С 30 мая 2025 года введены серьезные изменения в российское законодательство, касающееся административной ответственности за утечки персональных данных (ПДн). Новые нормы, добавленные в статью 13.11 КоАП РФ, включают штрафы, достигающие многомиллионных сумм. Лишь сейчас, почти спустя год, судебные дела, связанные с инцидентами после этой даты, начали поступать в арбитражные суды. Интересно, что, несмотря на строгие законы, суды демонстрируют значительную лояльность к операторам ПДн.
Дело № 1: Утечка данных от онлайн-школы
Первый инцидент касается популярной онлайн-школы, где в июне 2025 года произошла утечка, затронувшая 300,000 пользователей. Порядка полумиллиона строк с персональными данными, включая ФИО и контактные данные, оказались в открытом доступе. Суд, рассматривая этот случай, признал его квалифицируемым по статье 13.11 и определил размер штрафа, применив механизм, который существенно уменьшил финансовую санкцию.
- Минимальный штраф для организаций: 10 миллионов рублей.
- Суд классифицировал школу как микропредприятие, что позволило снизить размер штрафа до 400,000 рублей.
Судак также отказался заменить штраф предупреждением, так как это было бы противоречиво, но фактически снизил его в 25-37.5 раз.
Дело № 2: Предупреждение за утечку данных
Второй случай касается платформы инвестиций, где в результате взлома утекли данные 70,000 человек. Роскомнадзор квалифицировал случай, однако арбитражный суд Санкт-Петербурга, имея в виду факты о первом правонарушении, решил назначить предупреждение вместо штрафа, что противоречит строгим нормам, прописанным в Кодексе.
Анализ судебной практики
Недавние судебные решения создают три ключевых тренда в контексте ответственности за утечки:
Несмотря на положительную динамику, риски остаются. Позиция Роскомнадзора остается жесткой, и возможные разъяснения Верховного Суда могут изменить ситуацию в будущем. Организациям стоит ожидать изменений и применять меры для защиты своих информационных систем от утечек.
