя компания устранила нарушение (разместила политику на сайте), это не освобождает от ответственности. Роскомнадзор и суды исходят из принципа: законность должна соблюдаться изначально, а не после получения предписания.
Судебная практика показывает: малозначительность в делах о персональных данных применяется крайне редко. Суды квалифицируют такие нарушения как посягательство на конституционные права граждан (право на неприкосновенность частной жизни, закрепленное в статье 23 Конституции РФ).
Что должно быть в политике обработки персональных данных
Политика конфиденциальности - это не шаблонный текст, скопированный с других сайтов. Документ должен отражать реальные процессы обработки данных в вашей компании.
Обязательные разделы политики:
1. Общие положения
- Полное наименование оператора (юридическое лицо, ИП)
- Адрес местонахождения
- Контактные данные для связи по вопросам персональных данных
- Определение основных терминов (оператор, субъект, обработка, согласие)
2. Цели обработки персональных данных
- Конкретные и законные цели (исполнение договора, предоставление услуг, консультирование, рассылка информации)
- Недопустимо указывать общие формулировки типа "для улучшения работы сайта"
3. Правовые основания обработки
- Ссылки на нормы ФЗ-152 (согласие субъекта, исполнение договора, законные интересы оператора)
- Указание конкретных статей закона
4. Категории субъектов и объем собираемых данных
- Кто: посетители сайта, клиенты, подписчики рассылки
- Что собирается: имя, фамилия, email, телефон, должность, название компании, IP-адрес, данные cookies
- Важно: указывайте только те данные, которые реально собираете
5. Способы и условия обработки
- Как данные обрабатываются (автоматизированная обработка, хранение в CRM-системах)
- Где хранятся данные (локализация на территории РФ согласно требованиям закона)
- Сроки хранения (должны соответствовать целям обработки)
- Меры безопасности (шифрование, контроль доступа, резервное копирование)
6. Передача данных третьим лицам
- Перечислите всех третьих лиц, которым передаются данные (службы доставки, платежные системы, подрядчики)
- Укажите цели такой передачи
- Если используете Google Analytics, Яндекс.Метрику, коллтрекинг - это тоже нужно указать
7. Права субъектов персональных данных
- Право на получение информации об обработке своих данных
- Право на уточнение, блокирование или удаление неточных данных
- Право на отзыв согласия
- Порядок реализации прав (куда обращаться, сроки ответа)
8. Файлы cookies и аналитика
- Какие cookies используются (функциональные, аналитические, маркетинговые)
- Цели их использования
- Возможность управления cookies (отключение в браузере)
9. Порядок обновления политики
- Условия изменения документа
- Способ уведомления пользователей об изменениях
- Дата вступления в силу текущей редакции
Как правильно разместить политику на сайте
Недостаточно просто создать документ - его нужно правильно разместить и обеспечить к нему доступ.
Требования к размещению:
1. Отдельная страница. Политика должна быть размещена на отдельной странице сайта с уникальным URL (например, site.ru/privacy-policy или site.ru/personal-data-policy).
2. Доступность в один клик. Ссылка на политику должна быть размещена:
- В футере (подвале) каждой страницы сайта
- Рядом с каждой формой сбора данных
- В чек-боксе согласия на обработку персональных данных
3. Видимость и читаемость. Ссылка должна выделяться и быть заметной. Недопустимо использовать микроскопический шрифт или цвет текста, сливающийся с фоном.
4. Отдельное согласие на обработку данных. Рядом с формой должен быть чек-бокс (галочка) с текстом: "Я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности". Предустановленные галочки (галочка стоит по умолчанию) недопустимы - пользователь должен активным действием выразить свое согласие.
5. Баннер о cookies. При первом посещении сайта должно появляться всплывающее уведомление о том, что сайт использует файлы cookies. Пользователь должен иметь возможность принять или отклонить их использование.
Чек-лист: как защитить сайт от штрафов Роскомнадзора
1. Документация и регистрация
- Разработайте политику обработки персональных данных, отражающую реальные процессы вашего бизнеса
- Разместите политику на отдельной странице сайта с постоянным URL
- Подайте уведомление в Роскомнадзор о начале обработки персональных данных (через портал ведомства)
- Назначьте ответственного за обработку персональных данных приказом по организации
2. Техническая реализация на сайте
- Добавьте ссылку на политику в футер всех страниц сайта
- Установите обязательные чек-боксы согласия на обработку данных во всех формах (без предустановленных галочек)
- Настройте всплывающий баннер с уведомлением о cookies для новых посетителей
- Убедитесь, что ссылка на политику видна и доступна (не микроскопический шрифт, контрастный цвет)
3. Соответствие содержания сайта политике
- Проверьте, что в политике перечислены все данные, которые вы реально собираете
- Укажите все третьи лица, которым передаются данные (аналитика, CRM, email-рассылки, платежные системы)
- Если используете Google Analytics, Яндекс.Метрику или другие системы аналитики - они должны быть упомянуты
- Убедитесь, что политика не противоречит уведомлению, поданному в Роскомнадзор
4. Локализация и хранение данных
- Проверьте, что ваш сайт размещен на хостинге с серверами на территории РФ
- Базы данных (CRM, клиентские базы) должны храниться на российских серверах
- Если используете зарубежные сервисы (Notion, Trello и прочие) - это нарушение требований локализации, грозящее штрафами до 6 млн рублей
Если оператор впервые зафиксировал сбор, запись или хранение данных россиян на зарубежных серверах в обход российских, штрафы составят: Для граждан: от 30 000 до 50 000 рублей. Для должностных лиц (руководителей): от 100 000 до 200 000 рублей. Для юридических лиц: от 1 000 000 до 6 000 000 рублей.
Повторное нарушение (ч. 9 ст. 13.11 КоАП РФ):
Если компания уже привлекалась по этой статье, но продолжила игнорировать требования локализации, санкции возрастают: Для граждан: от 50 000 до 100 000 рублей. Для должностных лиц: от 500 000 до 800 000 рублей. Для юридических лиц: от 6 000 000 до 18 000 000 рублей.
5. Процедуры реагирования
- Разработайте регламент обработки запросов субъектов данных (у вас есть 10 рабочих дней на ответ)
- Подготовьте процедуру реагирования на инциденты безопасности (утечки данных): уведомление Роскомнадзора в течение 24 часов, расследование в течение 72 часов
- Регулярно актуализируйте политику при изменении бизнес-процессов (подключении новых сервисов, изменении целей обработки)
6. Обучение персонала
- Проведите инструктаж сотрудников, работающих с персональными данными (маркетологи, менеджеры, HR-специалисты)
- Ознакомьте персонал с политикой конфиденциальности и внутренними регламентами под подпись
- Установите правила доступа к базам данных (кто, когда и зачем может получить доступ к персональным данным)
Риски для рекламодателей и владельцев сайтов: на что обратить внимание
Автоматизированный контроль. С 2025 года Роскомнадзор использует системы на базе искусственного интеллекта для автоматического сканирования сайтов. Алгоритмы проверяют не только видимый текст страниц, но и исходный код, скрипты, интеграции со сторонними сервисами.
Жалобы конкурентов. Роскомнадзор обязан реагировать на любые жалобы, в том числе анонимные. Это распространенный инструмент недобросовестной конкуренции - конкуренты целенаправленно отправляют жалобы на сайты с очевидными нарушениями требований ФЗ-152.
Проверки рекламных кабинетов. Если вы размещаете таргетированную рекламу (Яндекс.Директ, VK Реклама), ваш сайт должен полностью соответствовать требованиям законодательства о персональных данных. Рекламные платформы могут заблокировать аккаунт при получении претензий от пользователей.
Лендинги и посадочные страницы. Многие рекламодатели запускают временные лендинги для акций или промо-кампаний и забывают разместить на них политику конфиденциальности. Это нарушение. Даже если страница работает неделю - на ней должна быть политика обработки данных.
Интеграции со сторонними сервисами. Особое внимание - интеграциям с зарубежными сервисами:
- Google Analytics (собирает IP-адреса, cookies и прочие персональные данные)
- Facebook Pixel, TikTok Pixel
- Онлайн-чаты
- CRM-системы
- Сервисы email-рассылок
Если эти сервисы передают данные на серверы за пределами РФ - это нарушение требований локализации, влекущее штрафы от 1 до 6 млн рублей для юридических лиц.
Выводы: политика персональных данных - это не формальность
Судебное дело № А40-342669/25 наглядно показывает: отсутствие политики обработки персональных данных на сайте - это реальный риск штрафа. Отговорки типа "не знал", "забыл" или "уже исправил" не работают.
Ключевые выводы для бизнеса:
1. Политика обязательна для всех. Если на вашем сайте есть хотя бы одна форма сбора данных - вы обязаны разместить политику конфиденциальности. Без исключений.
2. Устранение после выявления не защищает. Даже если вы оперативно разместили политику после получения предписания Роскомнадзора, штраф все равно будет назначен.
3. Повторные нарушения обходятся дороже. Если компания уже привлекалась к ответственности по статье 13.11 КоАП РФ, суды менее лояльны и назначают максимальные размеры штрафов.
4. Документ должен отражать реальность. Политика - это не шаблон с чужого сайта. Она должна точно описывать, какие данные вы собираете, как обрабатываете, кому передаете. Несоответствие политики реальным процессам - это отдельное нарушение.
5. Комплексный подход. Политика конфиденциальности - лишь один элемент системы защиты персональных данных. Для полного соответствия требованиям ФЗ-152 необходимо: уведомление Роскомнадзора, согласия субъектов на обработку данных, локализация данных на территории РФ, назначение ответственного лица, регламенты реагирования на инциденты.
Практическая рекомендация: проведите аудит своего сайта на соответствие требованиям законодательства о персональных данных. Проверьте наличие и актуальность политики, работу форм сбора данных, интеграции со сторонними сервисами. Лучше устранить нарушения сейчас, чем платить штрафы и восстанавливать репутацию после проверки Роскомнадзора.
Помните: в 2026 году защита персональных данных - это не просто юридическое требование, а вопрос доверия клиентов и стабильности бизнеса. Инвестиции в правовое соответствие окупаются снижением рисков и защитой от репутационных потерь.
***
В моем Телеграм-канале вы всегда сможете получить ответы по вашим кейсам, найти свежую информацию и экспертизу по рекламному сбору 3%, маркировке рекламы, а также научиться оформлению отчетности в ОРД, чтобы избежать штрафов от ФАС и Роскомнадзора
