Реферальное соглашение
о сотрудничестве
с Hogan Lovells в России
Рус Eng
Все новости
Штраф за утечку личных данных вырастет до 500 млн руб.
Что еще изменится
02 / 04 / 2025
Статья Виктора Домшенко, партнёра, главы практики коммерческих споров и групповых исков LEVEL Legal Services, об изменении штрафов за утечку персональных данных для издания РБК Pro.

Если раньше максимальный штраф за утечку персональных данных составлял 300 тыс. руб., то теперь он вырастет аж в 1,6 тыc. раз — до 500 млн руб. Сменится и подсудность подобных дел. Рассказывает Виктор Домшенко (юридическая фирма LEVEL Legal Services).

За 2024 год Роскомнадзор зафиксировал порядка 200 уведомлений об утечках персональных данных. Однако, согласно отчету InfoWatch, общее количество утечек в 2024 году в действительности три раза больше — 592 случая, похищено более 1,5 млрд записей пользователей. Такой разрыв в статистике обусловлен тем, что, по мнению этих же экспертов, информация минимум о 60% инцидентов, связанных с утечками данных, не разглашается.

За утечку персональных данных предусмотрены штрафы. Для юридических лиц они достигают 100 тыс. руб. при первом нарушении, 300 тыс. руб. — при повторном (ст. 13.11 КоАП). Операторам персональных данных, особенно крупным, несложно заплатить такой штраф. Поэтому у них нет стимула проявлять повышенное внимание к защите персональных данных.

Незначительность наказания приводит к тому, что операторы персональных данных ведут споры с Роскомнадзором по этой категории дел без особого энтузиазма. К примеру, я не обнаружил ни одного спора, где бы проводилась судебная техническая экспертиза базы данных, попавшей в открытый доступ.

С 30 мая этого года ситуация должна кардинально измениться. Расскажу почему.

1. Административные штрафы за утечку персональных данных вырастут в 1 тыс. и более раз

Вступают в силу изменения в ст. 13.11 КоАП. Административная ответственность за утечку персональных данных многократно увеличивается: минимальный штраф для юридических лиц теперь будет составлять от 3 млн руб. Но что более важно, вводятся оборотные штрафы за повторную утечку — до 500 млн руб. Суммы внушительные даже для крупнейших игроков рынка.

Размеры штрафов будут зависеть от типов данных — обычные, специальные (например, национальная принадлежность или политические взгляды), биометрия — и объема утечки.

Если впервые произойдет утечка обычных данных:

  • от 1 тыс. до 10 тыс. пользователей или от 10 тыс. до 100 тыс. идентификаторов — штраф для юридических лиц составит от 3 млн до 5 млн руб.;

  • от 10 тыс. до 100 тыс. пользователей или от 100 тыс. до 1 млн идентификаторов — от 5 млн до 10 млн руб.;

  • более 100 тыс. пользователей или более 1 млн идентификаторов — от 10 млн до 15 млн руб.

Безотносительно к объему первая утечка специальных персональных данных повлечет штраф для юридических лиц от 10 млн до 15 млн руб., а в случае с биометрическими данными — от 15 млн до 20 млн руб.

При повторной утечке обычных данных штраф составит от 1 до 3% от выручки оператора, но не менее 20 млн руб. и не более 500 млн руб. В случае если произошла повторная утечка специальных или биометрических данных либо после утечки обычных данных произошла утечка биометрии или специальных данных, штраф также составит от 1 до 3% от выручки оператора, но уже не менее 25 млн руб. и не более 500 млн руб.

Оборотные штрафы за утечку персональных данных, строго говоря, не являются изобретением российского правопорядка. В ЕС, Великобритании, Китае, Бразилии они существуют уже давно. А вот Индия — обратный пример: в этой стране фиксированные, хотя и довольно крупные штрафы, размер может доходить до $30 млн.

Громкие случаи утечек персональных данных

  • В России за последние несколько лет произошли крупнейшие утечки данных у неназванного российского оператора — около 500 млн записей, сети ресторанов быстрого питания «Бургер Кинг» — 5,6 млн строк, сети «Ашан» — 7,8 млн строк, сети фитнес-клубов World Class — 2,2 млн строк.

  • В странах СНГ также имели место утечки: в Казахстане произошла утечка персональных данных микрофинансовой организации Zaimer — 2 млн строк; в Белоруссии несколько интернет-магазинов подверглись хакерской атаке, в результате чего украдено около 1 млн строк. В Грузии 5 млн строк и 7 млн записей телефонных разговоров граждан страны попали в открытый доступ.

  • Утечки происходили и в странах БРИКС: в Бразилии Министерство здравоохранения допустило утечку более 243 млн медицинских записей, а в Индии были опубликованы данные 40 млн клиентов компании Hathway.

  • В США компания Real Estate Wealth Network допустила утечку 1,5 млрд записей пользователей, а известная сеть отелей Mariott — более 344 млн данных пользователей.

2. Появится новый состав административной ответственности

Также появляется новый состав административного правонарушения — за отсутствие или несвоевременное уведомление уполномоченного органа об утечке (ч. 11 ст. 13.11 КоАП). Штраф за это нарушение для юридических лиц будет составлять от 1 млн до 3 млн руб. Ранее такого состава в принципе не было.

Отрасли — лидеры по утечкам

Распределение утечек по секторам экономики выглядит так:

  • сфера торговли — 28% утечек,

  • государственные органы — 18%, телекоммуникации — 10%, промышленность — 6%,

  • ИТ- и ИБ-компании — 5%,

  • СМИ — 5%,

  • туризм, гостиницы, развлечения — 5%, медицина — 4%,

  • финансы — 3%,

  • остальные — 16%.

    Источник: InfoWatch

3. Дела об утечках теперь будут рассматривать арбитражные суды

Меняется и правило о компетентном суде по рассмотрению дел о привлечении операторов к административной ответственности. Если сейчас такие споры рассматривают мировые судьи, то с 30 мая ими будут заниматься арбитражные суды.

При рассмотрении дела о привлечении к административной ответственности арбитражный суд применяет КоАП (ч. 1 ст. 207 АПК). С учетом этого порядок рассмотрения споров об утечках принципиально не изменится.

Однако отличия все же будут.

— При рассмотрении споров вместо сервисов судов общей юрисдикции будут использоваться информационные системы арбитражных судов (kad.arbitr.ru), которые несравнимо удобнее и доступнее. Это повысит информированность сторон о судебном процессе и сделает его более прозрачным для неограниченного круга лиц.

— Если сейчас представитель ответчика по этой категории дел может не иметь юридического образования, то теперь такое образование станет необходимым.

— АПК закрепляет иные в сравнении с КоАП сроки на обжалование решения по делу об административном правонарушении:

  • срок начинает течь не со дня вручения или получения копии постановления, а со дня принятия решения;

  • по КоАП жалоба может быть подана в течение десяти суток, которые включают и нерабочие дни, за исключением случая, когда последний день срока подачи жалобы приходится на нерабочий день. По АПК такая жалоба может быть подана в течение десяти рабочих дней.

— Если при рассмотрении дела мировым судьей оплата экспертизы производится после ее проведения, то в арбитражном суде денежные средства для проведения судебной экспертизы по делу требуется внести на депозит до ее проведения.

Операторам персональных данных придется адаптироваться под новые требования. Поэтому полагаю, что споров по этой категории дел станет больше.

Подробнее в источнике>>

Ключевые контакты
Виктор ДомшенкоПартнер, глава практики коммерческих споров и групповых исков