В статье кратко расскажу об изменениях в законодательстве 2025-2026, связанных с использованием искусственного интеллекта и обработке персональных данных. На примерах покажу, за что могут «прилететь» огромные штрафы и даже уголовная ответственность.

Начну с шокирующей статистики, которая уже стала новой реальностью:

  • За 6 месяцев 2025 г. возбуждено 601 уголовное дело по статьям, связанным с нарушением обработки персональных данных и неправомерным использованием искусственного интеллекта;

  • Штрафы в сфере нарушения обработки персональных данных, особенно биометрических, достигают теперь 500 миллионов рублей при повторных нарушениях;

  • В России запрещены 68 иностранных сервисов, в том числе Google Forms, Google Analytics и многие другие популярные инструменты;

  • Заблокировано 1700+ интернет-ресурсов в связи с использованием запрещенных сервисов и нарушением правил обработки персональных данных.

И это всего за полгода! Каждый день ситуация становится критичнее.

История Digital-агентства из Новосибирска*

*Названия компаний в «историях» изменены.

В августе 2025 года digital-агентство получило штраф 3,2 миллиона рублей за сбор лидов через Google Forms без уведомления Роскомнадзора.

Что произошло? Агентство собирало заявки на свои услуги через Google Forms. Данные автоматически попадали на американские серверы. Роскомнадзор выявил нарушение локализации данных плюс отсутствие обязательного уведомления. Результат - критический штраф, который мог разорить компанию.

5 смертельных ловушек и миллионные штрафы

Разберем пять ситуаций, в которые попадают компании. Каждый пример - из реальной практики 2025 года.

Ловушка №1. Cookie без согласия

Реальная ситуация: Агентство «Digital Звезда» из Екатеринбурга устанавливало на всех лендингах клиентов пиксели Facebook и Яндекс.Метрику без cookie-баннера.

Результат проверки Роскомнадзора: каждый лендинг — отдельное нарушение. 47 лендингов × 300 тысяч рублей = 14,1 миллиона рублей штрафа.

Как нужно было сделать:

  • Cookie-баннеры с разграничением по типам;

  • Блокировка трекеров до получения согласия;

  • Логирование согласий (IP-адрес, время, версия политики).

Ловушка №2. Lead Ads без DPA

Ситуация: Компания «Небо» работало с 23 клиентами. Лиды поступали из ВКонтакте в CRM-систему. Соглашение о передаче персональных данных (DPA) с CRM не было подписано.

Что выявилось при проверке: передача персональных данных без поручения клиентов нарушает статью 6 Федерального закона №152-ФЗ.

Штраф: 700 тысяч рублей + предписание прекратить обработку всех данных.

Ловушка №3. Биометрия в маркетинге

Реальный пример: Ритейлер в торговом центре установил камеры с подсчетом посетителей по лицам для отчетов по digital-рекламе.

Результат проверки Роскомнадзора: обработка биометрических данных без специального согласия.

Приговор: штраф 15 миллионов рублей + возбуждение уголовного дела по статье 272.1 УК РФ в отношении директора.

Напомню: с 1 июля 2025 года запрещен первичный сбор биометрических данных через зарубежные сервисы.

Ловушка №4. Google Analytics на российском сайте

Громкий случай 2025 года: федеральная сеть фитнес-клубов получила штраф 25 миллионов рублей за использование Google Analytics на всех региональных сайтах.

Схема нарушения:

  1. У сети были представительства в 25 городах;

  2. У каждого свой сайт с Google Analytics;

  3. Расчет штрафа: 25 городов × 1 миллион рублей = 25 миллионов совокупного штрафа.

Ловушка №5. Согласие на обработку персданных в договоре

Неправильная формулировка (штраф 300-700 тысяч рублей):
«Заключая договор, клиент соглашается на обработку своих персональных данных»

С 1 сентября 2025 года такая формулировка считается неправильной. Все соглашения на обработку персональных данных должны подписываться отдельно.

«Галочка» в договоре больше не работает.

Уголовная ответственность и принудительная ликвидация бизнеса

Статья 272.1 УК РФ - тюрьма за персональные данные

Как я написала выше, в текущем году возбуждено уже несколько сотен уголовных дел за нарушения в области персональных данных и использования искусственного интеллекта.

Сроки лишения свободы:

  • До 6 лет за неправильную обработку биометрических данных;

  • До 4 лет за обработку стандартных персональных данных.

Что приводит к уголовной ответственности:

  • Нарушение обработки биометрии без согласия;

  • Продажа клиентских контактов конкурентам;

  • Использование «слитых» баз данных для ретаргетинга;

  • Обработка персональных данных сотрудников через ИИ без их согласия и многое другое.

Новая угроза - принудительная ликвидация

По Федеральному закону №115-ФЗ банки получили право инициировать ликвидацию бизнеса.

Пример из жизни. Предприятие «Про» с оборотом 120 миллионов рублей в год переводило денежные средства индивидуальному предпринимателю на сумму 15 миллионов в год. Банк заподозрил компанию в транзитных переводах.

Компания направила стандартный ответ, но не предоставила детальных разъяснений по 115-ФЗ. 

Результат: банк инициировал ликвидацию бизнеса, поскольку компания не смогла доказать экономический смысл операций.

Критически важно: при принудительной ликвидации по инициативе банка у компании есть всего 6 месяцев на то, чтобы «обелить» себя. В отличие от ликвидации по инициативе ИФНС. Там процедура проще.

Предлагаю в комментариях обсудить, к чему готовиться в 2026, и что сейчас с этим делать.