В статье кратко расскажу об изменениях в законодательстве 2025-2026, связанных с использованием искусственного интеллекта и обработке персональных данных. На примерах покажу, за что могут «прилететь» огромные штрафы и даже уголовная ответственность.
Начну с шокирующей статистики, которая уже стала новой реальностью:
За 6 месяцев 2025 г. возбуждено 601 уголовное дело по статьям, связанным с нарушением обработки персональных данных и неправомерным использованием искусственного интеллекта;
Штрафы в сфере нарушения обработки персональных данных, особенно биометрических, достигают теперь 500 миллионов рублей при повторных нарушениях;
В России запрещены 68 иностранных сервисов, в том числе Google Forms, Google Analytics и многие другие популярные инструменты;
Заблокировано 1700+ интернет-ресурсов в связи с использованием запрещенных сервисов и нарушением правил обработки персональных данных.
И это всего за полгода! Каждый день ситуация становится критичнее.
История Digital-агентства из Новосибирска*
*Названия компаний в «историях» изменены.
В августе 2025 года digital-агентство получило штраф 3,2 миллиона рублей за сбор лидов через Google Forms без уведомления Роскомнадзора.
Что произошло? Агентство собирало заявки на свои услуги через Google Forms. Данные автоматически попадали на американские серверы. Роскомнадзор выявил нарушение локализации данных плюс отсутствие обязательного уведомления. Результат - критический штраф, который мог разорить компанию.
5 смертельных ловушек и миллионные штрафы
Разберем пять ситуаций, в которые попадают компании. Каждый пример - из реальной практики 2025 года.
Ловушка №1. Cookie без согласия
Реальная ситуация: Агентство «Digital Звезда» из Екатеринбурга устанавливало на всех лендингах клиентов пиксели Facebook и Яндекс.Метрику без cookie-баннера.
Результат проверки Роскомнадзора: каждый лендинг — отдельное нарушение. 47 лендингов × 300 тысяч рублей = 14,1 миллиона рублей штрафа.
Как нужно было сделать:
Cookie-баннеры с разграничением по типам;
Блокировка трекеров до получения согласия;
Логирование согласий (IP-адрес, время, версия политики).
Ловушка №2. Lead Ads без DPA
Ситуация: Компания «Небо» работало с 23 клиентами. Лиды поступали из ВКонтакте в CRM-систему. Соглашение о передаче персональных данных (DPA) с CRM не было подписано.
Что выявилось при проверке: передача персональных данных без поручения клиентов нарушает статью 6 Федерального закона №152-ФЗ.
Штраф: 700 тысяч рублей + предписание прекратить обработку всех данных.
Ловушка №3. Биометрия в маркетинге
Реальный пример: Ритейлер в торговом центре установил камеры с подсчетом посетителей по лицам для отчетов по digital-рекламе.
Результат проверки Роскомнадзора: обработка биометрических данных без специального согласия.
Приговор: штраф 15 миллионов рублей + возбуждение уголовного дела по статье 272.1 УК РФ в отношении директора.
Напомню: с 1 июля 2025 года запрещен первичный сбор биометрических данных через зарубежные сервисы.
Ловушка №4. Google Analytics на российском сайте
Громкий случай 2025 года: федеральная сеть фитнес-клубов получила штраф 25 миллионов рублей за использование Google Analytics на всех региональных сайтах.
Схема нарушения:
У сети были представительства в 25 городах;
У каждого свой сайт с Google Analytics;
Расчет штрафа: 25 городов × 1 миллион рублей = 25 миллионов совокупного штрафа.
Ловушка №5. Согласие на обработку персданных в договоре
Неправильная формулировка (штраф 300-700 тысяч рублей):
«Заключая договор, клиент соглашается на обработку своих персональных данных»
С 1 сентября 2025 года такая формулировка считается неправильной. Все соглашения на обработку персональных данных должны подписываться отдельно.
«Галочка» в договоре больше не работает.
Уголовная ответственность и принудительная ликвидация бизнеса
Статья 272.1 УК РФ - тюрьма за персональные данные
Как я написала выше, в текущем году возбуждено уже несколько сотен уголовных дел за нарушения в области персональных данных и использования искусственного интеллекта.
Сроки лишения свободы:
До 6 лет за неправильную обработку биометрических данных;
До 4 лет за обработку стандартных персональных данных.
Что приводит к уголовной ответственности:
Нарушение обработки биометрии без согласия;
Продажа клиентских контактов конкурентам;
Использование «слитых» баз данных для ретаргетинга;
Обработка персональных данных сотрудников через ИИ без их согласия и многое другое.
Новая угроза - принудительная ликвидация
По Федеральному закону №115-ФЗ банки получили право инициировать ликвидацию бизнеса.
Пример из жизни. Предприятие «Про» с оборотом 120 миллионов рублей в год переводило денежные средства индивидуальному предпринимателю на сумму 15 миллионов в год. Банк заподозрил компанию в транзитных переводах.
Компания направила стандартный ответ, но не предоставила детальных разъяснений по 115-ФЗ.
Результат: банк инициировал ликвидацию бизнеса, поскольку компания не смогла доказать экономический смысл операций.
Критически важно: при принудительной ликвидации по инициативе банка у компании есть всего 6 месяцев на то, чтобы «обелить» себя. В отличие от ликвидации по инициативе ИФНС. Там процедура проще.
Предлагаю в комментариях обсудить, к чему готовиться в 2026, и что сейчас с этим делать.
Комментарии (27)
iv_kingmaker
24.10.2025 09:49Лиды поступали из ВКонтакте в CRM-систему.
Интересно, как они выясняют подобные детали.
Manguss
24.10.2025 09:49Роскомнадзор проводит проверки обычно бумаги + бизнес-процесс как это работает. Запрашивают пакет документов по персональным данным в компании, в котором должно быть описано какие данные в каких системах для чего собирают, а потом находят несоответствие с публичной частью (зайдя на сайт) или в процессе опроса и дополнительных запросов. Так как тема очень сложная легко самого себя подставить с дать с потрохами, так же есть уже технические проверки ФСТЭК и ФСБ они могут и поковырять.
Вроде и хочется мне как гражданину что бы мои персональные данные защищали, но пока выглядит что все только усложняется для бизнеса, а мои персональные данные все еще не в безопасности.
Much1978
24.10.2025 09:49Остап Бендер знал 400 сравнительно честных способов отъёма денег у населения.
Плохо, конечно, когда Остапом стало государство.
onets
24.10.2025 09:49А это че теперь когда ИП заключает договор с ООО и там в конце пишут фио директора - это тоже надо эту лабуду про перс данные подписывать?
nivorbud
24.10.2025 09:49Вообще ФИО директора - это офицально открытая информация, поэтому думаю, не надо.
Efrem3112
24.10.2025 09:49Нет, не надо. Это считается обработкой персональных данных физического лица для исполнения договора, стороной (выгодоприобретателем или поручителем) которого является этот гражданин, а также для заключения договора по инициативе этого гражданина.
elobachev
24.10.2025 09:49Очень хочется подробностей про то, как натянуть 272.1 на ии с перс данными работников. Вы ведь работников организации же имели в виду? В Трудовом кодексе написано работник, сотрудники только в органах бывают.. Не могли бы вы подробнее об этом кейсе рассказать?
digrobot
24.10.2025 09:49С биометрией непонятно. Камерам в общественных местах нельзя снимать людей? Или снимать можно, но нельзя обрабатывать лица? Или лица обрабатывать можно, но не на зарубежных серверах?
Например, если в офисе доступ в туалет по лицу, и посторонний человек попытается зайти, не дав согласие на сбор биометрии - это уже статья?elobachev
24.10.2025 09:49Снимать можно. Векторы вылущивать нельзя. А в заграницы их передавать совсем нельзя.
Но это просто то, о чем я подумал прочитав этот кейс. И вспомнив ещё как одни отдельно взятые производители системы учёта рабочего времени затирали мне что в их системе нет биометрии, хоть учёт и ведётся по списку лица веб камерой. Типа снимок хранится только в памяти, с него снимается вектор, по нему изображение восстановить нельзя, вектор хранится в отдельной базе, биометрии нет. Даже лицензиата Фстэк наняли что бы им заключение написали...
Если увижу этих господ в клетке, как жирафу, и вендора и лицензиата, даже перестану грустить о том что ютуб фиг посмотришь без бубна..
SensDj
24.10.2025 09:49а про это что скажете ? - "Телефон и е-mail сами по себе не являются персональными данными" - вердикт Верховного суда https://www.garant.ru/news/1642921/
elobachev
24.10.2025 09:49Разумеется, отдельно телефон не является ПДн. Тут правда номер телефона не отдельный, а с информацией об интересе к приобретению услуги. ВС решил что не все телефоны личные, и по этому отказал. Аргумент не однозначный, я все же по понятным причинам считаю оправданным продолжить применять к телефонам связанным с какой то информацией меры защиты, обязательные для ПДн.
А с почтой то всегда так было )
k0rw1n
24.10.2025 09:49Я не смог найти ни одного упоминания об этих делах в сети. Откуда эти данные?
Нашел только про 601 нарушение (из которых только 313 на самом деле уголовные дела, если верить Известиям)
nivorbud
Ох, опять эти куки...
Куки сами по себе - это не ПД! Они могут быть лишь способом обработки ПД, если таковые собираются.
Куку вы (ваш сайт) сами формируете и записываете в браузер посетителя.
Если не согласны, ответьте на простой вопрос... Предположим, у вас есть сайт, использующий статистические куки, но не собирающий никаких нормальных ПД.
И вот к вам обратился некий Вася Пупкин с требованием предоставить хранящуюся у вас персональную информацию о нем. Законное требование? Законное! Ведь если он посещал ваш сайт, а куки - это ПД, то вы ведь должны дать ответ. Не так ли? А как ответ то давать будете? Сможете ли вы вообще связать этого конкретного Васю Пупкина со своими статистическими данными? Ведь статистика ваша сводится к тому, что номер 123 (сгенерированный вами же) провел на странице такой то 5 минут. Не сможете? Вот то то же...
tuxi
Вы про здравый смысл или про способ собрать денег?
nivorbud
Я про объективную реальность. Впрочем, и в законодательных нормативных актах про куки вроде ничего не сказано. Всё это натягивание совы на глобус является результатом толкований юристов, которые увидели в этом горячую тему.
elobachev
Давайте рассмотрим это подробнее. Вы говорите о том, что вот есть у вас сайт, я на него зашел, вы мне с него в браузер закинули куку, и это не ПДн. Вы правы. Это будет условно сценарий 1.
Но в реальности то все не так. Есть глобальный наблюдатель, например Гугол. И его счетчики стоят на всех сайтах, в том числе в его собственных. И он, наблюдая за моими куками, сожет их всех связать с моим акаунтом, а значит и со мною. Значит весь массив куков гугла, которых он позакидывал мне со всех сайтов, является моими ПДн.
Но судят то не гугла, а некого владельца сайта. У которого собирались там какие то куки. При этом можно выделить три случая:
сценарий 1 ( см. выше)
сценарий 2, когда владелец сайта не может сопоставить данные, собранные с помощью куков счетчиков гугла яндекса или кого там угодно с информацией, позволяющей ЕМУ идентифицировать человека.
Сценарий 3, когда может.
Со сценарием 3 ясно, это обработка ПДн и нарушение.
Со сценарием 2 не так все ясно. Потому что это конечно обработка ПДн и нарушение, но глобальным наблюдателем, а не владельцем сайта. В случае зарубежных глобальных наблюдателей с учетом сложившейся обстановки видимо спорить бесполезно. В случае отечественных вопрос сложный. Было бы интересно больше подробностей по имеющейся практике.
В виду острой нехватки квалифицированных кадров на стороне РКН первый сценарий так же грозит некоторыми неприятностями, но это общее место РКН и к спору с ними в суде нужно быть готовым все равно, что бы вы не делали. Позицию, соответствующую закону, не сложно отстоять в суде. Я например успешно доказывал что ФИО без всего остального не является ПДн, но конечно не вообще, а в контексте конкретной жалобы субъекта ПДн.
nivorbud
Смотрите (рассмотрим метрику), куку в браузер посетителя загоняет яндекс, причем напрямую со своего сервера, ваш сервер в этом не участвует. Как мы уже установили, кука сама по себе не может быть ПД. Если яндекс как то сможет сопоставить свою (!) куку с какими то реальными (хранящимися у него) ПД, то кто является обработчиком этих ПД? Логично предположить, что тот, кто владеет реальными ПД.
Основная проблема в том, что если так широко толковать и натягивать сову на глобус, то возникнет много побочных эффектов, под которые подпадут практически все, т.к. практически всё можно будет трактовать как сбор ПД.
Например, при такой натянутой трактовке под обработку ПД подпадают гугл-шрифты, многие рекламные баннеры, любые cdn-скрипты, dns-сервера, шлюзы, видеокамеры (ведь можно же теоретически идентифицировать личность прохожего в красной куртке, прошедшего мимо магазина с видеокамерой... если поднять на ноги милицию, полицию... А ведь некоторые так широко толкуют - дескать, достаточно теоретической возможности установить личность) и т.д. и т.п.
alex_shpak
Про гугл-шрифты, кстати, уже было:
И в Германии, говорят, за гугл-шрифты тоже штрафуют, правда, только на €100:
Интересно, а просто размещение сайта на заграничном хостинге (те же бесплатные Github pages) тоже преступлением скоро будет считаться? Там же тоже передача IP-адреса идёт...
nivorbud
И как по IP вы идентифицируете личность? Предположим, я зашел когда то на ваш сайт - открыл главную страницу и сразу ушел... А потом прихожу к вам, говорю, что я Вася Пупкин и хочу получить от вас информацию, о хранящихся у вас ПД обо мне. И что вы будете делать? Как будете искать меня, Васю Пупкина, по своим логам? Кстати, а вы согласие с меня взяли, прежде чем мой ip адрес логгировать?
Короче, видите, к какому бреду мы приходим?...
elobachev
Как это ваш сервер то не участвует? А кто отдал субъекту пдн страницу со скриптом Гугла? Субъект к вам шел а не к Гуглу. А получил гадюку в горшке)).
Но штрафуют то не сервер. А человека, который пригласил субъекта пдн на свой сайт и при этом настроил этот сайт так, что пдн посетителя уехали в Гугл. Согласитесь, код Гугла ваш сервер не сам себе вставил))
Иными словами вся это законная тягомотина она про людей и их поступки, а не про технику. Юристы же гуманитарии.
Про dns пример не удачный. А вот логи доступа провайдера, по которым dns запросы можно привязать к людям - вполне себе и пдн и тайна связи.
nivorbud
ПД то откуда взялись? У меня то нет никаких ПД. Сама по себе кука это еще не ПД. А если гугл где-то ранее у себя надыбал реальные ПД и имеет возможность их связать со своей кукой, то логично вопросы задавать к гуглу или к тому, у кого он взял настоящие ПД.
elobachev
У вас то нет, а у субъекта есть. И попросили их предоставить гуглу вы. ) Но вашу логику тоже можно понять, вы то не ПДн просили а некие данные, которые вы не можете соотнести с субъектом. Но заранее понимали, что отдадите вы их гуглу а он может. В большинстве случаев( это я про решение ВС РФ ниже, аккаунт гугла есть у многих но не у всех. Так же как у 99% мобила в кармане, но есть и те, у кого телефон на рабочем столе. ). Почему я и написал, что второй сценарий весьма не однозначный, и тут нужно ориентироваться на судебную практику.
nivorbud
Попросил у КОГО? У неиденфицированного лица? Вообще можно ли выполнить требования законодательства в области ПД в полном объеме, если личность не идентифицирована? Мне кажется, это невозможно. Мы уже на самом первом шаге упираемся в невозможность взять согласие ДО обработки таких технических данных как куки и IP. Т.е. формально нарушение будет в любом случае, как ни крутись.
Ну вот я пока не видел ни одного дела, где наказали бы только за куки или ip сами по себе, без сбора каких-либо настоящих ПД.