Утекание и наказание

Дела о привлечении компаний к административной ответственности за крупные утечки персональных данных по новым частям ст. 13.11 КоАП недавно добрались до арбитражных судов. Закон позволяет налагать за такие нарушения штрафы вплоть до оборотных, в зависимости от масштаба инцидента, категории данных и повторности нарушения. Пока суды склонны снижать штрафы ниже минимального предела либо ограничиваться предупреждением. Юристы допускают, что такой лояльный подход является временным — на период адаптации рынка к новым правилам.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” проанализировал новую практику привлечения к административной ответственности в связи с утечкой персональных данных (ПД).

Также с мая 2025 года ответственность дифференцируется по типу утекших данных, подчеркивает советник практики интеллектуальной собственности ЮК ЭБР Артем Евсеев. Например, штрафы за утечки сведений о национальной принадлежности, политических взглядах, религиозных убеждениях или состоянии здоровья значительно выше, чем за раскрытие адреса регистрации или номера телефона. В случае утечки специфической информации хотя бы об одном лице компании грозит штраф в размере 10–15 млн руб., обращает внимание руководитель группы интеллектуальной собственности CLS Виктор Калужский.

Старший консультант по защите ПД компании Б-152 Елизавета Воронова напоминает, что ответственность теперь предусмотрена и за неуведомление Роскомнадзора об утечке ПД. На это отводится 24 часа, за опоздание бизнес могут отдельно оштрафовать на 1–3 млн руб.

В Роскомнадзоре (РКН) “Ъ” сообщили, что по итогам 2025 года ведомство не зафиксировало увеличения числа жалоб по фактам компрометации личной информации. С 30 мая по 31 декабря 2025 года по фактам утечек персональных данных ведомство составило 31 протокол, а за аналогичный период 2024 года — 33 протокола, уточнили в РКН.

Ответственность — ниже нижнего

По итогам анализа практики за февраль и март “Ъ” не обнаружил случаев наложения арбитражными судами оборотных или просто миллионных штрафов по новым составам ст. 13.11 КоАП. В РКН “Ъ” уточнили, что по состоянию на 1 апреля ведомство пока не выносило протоколы по ч. 15 и 18 ст. 13.11.

На данный момент один из самых показательных кейсов — дело в отношении онлайн-академии для детей ООО «Юкидс», допустившей утечку ПД более 300 тыс. человек. 5 марта 2026 года Арбитражный суд Москвы по требованию РКН признал компанию виновной в нарушении ч. 14 ст. 13.11 КоАП. Штраф для юрлиц по этой части составляет от 5 млн до 10 млн руб., но «Юкидс» удалось обойтись наказанием в 400 тыс. руб. Суд сослался на наличие у юрлица-нарушителя статуса микропредприятия.

Кроме того, суды нередко заменяют штраф на предупреждение, если в деле не было установлено отягчающих обстоятельств.

Например, когда у инвестиционно-аналитической группы «ПКР Аналитика» утекли данные около 70 тыс. клиентов, вместо штрафа в размере 5–10 млн руб. по новому пункту статьи КоАП Арбитражный суд Санкт-Петербурга ограничился предупреждением, поскольку правонарушение было совершено впервые.

Утечки из компаний Gaskar Group (входит в контур ГК «Аметист Групп») затронули сравнительно небольшое число лиц. В июле 2025 года неизвестные хакеры получили доступ к анкетам кандидатов и работников ООО «Гаскар Интеграция» и ООО «Гаскар Технологии». ПД выложили в открытый доступ, в марте Арбитражный суд Москвы по требованию РКН привлек обе компании к ответственности. Но учитывая небольшое количество субъектов ПД, нарушение квалифицировали по ч. 1 ст. 13.11 КоАП, и в итоге первой компании вынесли только предупреждение, а второй — штраф в размере 75 тыс. руб.

Практика показывает, что сам факт утечки уже влечет привлечение к административной ответственности независимо от того, была ли доказана вина оператора данных, объясняет Елизавета Воронова. В январе 2026 года по этому поводу высказался Верховный суд РФ (ВС) в рамках разбирательства в отношении Минтруда. Министерство указывало, что невиновно в утечке, так как была взломана инфраструктура подрядчика. Но высшая инстанция подчеркнула, что закон обязывает именно оператора ПД соблюдать требования к защите такой информации, Минтруд же доказательств этого не представил.

Из общего подхода выбивается дело РЖД. Из-за утечки 17 млн строк с данными о сотрудниках компании суд первой инстанции оштрафовал организацию на 150 тыс. руб. Столь небольшой штраф объясняется тем, что инцидент имел место еще до майских поправок и квалифицировался по первой части статьи КоАП. Однако 16 февраля 2026 года Девятый арбитражный апелляционный суд вообще отменил штраф, посчитав вину компании недоказанной и указав на наличие возбужденного по обращению РЖД уголовного дела в отношении неустановленных лиц, получивших неправомерный доступ к информации. Артем Евсеев и Елизавета Воронова полагают, что наличие уголовного дела не снимает ответственности по ст. 13.11.

Практика свидетельствует об относительно лояльном отношении к нарушителям и снижению штрафа ниже низшего предела, констатирует господин Калужский. Видимо, сейчас правоприменитель дает возможность компаниям адаптироваться к текущим реалиям, полагает господин Евсеев. «Учитывая, что много дел все еще рассматриваются по старым правилам КоАП, до майских поправок, мы еще не видим огромных штрафов»,— поясняет руководитель практики защиты ПД и кибербезопасности юрфирмы АЛРУД Мария Осташенко. Она допускает появление больших сумм наказаний во второй половине 2026 года.

Киберзащита от претензий

Задача оператора в суде — доказать, что компания приняла все возложенные на нее законом меры по защите ПД и соблюдала требования к информационной безопасности, поясняет госпожа Воронова. Причем, указывает господин Евсеев, ключевую роль в таких делах играют, например, установка средств защиты информации, сертифицированных Федеральной службой по техническому и экспортному контролю или ФСБ, а также наличие действующего разграничения доступа к информации. Кроме того, важно, чтобы на случай утечки был выстроен процесс реагирования, расследования и коммуникации с госорганами, продолжает госпожа Осташенко, и чтобы у оператора были приняты соответствующие нормативные акты. Своевременное уведомление РКН об инциденте, признание вины, совершение правонарушения впервые, статус микропредприятия или субъекта МСП тоже могут смягчить наказание, добавляет госпожа Воронова.

Дальнейшее развитие практики юристы спрогнозировать затрудняются. Если майские поправки передали административные дела по утечкам ПД от мировых судей в ведение арбитражных судов, то поправки от декабря 2025 года передали эти вопросы с 1 января обратно в общую юрисдикцию, на уровень мировых судей. Неясно, будут ли мировые судьи, которые снова будут рассматривать эти дела, руководствоваться позицией арбитражных судов, задается вопросом Виктор Калужский. Между тем изменение подсудности этих дел уже дважды за последний год «мешает сформироваться единообразной практике в какой-то одной системе судов», указывает Артем Евсеев. По мнению господина Калужского, здесь были бы полезны разъяснения ВС.

Ян Назаренко, Анна Занина