В 2026 году вступили в силу новые правила ответственности за нарушения в обработке персональных данных. Главное нововведение — введение оборотных штрафов за повторные нарушения, повлекшие утечку. Санкция составляет от 1% до 3% совокупной годовой выручки компании, но не менее 20 млн рублей (для биометрии или спецкатегорий — не менее 25 млн рублей) и не более 500 млн рублей.
Расширилось также применение статьи 272.1 УК РФ («Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные»). Уголовное преследование теперь возможно даже за небольшие утечки данных и ошибки сотрудников. Эксперты рекомендуют компаниям срочно внедрять DLP-системы, обеспечивать локализацию данных на российских серверах и настраивать жесткое разграничение прав доступа.