Почему бизнесу важно защищать персональные данные?

По трём причинам: юридической (штрафы до 18 млн руб. при повторных нарушениях по ФЗ-420), репутационной (клиенты уходят после утечки) и экономической (компенсации пострадавшим, судебные издержки). В России с 2024 года введена уголовная ответственность за незаконный оборот ПДн.

Какие данные чаще всего утекают?

По данным российских CERT и InfoWatch, чаще всего утекают: имена и телефоны (87% инцидентов), адреса доставки (63%), данные платёжных карт (41%), пароли в открытом виде (28%). Чаще всего источник — внутренние сотрудники (инсайдеры) и уязвимости в веб-приложениях.

Что грозит компании за утечку персональных данных?

С 2024 года действует многоуровневая ответственность: административный штраф (до 18 млн руб. при повторных нарушениях), обязательное уведомление РКН в течение 24 часов, уведомление субъектов ПДн, возможные гражданские иски о компенсации. С марта 2024 года за незаконный оборот ПДн введена уголовная ответственность.

Как утечка данных вредит физическим лицам?

Гражданам утечка угрожает кражей личности (оформление кредитов, МФО на чужое имя), целевым фишингом (мошенники знают ваше имя, адрес, историю заказов), SMS-спамом и телефонным мошенничеством, а в тяжёлых случаях — шантажом на основе персональных данных.

Безопасность · Практика

Почему персональные данные нужно защищать: реальные примеры и последствия

17 июня 2026 · Инциденты и последствия 2022–2026 · 8 мин. чтения

Защита персональных данных — не абстрактное требование закона. За каждой утечкой стоят конкретные последствия: кредиты на чужое имя, слитые домашние адреса, звонки от мошенников, которые знают ваши полные данные. Рассказываем, что происходит после утечки — на примерах реальных российских инцидентов.

Реальные утечки персональных данных в России

За последние несколько лет Россия вошла в топ стран по объёму утечек персональных данных. По данным InfoWatch, только в 2023 году было зафиксировано более 310 значимых инцидентов с суммарным объёмом утечек свыше 1,1 млрд записей.

Инцидент · 2022 год

Яндекс.Еда: 6,8 млн записей

В марте 2022 года база данных Яндекс.Еды оказалась в открытом доступе. Утекли имена, телефоны, адреса доставки и история заказов 6,8 млн пользователей. Данные были визуализированы на отдельном сайте, который позволял вводить номер телефона и видеть точный адрес и историю заказов конкретного человека. РКН возбудил административное дело, Яндекс выплатил штраф 60 000 рублей — по старым нормам закона.

Инцидент · 2023 год

СДЭК: база с адресами получателей

В начале 2023 года в открытый доступ попала база данных крупнейшей транспортно-логистической компании. Утечка включала ФИО получателей, номера телефонов, адреса доставки и информацию об отправлениях. Данные использовались для массовых фишинговых атак: мошенники звонили клиентам, точно называя их заказы, и убеждали перевести деньги.

Инцидент · 2019 год

Сбербанк: 5000 записей через инсайдера

Сотрудник Сбербанка продал базу данных с именами, телефонами и частичными номерами карт 5000 клиентов. Инцидент показал: угроза исходит не только извне. Инсайдерские угрозы — сотрудники с легальным доступом к данным — составляют около 60% всех утечек в банковском секторе.

Инцидент · 2024 год

Медицинские клиники: истории болезней

В 2024 году РКН зафиксировал несколько случаев утечки медицинских данных из региональных клиник. Специальные категории ПДн — диагнозы, результаты анализов, назначения — оказались в открытом доступе из-за неправильно настроенных облачных хранилищ. Это наиболее опасный вид утечки: медицинские данные используются для шантажа и дискриминации при трудоустройстве.

Последствия для граждан

Когда ваши данные утекают, последствия могут быть очень конкретными:

Кредиты и займы на чужое имя

Паспортные данные из утечки используются для оформления кредитов в МФО и банках с упрощённой верификацией. Пострадавший узнаёт о кредите только когда приходят звонки от коллекторов. Доказать, что вы не брали кредит, можно, но это занимает месяцы.

Целевой фишинг

Мошенники, знающие ваше имя, телефон, адрес и историю заказов, выглядят убедительно. Классическая схема: звонок «из службы безопасности банка», которая точно называет ваши данные. Такой звонок конвертируется в 3–5 раз лучше, чем случайный обзвон.

SIM-свопинг

Используя персональные данные (паспорт + дата рождения + адрес), злоумышленники убеждают оператора перевыпустить SIM-карту. После этого они получают SMS-коды двухфакторной аутентификации и доступ к банковским аккаунтам жертвы.

Последствия для бизнеса

Штрафы по ФЗ-420

С мая 2025 года санкции за нарушение 152-ФЗ существенно выросли. За первичное нарушение — штраф. За повторное — до 18 млн руб. для организаций.

Нарушение	Штраф для организации
Нет политики конфиденциальности (ст. 18.1)	до 300 000 ₽
Обработка без согласия (ст. 9)	300 000–700 000 ₽
Нет уведомления в РКН (ст. 22)	до 300 000 ₽
Повторное нарушение	до 18 000 000 ₽

Обязательное уведомление об инцидентах

С 2024 года при утечке оператор обязан уведомить РКН в течение 24 часов с момента обнаружения инцидента и в течение 72 часов сообщить результаты внутреннего расследования. Несоблюдение этих сроков — отдельное основание для штрафа.

Уголовная ответственность

С марта 2024 года введена уголовная ответственность за незаконный оборот персональных данных. Статья 272.1 УК РФ предусматривает наказание до 10 лет лишения свободы за создание и использование баз ПДн, собранных без согласия субъектов.

Репутационный ущерб

По данным исследований, 74% российских пользователей заявляют, что откажутся от услуг компании, допустившей крупную утечку. Для малого бизнеса потеря доверия клиентов может оказаться более разрушительной, чем административный штраф.

Что должен сделать малый бизнес прямо сейчас

Большинство нарушений у малого бизнеса — не злой умысел, а отсутствие базовых документов. Три обязательных шага:

Опубликовать политику конфиденциальности на сайте — закрывает главное основание для штрафа (ст. 18.1)
Добавить согласие на обработку ПДн в форму обратной связи — закрывает ст. 9 + ФЗ-156
Подать уведомление в РКН через pd.rkn.gov.ru — закрывает ст. 22

Тарифы Privadoc

Базовый (590 ₽) — «сайт работает легально»: три документа закрывают около 70% вероятности прохождения поверхностной проверки РКН. Расширенный (990 ₽) — «внутренний документооборот выстроен»: полный набор для прохождения проверки РКН и трудовых инспекций.

Оформите документы по 152-ФЗ за 10 минут

Политика конфиденциальности, согласие и уведомление в РКН — в редактируемом формате. Без регистрации, одноразовая оплата.

Оформить документы — от 590 ₽

Часто задаваемые вопросы

По трём причинам: юридической (штрафы до 18 млн руб.), репутационной (74% клиентов уходят после утечки) и уголовной (с 2024 года за незаконный оборот ПДн — до 10 лет). Маленький бизнес не является исключением: РКН ведёт автоматический мониторинг сайтов.

Да. РКН проверяет сайты автоматически, независимо от размера бизнеса. Если на сайте есть форма заявки, подписки или обратной связи — это уже сбор персональных данных, и проверка возможна в любой момент.

Компания обязана уведомить РКН в течение 24 часов, провести внутреннее расследование и сообщить результаты в течение 72 часов. Параллельно — административная ответственность, возможные иски от пострадавших и репутационный ущерб. При повторных нарушениях — штраф до 18 млн руб.

Кража личности (кредиты на чужое имя), целевой фишинг (мошенники знают ваше имя и историю заказов), SIM-своппинг (перевыпуск SIM для получения SMS-кодов банка), шантаж на основе медицинских или финансовых данных.

Автор: действующий архитектор кибербезопасности и систем защиты персональных данных. Создатель сервиса Privadoc. 17 лет в кибербезопасности · Специализация: эксперт в кибербезопасности, проектирование СЗПДн, защита персональных данных · Privadoc