Уголовная ответственность за ПДн: новые составы 2025–2026

Что такое незаконная обработка ПДн?

3 из 5 запросов, которые я получаю в PROMAREN в 2025–2026, начинаются одинаково: «Мы вроде бы всё делаем правильно, но Роскомнадзор пишет про незаконную обработку ПДн — это вообще про что?». С формальной точки зрения всё довольно приземлённо.

Незаконная обработка персональных данных — это обработка информации о человеке (ФИО, контакты, паспорт, платежи, биометрия и т.п.) без законного основания, без нужных уведомлений или с нарушением требований безопасности. Неважно, на бумаге это, в Excel, в CRM или в вашем новом ИИ-боте — закон смотрит на суть, а не на интерфейс. Если HR держит сканы паспортов в общей сетевой папке без разграничения доступа — это такой же риск, как «постучать» в базу через кривой API.

Новые составы: что именно стало уголовным

Ключевой сдвиг произошёл с принятием федерального закона №420-ФЗ от 30.11.2024, который ввёл новую статью 272.1 УК РФ о неправомерном доступе к персональным данным. Теперь ситуация «админ уволился, доступы не отключили, он вытащил базу клиентов и продал» — это не только про коммерческую тайну, но и про уголовное дело с перспективой до 4 лет лишения свободы, а при отягчающих условиях — до 10 лет и штраф до 3 млн руб. [источник: текст закона на consultant.ru].

При этом уголовная ответственность ПДн выстреливает не сама по себе, а в связке с КоАП и 152-ФЗ. Сначала фиксируют нарушение базовых принципов обработки (ст. 13.11 КоАП), потом — масштаб утечки, затем уже следствие смотрит на умысел, корысть, группу лиц и другие любимые конструкции УК. В 2025–2026 начинает формироваться практика по новым составам: отдельные кейсы уже проходили в обзорах судебной практики, особенно там, где утекли биометрические данные или сведения о несовершеннолетних.

Где бизнес чаще всего «подставляется» под незаконную обработку

Стоп, вернусь на шаг назад: чаще всего компанию в уголовке губит не один злой гений, а бытовая небрежность, которая годами жила в процессах. Типовые истории, с которыми я сталкивалась: собирали подписки на рассылку без отдельного согласия, потом эту базу «подлили» в рекламу; встроили YandexGPT в форму поддержки и начали скармливать туда заявки с ФИО и телефонами; запустили пилот с Google AI Overview, который анализирует отзывы клиентов, и даже не задумались, что там ПДн.

Это означает, что незаконная обработка ПДн начинается не в момент утечки, а в момент кривого дизайна процесса. Если вы храните резюме кандидатов «на всякий случай» годами, без цели и без сроков хранения — формально это уже нарушение принципов. А новые штрафы, привязанные к количеству субъектов (1–10 тыс., 10–100 тыс., свыше 100 тыс.), мгновенно превращают «старый архив HR» в боевой фактор риска на миллионы. Дальше по цепочке мы плавно переходим к вопросу: можно ли вообще как‑то избежать уголовной истории.

Можно ли избежать уголовной ответственности за ПДн?

В 2026 я вижу одну устойчивую закономерность: компании, у которых есть внятная архитектура работы с ПДн, почти всегда остаются в зоне административки, а не УК. Там, где всё «на доверии и в переписке», риск доехать до уголовного преследования за нарушение закона о ПДн сильно выше.

Юристы часто формулируют это жёстко: ваша лучшая защита в уголовном процессе — это не харизма адвоката, а скучные документы и логи, которые показывают, что вы пытались соблюдать закон. В реальности это превращается в систему: от карты обработки данных до настроек DLP и сценариев реагирования. По данным Роскомнадзора за 2025 год, больше половины крупных утечек сопровождались полным отсутствием формализованной модели угроз и плана реагирования [см. обзоры РКН на официальном сайте].

Какие элементы защиты реально снижают риск уголовки

Здесь работает довольно приземлённый набор вещей, который я много раз внедряла в проектах автоматизации через n8n и Make.com. Сначала — инвентаризация: где вообще живут ПДн, какие сервисы вовлечены (CRM, helpdesk, ИИ-боты, облака Яндекс/VK), какие интеграции ходят между ними. Потом — карта законных оснований: где согласие, где договор, где закон. Дальше — технический слой: доступы, шифрование, DLP, журналы событий, автоматические уведомления о подозрительной активности.

Удобнее всего это разложить в короткую схему:

• архитектура потоков данных (кто, что, куда передаёт);
• реестр согласий и целей обработки с понятными сроками;
• ограничение доступа по ролям и журналирование действий;
• настройка мониторинга и алертов по ключевым системам;
• регламент уведомления Роскомнадзора и субъектов;
• регулярное обучение сотрудников и подрядчиков по ПДн.

В проектах PROMAREN мы часто автоматизируем часть этого на n8n: сбор логов, фиксация согласий, триггеры по аномальной активности. Чем больше у вас автоматизации в доказательствах добросовестности, тем легче отбиваться от обвинений в умысле. Кейс из практики: у e-commerce с базой на 20 тыс. клиентов после аудита и внедрения DLP в 2025 была попытка вывода данных сотрудником, но система сработала, инцидент задокументировали и вовремя сообщили — в итоге всё закончилось разбором на уровне трудового спора, а не следственного комитета.

Когда уголовная ответственность становится почти неизбежной

И все же есть ситуации, в которых даже лучшая система не спасёт, если управленческое решение изначально было токсичным. Например, запуск телемаркетинга по купленной базе, где люди никогда не давали вам согласия; или бездумное использование YandexGPT/Google AI Overview на живых массивах клиентских заявок без обезличивания. Ещё хуже, когда утечку пытаются скрыть, переписывая логи и давая сотрудникам устные указания «ничего не говорить».

Такие истории почти гарантированно заканчиваются вопросами про воспрепятствование расследованию, сговор, корыстный мотив. И вот тут уже никакой регламент не перекроет реальность. Поэтому мой личный тест такой: если, глядя на идею использования ПДн, вам слегка стыдно и вы мысленно представляете объяснения следователю — лучше сразу завернуть. В следующем блоке как раз поговорим, почему защита персональных данных превратилась из «надо для галочки» в вопрос выживания бизнеса.

Почему защита персональных данных теперь вопрос выживания

В начале 2025 я пересматривала новости об утечках и поймала себя на другую мысль: суммы штрафов становятся такими, что один крупный инцидент легко съедает годовой маркетинговый бюджет. А если поверх этого прилетает уголовное дело руководителю — это уже не про деньги, это про судьбу компании.

Защита персональных данных в 2025–2026 — это не только про соответствие 152-ФЗ, но и про управление репутацией и стоимостью бизнеса. Gartner в своих исследованиях по киберрискам отмечает, что компании после крупной утечки теряют до 20% капитализации за первый год [см. обзоры Gartner по data privacy, доступные на официальном сайте]. В РФ к этому добавляются оборотные штрафы и растущая практика по ст. 13.11 КоАП и 272.1 УК.

Чем сейчас оборачиваются нарушения персональных данных

Если упростить, последовательность обычно выглядит так: сначала инцидент (утечка, неправильная рассылка, доступ третьих лиц), потом — интерес Роскомнадзора, который всё активнее использует ИИ для инспекции сайтов и публичных источников. Далее — проверка, протоколы, штрафы. Если выясняется, что объём большой, категория данных чувствительная (здоровье, биометрия, дети), а внутри есть кто‑то, кто действовал осознанно, — подключаются правоохранители.

Правовые последствия обработки персональных данных сейчас тянутся цепочкой: административка за нарушение базовых принципов, претензии субъектов, и только потом, в тяжёлых историях, уголовное преследование за нарушение закона о ПДн. Но сам факт, что в повестке 2026 года уже есть дела, где в фабуле черным по белому «неправомерный доступ к персональным данным», сильно меняет отношение собственников. Уголовка больше не выглядит как теоретический ужас, а становится понятным операционным риском.

Почему бизнесу дешевле строить систему, а не «гасить пожары»

Я наблюдала три сценария в разных компаниях. В первом делали вид, что «мы маленькие, до нас не дойдут» — до тех пор, пока их не упомянули в сводке по крупным утечкам, а партнёры не пересмотрели договоры. Во втором ставили галочки: писали политику конфиденциальности, но никак не меняли процессы, соглашались на любые интеграции ради скорости. В третьем вкладывались в архитектуру: автоматизацию согласий, разграничение доступа, контроль подрядчиков. Спойлер: только у третьих уголовная ответственность ПДн остаётся на слайдах, а не в повестках.

В проектах PROMAREN, где мы внедряли автоматизацию через n8n и Cursor прямо вместе с моделью работы с ПДн, экономия времени на комплаенсе доходила до 40%, а риск‑профиль по утечкам заметно снижался. Это позволяет ИИ‑командам двигаться быстро, но в белой зоне. В следующих двух блоках я разберу, как адаптировать бизнес к новым составам 2025–2026 и что именно стоит пересмотреть ИТ и ИИ‑командам, чтобы не оказаться крайними.

Как бизнесам адаптироваться к новым составам 2025–2026

Январь 2026 хорошо показал одну простую вещь: компании, которые «подкрутили политику и забыли», уже начинают ловить первые звонки от проверяющих по новым правилам. А те, кто успел пересобрать архитектуру, проходят те же проверки куда спокойнее, без ночных созвонов с юристами.

По опыту PROMAREN адаптация к новым составам — это не про один документ и даже не только про юристов. Это про связку ИТ, безопасности, продукта, маркетинга и HR. В каждом отделе находится по маленькой дырке, через которую ПДн спокойно утекали бы наружу, если её не закрыть. И если раньше за это грозили условные 50–100 тыс. руб., теперь разговор идёт про миллионы и, в тяжёлых кейсах, про УК.

Какие изменения 2025–2026 обязательно учесть

Чтобы не утонуть в юридических формулировках, я обычно свожу правки последних лет к нескольким практическим блокам. Во‑первых, усилились требования к уведомлению Роскомнадзора: больше нельзя жить в режиме «потом подадим, когда настроим». Во‑вторых, появились оборотные штрафы — проценты от выручки, что больно даже для среднего бизнеса. В‑третьих, в УК появился прямой состав за неправомерный доступ к ПДн — и это уже зона личного риска для ответственных лиц.

Удобно разложить это в небольшую таблицу, чтобы показать руководству не «юридический ужас», а конкретику:

Критично успеть перевести эти изменения в конкретные решения по процессам и системам. Где‑то это обновлённые чек‑листы для запуска новых продуктов, где‑то — пересмотр доступа подрядчиков к данным, где‑то — уход с сомнительных облаков в проверенные площадки РФ. И да, это как раз тот случай, когда автоматизация спасает: n8n, Make.com, Saby, 1C-Битрикс позволяют вшить контроль ПДн прямо в бизнес‑процессы, а не полагаться на «не забыть». В следующем разделе я подробнее остановлюсь на том, как ИТ и ИИ‑командам не попасть в угол за свои же интеграции.

Как перестроить процессы без остановки бизнеса

Тут я поняла одну важную вещь: если приходить в бизнес с фразой «нужно срочно всё переписать ради ПДн», тебя очень вежливо попросят вон. Работает другой подход — точечные изменения, встроенные в текущую логику. Например, не «меняем CRM», а добавляем в неё модуль учёта согласий и сроков хранения; не «запрещаем ИИ», а ставим правило, что YandexGPT и похожие инструменты питаются только обезличенными данными.

В моих проектах мы часто начинали с одного пилота: выбирали процесс (например, обработка заявок с сайта), рисовали его «как есть» и «как должно быть» с учётом 152-ФЗ и новых составов УК, а потом автоматизировали на n8n. Это занимало не пару часов, ха-ха а иногда и несколько недель, но результат того стоил. После успешного пилота сопротивление падало, и компания была готова двигаться дальше — уже с пониманием, что уголовная ответственность за ПДн это не страшилка юристов, а вполне оцифровываемый риск.

Что делать ИТ и ИИ-командам, чтобы не сесть за данные

Честно, в 2024 я ещё иногда слышала от разработчиков фразу «ну это же просто тестовый датасет». В 2026 после пары громких историй с утечками через песочницы и пилоты с ИИ тон сильно поменялся. И это хороший знак, потому что ИТ и ИИ‑команды теперь видят свою зону уголовного риска.

Для тех, кто строит ИИ‑агентов, автоматизацию через n8n, Make.com, Cursor, риск особенно ощутим: именно эти ребята соединяют сервисы, базы, внешние API и экспериментальные модели вроде YandexGPT или Google AI Overview. Если на этом этапе не встроить фильтры ПДн и контроль доступов, получится идеальная буря: красивая техничка, удобный бот — и… уголовное дело, когда он «случайно» вытаскивает чужие персональные данные наружу.

Как ИТ-командам выстроить «безопасную по умолчанию» архитектуру

Когда я помогаю техкомандам, мы начинаем вообще не с кодовой базы, а с карты интеграций и вопросов «что сюда может попасть из ПДн». Любой новый коннектор в n8n или Make.com — это не только про удобство, но и про канал возможной утечки. Здесь работает простой принцип: всё, что вы не готовы показать проверяющему на экране, не должно уходить во внешний сервис без обоснования и договоров.

Чтобы не утонуть в теории, ИТшникам полезно иметь свой короткий список проверок:

1. Понимаем, какие поля в конкретном сценарии являются ПДн и можно ли их обезличить.
2. Проверяем, где физически хранятся данные (облако, ДЦ, локальные сервера в РФ).
3. Оцениваем, есть ли у внешнего сервиса правовой статус и договоры под 152-ФЗ.
4. Логируем все ключевые операции с ПДн и ограничиваем доступ к логам.
5. Накручиваем алерты на аномальные сценарии (массовый экспорт, странные IP).

Архитектура «secure by design» сильно дешевле, чем объяснения следователю, почему ваш тестовый бот знал телефоны клиентов. В PROMAREN мы это вшиваем прямо в шаблоны сценариев: какие поля можно таскать в ИИ, какие — только в обезличенном виде, где нужна дополнительная аутентификация. И да, иногда это замедляет разработку на старте, зато потом не приходится судорожно переписывать всё перед проверкой.

ИИ-инструменты и ПДн: что можно, а что просится в УК

Самый острый вопрос 2025–2026: можно ли использовать YandexGPT, Google AI Overview и другие модели на живых данных клиентов и сотрудников. Короткий ответ — да, но только при белой архитектуре и обезличивании. Если вы просто отправляете в промпт «Найди аномалии в жалобах: ФИО, телефон, адрес…» — это прямой путь к обвинению в незаконной обработке ПДн, особенно если данные уходят за контур.

В white-data подходе PROMAREN мы исходим из базового правила: данные не уходят за контур без цели, согласия и технической защиты. Это значит, что ИИ учится либо на обезличенных логах, либо на специально подготовленных датасетах, а работа с живыми ПДн идёт через внутренние модели и закрытые контуры. Да, это менее «магично», чем просто стукнуть по открытой API внешней модели, зато сильно снижает вероятность, что ваш экспериментальный ИИ‑агент неожиданно станет основанием для уголовного дела. На этом фоне кратко соберу мысли в отдельный блок, а потом перейду к вопросам, которые мне чаще всего задают на эту тему 🙂

Когда штрафы не главная проблема

Если чуть отойти от букв закона, вырисовывается довольно трезвый вывод: штрафы и даже уголовная ответственность за ПДн — это верхушка айсберга. Гораздо больнее оказываются сорванные сделки, недоверие клиентов и ощущение, что компания «не справилась со взрослыми задачами». Особенно это чувствуется, когда бизнес строит продукты вокруг данных и ИИ.

Я раньше думала, что достаточно просто успевать за правками закона, но после нескольких сложных кейсов поняла — выигрывают те, кто сами себе устанавливают планку чуть выше, чем требует 152-ФЗ. Те, кто смотрят на ПДн как на актив, а не как на обязательство. И да, они тоже иногда ошибаются, но у них есть архитектура, чтобы эти ошибки не превращались в уголовные истории.

Три мысли, которые стоит унести с собой

Во‑первых, уголовная ответственность ПДн в 2025–2026 — это уже не экзотика, а ожидаемое продолжение цепочки «нарушение принципов обработки → крупная утечка → интерес правоохранительных органов». Во‑вторых, честная архитектура под 152-ФЗ и автоматизация комплаенса снижают риск уголовки куда сильнее, чем любая разовая проверка. В‑третьих, ИТ и ИИ‑команды сегодня играют ключевую роль: именно они могут встроить безопасность ПДн в сценарии так, чтобы бизнес развивался, а не прятался от РКН.

Обо мне. Марина Погодина, основательница PROMAREN и AI Governance & Automation Lead. С 2024 года помогаю в РФ строить автоматизацию на n8n, Make.com, Cursor и AI-агентах под 152-ФЗ. Пишу разборы в блоге PROMAREN и в канале в Telegram.

Если чувствуешь, что твой продукт или ИИ‑бот опасно близко к красной зоне, не обязательно сразу тащить в компанию формальный аудит. Можно начать с малого: посмотреть кейсы автоматизации и white-data подхода на сайте PROMAREN, заглянуть в разборы по n8n и Cursor или получить тестовый доступ через бота в Telegram — часто этого достаточно, чтобы увидеть, где тонко.