Эпоха символических штрафов за нарушение приватности в России закончилась. Законодатели, реагируя на массовые «сливы» баз данных служб доставки, банков и медицинских центров, кардинально ужесточили ответственность. Введены новые составы правонарушений, а главное — механизм оборотных штрафов, который привязывает сумму взыскания к выручке компании. Сегодня штрафы за утечку персональных данных могут поставить бизнес на грань банкротства, не говоря уже о репутационных потерях и коллективных исках от пострадавших граждан.
Штрафы за утечку персональных данных теперь дифференцируются в зависимости от объема скомпрометированной информации и факта повторности нарушения. Но самое важное изменение — это введение уголовной ответственности за незаконный оборот данных и использование украденных баз. Для бизнеса это означает, что любая утечка рассматривается не как технический сбой, а как чрезвычайное происшествие, требующее немедленной реакции юридического и IT департаментов.
Новая сетка штрафов в КоАП РФ (ст. 13.11)
Законодательство (актуальное на 2026 год) предусматривает градацию ответственности.
- За утечку данных от 1 000 до 10 000 субъектов. Штраф для юрлиц от 3 до 5 млн рублей.
- За утечку от 10 000 до 100 000 субъектов. Штраф от 5 до 10 млн рублей.
- За утечку более 100 000 субъектов. Штраф от 10 до 15 млн рублей.
- Повторная утечка. Оборотный штраф: от 0,1% до 3% годовой выручки компании, но не менее 15 млн рублей и не более 500 млн рублей.
Это колоссальные суммы, которые делают инвестиции в информационную безопасность (ИБ) экономически оправданными.
Уголовная ответственность (ст. 272, 273, 274.1 УК РФ и новые статьи)
Помимо административных штрафов компании, к ответственности могут быть привлечены конкретные должностные лица (директор, CISO, сисадмин). За незаконный сбор, хранение и распространение «украденных» данных введена уголовная ответственность с реальными сроками лишения свободы. Это касается не только хакеров, но и сотрудников, которые «слили» базу, а также топ-менеджеров, допустивших преступную халатность.
Смягчающие обстоятельства и защита
Закон дает шанс снизить ответственность. Роскомнадзор учитывает поведение оператора *после* инцидента.
Ключевые действия для минимизации ущерба:
- Уведомление за 24 часа. Оператор обязан сообщить в РКН о факте утечки в течение суток. Молчание — это отягчающее обстоятельство.
- Внутреннее расследование за 72 часа. В течение трех суток нужно представить результаты: причины утечки, виновные лица, меры по устранению.
- Подтверждение инвестиций в ИБ. Если компания докажет, что тратила значительные средства на защиту и утечка произошла из-за сложной хакерской атаки (форс-мажор), а не из-за открытого Excel-файла, штраф может быть назначен по нижней границе.
- Компенсация вреда. Добровольные выплаты пострадавшим пользователям до суда.
Мы предлагаем услуги «Юридического реагирования на инциденты» (Incident Response Legal Support). Когда происходит утечка, наши юристы подключаются к вашему штабу, помогают правильно заполнить формы уведомлений для РКН и ГосСОПКА, и выстраивают линию защиты, чтобы переквалифицировать действия компании из «умышленного бездействия» в «жертву кибератаки».
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов