В 2025 году ответственность за утечку персональных данных значительно ужесточилась. Поправки в ст. 13.11 КоАП РФ связали размеры штрафов с количеством пострадавших субъектов и характером раскрытой информации. Так, например, за утечку персданных 1-10 тысяч россиян штраф для компании теперь составляет 3-5 млн рублей, а при 10-100 тысяч пострадавших его размер – 5-10 млн рублей. За раскрытие биометрии фирме придется заплатить 15-20 млн рублей, причем вне зависимости от масштабов утечки. В России уже выносятся первые решения по данным нарушениям, рассмотренные с учетом недавних поправок.
Мягкие санкции
В картотеке арбитражных дел содержатся судебные решения, вынесенные по факту крупных утечек персональных данных. Рассмотрим данные кейсы.
-
Управление Роскомнадзора по Северо-Западному федеральному округу обратилось с заявлением о привлечении ООО «ПКР АНАЛИТИКА» к административной ответственности по ч. 13 ст. 13.11 КоАП РФ. Согласно материалам дела, компания уведомила ведомство об инциденте, в результате которого в сеть попали данные 70 тысяч субъектов (фамилии, имена, отчества, должности, номера телефонов, электронная почта). Компрометация персданных произошла в результате хакерской атаки на информационные системы оператора.
Суд указал: доказательств невозможности соблюдения компанией законодательства о персданных ввиду обстоятельств, которые она не могла предвидеть и предотвратить, а также доказательств принятия ею необходимых мер по предотвращению утечки не представлено, что свидетельствует о наличии вины общества в правонарушении.
Однако орган правосудия, руководствуясь ст. 4.1.1 КоАП РФ, счел возможным назначить фирме предупреждение вместо штрафа, поскольку, во-первых, нарушение было совершено впервые, а во-вторых, какие-либо негативные последствия в данном случае отсутствуют. Отметим: минимальный штраф по рассматриваемой статье составляет 5 млн, а максимальный – 10 млн рублей (Решение Арбитражного суда города Санкт-Петербурга и Ленинградской области по Делу № А56-4733/2026 от 10 марта 2026 года).
-
Управление Роскомнадзора по Центральному федеральному округу потребовало привлечь к ответственности ООО «ЮКИДС» к административной ответственности по ч. 14 ст. 13.11 КоАП РФ. В рассматриваемом деле оператор также уведомил ведомство об утечке персональных данных исполнителей и клиентов компании. В ходе расследования выяснилось, что в сети размещено 500 тысяч строк, содержащих следующую информацию: фамилия, имя, номер телефона, адрес электронный почты, рабочие комментарии (например, «бесплатный курс», «завершен», «выполнено» и иные обозначения статусов взаимодействия с клиентами), а также корпоративные адреса электронных почт сотрудников фирмы. Раскрытыми оказались персональные данные 300 тысяч субъектов.
Компания просила суд назначить ей предупреждение вместо штрафа, поскольку нарушение было совершено впервые. Однако суд отклонил эту просьбу, сославшись на высокую общественную опасность деяния.
Поскольку нарушитель относится к микропредприятиям, подлежит применению ст. 4.1.2 КоАП РФ, в соответствии с которой размер штрафа для таких субъектов аналогичен размеру штрафов для ИП. Однако санкция ч. 14 ст. 13.11 КоАП РФ не содержит отдельного штрафа для ИП, поэтому он исчисляется по правилам ч. 2 ст. 4.1.2 КоАП РФ, а именно в размере 50-процентов от штрафов для юридического лица. По ч. 14 ст. 13.11 КоАП штраф для компаний составляет от 10 до 15 млн, соответственно, для микропредприятий он должен находиться в диапазоне от 5 до 7,5 млн рублей. Но суд счел возможным оштрафовать нарушителя «всего лишь» на 400 тысяч рублей (Решение Арбитражного суда города Москвы по Делу № А40-351064/25-145-2742 от 5 марта 2026 года).
В деле № А56-123281/2025 АО СК «Двадцать первый век» удалось избежать штрафа по ч. 13 ст. 13.11 КоАП РФ из-за истечения срока давности привлечения к административной ответственности. Управление Роскомнадзора по Северо-Западному Федеральному округу отказало в возбуждении административного дела в отношении компании по заявлению Михаила Петрищева, а Арбитражный суд города Санкт-Петербурга и Ленинградской области поддержал это решение.
Напомним: о том, что делать в случае утечки персональных данных, сказано в п. 3.1 ст. 21 152-ФЗ. Компания обязана уведомить Роскомнадзор об инциденте в течение 24 часов и в течение 72 часов предоставить ведомству результаты внутреннего расследования. Именно от самих операторов Роскомнадзор чаще всего узнает о нарушениях.
Комментируя указанные дела, эксперты «Российской газеты» указывают: относительно мягкие санкции будут назначаться только первое время. С увеличением числа административных дел суды начнут наказывать нарушителей жестче.
Число утечек персданных увеличилось
По данным РБК, масштабы утечек персональных данных растут. Так, в 2025 году в сеть попали 767 млн записей с персональными данными россиян (включая электронные адреса, номера телефонов и пароли), что почти на 70% больше, чем годом ранее. Причем в роли основной площадки для слива данных называется Telegram, которому, напомним, грозит полная блокировка с 1 апреля.
Что касается сфер утечек персданных, то больше всего пострадал бизнес (89 инцидентов) и государственный сектор (17 инцидентов). ТАСС со ссылкой на исследование компании «Новофон», отмечает: самым негативным последствием утечки для бизнеса является переманивание конкурентами клиентов, данные о которых оказались слиты. На втором месте – репутационные риски, после которых идет возможное попадание информации о клиентах в руки мошенников. А вот последствий в виде привлечения к ответственности компании опасаются меньше всего.
Итак, первые судебные дела по фактам масштабных утечек свидетельствуют о довольно лояльном отношении судов к данным нарушениям. В случае, если нарушение произошло впервые и не повлекло серьезных последствий, компании может быть назначено предупреждение. Однако число компрометаций персданных увеличивается, что неминуемо приведет к ужесточению позиции органов правосудия.