С 30 мая 2025 года штрафы за утечки персональных данных выросли кратно. Для малого и среднего бизнеса это может стать финальным ударом: сумма санкции плюс репутационные потери закроют компанию быстрее, чем налоговая проверка. Но уже есть прецеденты, когда грамотно выстроенные процессы избавили от ответственности даже при подтвержденной утечке. Разбираем свежее дело РЖД и объясняем, что конкретно защитило компанию в суде.

Почему собственники небольших компаний игнорируют защиту персданных

На практике мы регулярно слышим одни и те же аргументы:

• «Мы маленькие, кому мы нужны»

• «Все базы у подрядчика, пусть он и отвечает»

• «Обрабатываем только данные сотрудников, не клиентов»

Эти отговорки работают только для самоуспокоения до момента, когда гром грянет. В кризисной экономике тратить деньги на то, что напрямую не влияет на прибыль, действительно сложно. И пока всё штатно, доказать оправданность затрат на информационную безопасность почти невозможно.

Но как только происходит инцидент — что-либо делать бывает уже поздно.

Сколько стоит утечка: примеры 2025 года

В 2025 году громкие утечки произошли у Аэрофлота и ВинЛаб. Цену недоработанной защиты посчитать легко:

• Сколько дней магазины были закрыты или рейсы не отправлялись

• Сколько клиентов ушло из-за потери доверия

• Сколько часов ИТ-команда восстанавливала системы

А теперь к этому добавляются штрафы. До 30 мая 2025 года санкции были символическими. Сейчас это может быть та последняя капля, которая уничтожит небольшую компанию. Не Аэрофлот, а именно ту самую «мы же маленькие».

Кейс РЖД: как избежать штрафа за утечку персональных данных

Буквально на днях — 16 февраля 2026 года — Девятый арбитражный апелляционный суд вынес решение в пользу РЖД (постановление №09АП-62551/2025).

Суть дела: Роскомнадзор требовал оштрафовать компанию на 150 000 рублей. Основание — в нескольких телеграм-каналах были обнаружены значительные объемы персональных данных сотрудников РЖД. Факт утечки подтвержден.

Позиция РЖД: Утечка произошла не из-за халатности, а в результате действий хакеров. Компания как оператор персональных данных приняла необходимые организационные и технические меры по защите информации и смогла это доказать документально.

Результат: Штрафа не будет.

Обратите внимание: утечка случилась до 30 мая 2025 года, когда санкции были еще небольшими. Сейчас РЖД пришлось бы бороться за совсем другие суммы — от сотен тысяч до миллионов рублей в зависимости от масштаба утечки.

Три опасных заблуждения про защиту персональных данных

Заблуждение №1: «У нас только данные сотрудников — это не страшно»

У РЖД утекли именно данные работников, а не клиентов. Закон не делает различий: персональные данные сотрудников защищаются так же строго, как и данные клиентов — физических лиц.

Заблуждение №2: «Всё хранится у подрядчика — отвечать будет он»

Нет. Оператором персональных данных остаётесь вы, даже если физически базы лежат на облачных ресурсах или у аутсорсера. Об этом мы уже писали в нашем блоге.

Заблуждение №3: «Утечек можно избежать совсем»

Реальность такова: об утечках нужно говорить не через «если», а «когда». От них не застрахован никто — ни крупные корпорации, ни малый бизнес.

Вопрос в другом: утечка произошла несмотря на выстроенную защиту (хакеры взломали систему) или из-за отсутствия базовых мер (ваши сотрудники сами всё выдали злоумышленникам)?

В первом случае суд освободит вас от штрафа. Во втором — нет.

Что конкретно защитило РЖД в суде

Суд признал, что компания выполнила требования законодательства. Это значит, что у РЖД были:

• Утверждённая политика обработки персональных данных

• Назначенный ответственный за обработку ПДн

• Технические меры защиты: шифрование, контроль доступа, антивирусы, резервное копирование

• Организационные меры: обучение сотрудников, регламенты доступа к базам, журналы операций

• Документальное подтверждение всех мер — это ключевой момент

Иными словами, РЖД не просто декларировала меры защиты, а реально внедрила их и смогла представить доказательства.

Чек-лист: минимум, который спасёт вас от штрафа

Если завтра у вас произойдёт утечка (а риск есть всегда), суд будет проверять:

1.     Есть ли у вас Политика обработки персональных данных. Утверждённая, актуальная, не скопированная из интернета

2.     Назначен ли ответственный за ПДн. Приказом, с чёткими обязанностями

3.     Проводится ли обучение сотрудников — с фиксацией в журналах, не формальное

4.     Разграничен ли доступ к базам: кто, куда, когда может заходить

5.     Ведутся ли журналы операций с ПДн. Кто скачивал, изменял, удалял данные

6.     Настроены ли технические средства защиты — антивирусы, файрволы, шифрование, резервные копии

7.     Заключены ли соглашения с подрядчиками, если они имеют доступ к вашим базам

Всё это должно быть не на словах, а в документах — с датами, подписями, отметками о выполнении.

Если вам кажется, что выстраивание процессов по персональным данным слишком сложная задача, приходите к нам на услугу разработки документов по персональным данным.

Мы не просто готовим шаблоны. Мы разбираемся с процессами именно в вашей компании:

• Находим рисковые моменты

• Предлагаем пути их минимизации

• Создаём работающий пакет документов под ваши задачи и специфику бизнеса

FAQ: Частые вопросы по защите персональных данных

Создание документального фонда по работе с персональными данными

Подробнее о услуге →