Шкала работает, штрафы — нет
До 30 мая 2025 года за нарушения в области персональных данных компании отделывались штрафом до 300 тысяч рублей по общей норме статьи 13.11 КоАП — суммой, которую крупный бизнес воспринимал как операционный расход. Год назад картина изменилась принципиально: в статье появились части 12-18 с дифференцированной ответственностью.
Логика шкалы строгая. Утечка данных менее тысячи человек — штраф по-прежнему 150-300 тысяч рублей. От 1 до 10 тысяч пострадавших — уже 3-5 млн рублей. От 10 до 100 тысяч — 5-10 млн рублей. Свыше 100 тысяч — 10-15 млн рублей. Повторная утечка — оборотный штраф от 1 до 3% годовой выручки.
Роскомнадзор отчитался: с 30 мая по 31 декабрь 2025 года составлен 31 протокол по фактам утечек — примерно столько же, сколько за аналогичный период 2024-го. При этом самые жёсткие меры — части 15 и 18, предусматривающие оборотные штрафы, — по состоянию на 1 апреля 2026 года ещё ни разу не применялись.
Первые дела в арбитражных судах показали, что судьи пока склонны смягчать санкции. Онлайн-академия «Юкидс» допустила утечку данных более 300 тысяч человек — инцидент, формально тянущий на 5-10 млн рублей. Арбитражный суд Москвы 5 марта 2026 года назначил 400 тысяч, сославшись на статус микропредприятия.
Инвестиционно-аналитическая группа «ПКР Аналитика», у которой были скомпрометированы данные около 70 тыс. клиентов, получила лишь предупреждение. Суд в Санкт-Петербурге учёл, что нарушение было совершено впервые.
Из общего ряда выбивается дело РЖД: 17 млн строк с данными сотрудников, штраф первой инстанции — 150 тысяч рублей, поскольку инцидент произошел до майских поправок. Но 16 февраля 2026 года Девятый арбитражный апелляционный суд отменил и его, указав на недоказанность вины компании и наличие уголовного дела в отношении лиц, получивших неправомерный доступ.
Вывод из первого года практики: суды пока склонны смягчать наказания, регулятор не торопится применять самые жесткие инструменты. Но новые правила уже запущены. И вопрос теперь не в том, будут ли их применять в полном объёме, а в том, когда произойдёт следующий крупный инцидент, который станет поводом для более жёстких санкций.
Уведомить РКН и не навредить себе
Первое, с чем сталкивается юрслужба после обнаружения инцидента, — процессуальная ловушка уведомления. Закон требует уведомить Роскомнадзор в течение 24 часов, а итоговый отчёт представить в течение 72 часов.
При компьютерных атаках дополнительно уведомляется ГосСОПКА. Времени на раздумья нет, а цена ошибки в формулировках высока.
Основатель и управляющий партнёр ГК «РосКо», аттестованный аудитор Алёна Яковлева считает, что в такой ситуации безопаснее придерживаться максимально открытой позиции. Ложь и неполные данные в уведомлении могут сами по себе стать основанием для штрафа по статье 19.7 КоАП. Само по себе корректное уведомление проверку не запускает: регулятор работает по индикаторам риска, установленным Минцифры, и за их пределами внеплановых проверок не будет. Но если уведомление не подано, а информация об утечке появилась в СМИ — внеплановая проверка практически гарантирована.
Эксперт по антикризисному PR и основатель агентства цифровой репутации «Невидимка» Пётр Сухоруких обратил внимание ещё на один важный аспект.
«В тексте важно избегать формулировок, которые могут быть истолкованы как признание собственной халатности, — предупредил он. — Не стоит писать, что инцидент случился "из-за недостатков в системе защиты" или "по ошибке сотрудника". По закону это сразу возлагает вину на саму компанию».
Профессиональнее и безопаснее нейтральное описание: «зафиксировано внешнее воздействие со стороны третьих лиц, проводится расследование». Точный объем утекших данных до завершения аудита также лучше не указывать. В условиях 24-часового дедлайна это почти всегда преждевременно.
Расследование как юридический документ
После уведомления начинается внутреннее расследование. И именно здесь многие компании ошибочно воспринимают его как техническую, а не юридическую процедуру.
Руководитель бухгалтерской службы TaxSmart Мария Лоскутова указала, что суд будет оценивать не только выводы специалистов, но и то, каким образом они были получены. Ключевое значение имеет документирование каждого шага: журналы событий, акты осмотра, результаты технического анализа, внутренние решения комиссии по расследованию. При уведомлении РКН она также подчеркнула важность фиксировать только установленные факты: «Не стоит указывать, что утечка "точно произошла" или что "виновник установлен", если расследование еще не завершено».
Сухоруких подробнее остановился на том, какие доказательства будут иметь значение в суде. Обычные скриншоты суд может не принять. Системные журналы серверов необходимо правильно скопировать и зафиксировать их цифровой след. Если сведения оказались в открытом доступе, факт их публикации желательно зафиксировать нотариально.
И принципиально важный момент о составе комиссии. «Проводить проверку только силами своего IT-отдела рискованно, так как штатные сотрудники являются заинтересованной стороной, — указал эксперт. — Оптимальный вариант — привлечь независимых внешних экспертов с лицензиями в области защиты информации. Их официальное заключение будет иметь для суда статус независимой экспертизы».
Где бизнес ошибается чаще всего
Компании часто рассчитывают, что от последствий утечки их защитят договоры с подрядчиками или киберстрахование. Однако в случае оборотных штрафов оба инструмента работают не так, как принято считать.
Эксперт по структурированию активов Юлия Погасий пояснила, как распределяется ответственность между оператором и подрядчиком. «Оборотный штраф за утечку у субподрядчика ложится на оператора, и регрессом его не переложить: это административная мера, а не убыток», — рассказала она в комментарии «Сфере».
Договор может покрывать другие риски — например, убытки или договорную неустойку. Перечень данных, обязанность их защиты, право на аудит безопасности подрядчика и неустойка за инцидент — все это имеет смысл прописывать. Однако переложить на подрядчика сам штраф Роскомнадзора договором нельзя. «Под оборотный штраф нужен отдельный резерв. Страховка гасит последствия утечки, наказание за нее остается на компании», — отмечает эксперт.
Почему так происходит, объяснила кандидат юридических наук, президент Ассоциации юристов онлайн-бизнеса Елена Федорук. Она указала на фундаментальную коллизию в самой архитектуре киберстрахования. Штрафы Роскомнадзора — это меры публичного права с карательным и превентивным характером, а страхование исторически основано на иной логике: оно перераспределяет частноправовой риск. «Страховая система не предназначена для финансирования наказания, назначенного государством», — утверждает она. Поэтому почти все полисы киберстрахования прямо или косвенно исключают покрытие административных штрафов.
Страховка обычно покрывает расходы, связанные с последствиями инцидента: цифровая криминалистика, локализация инцидента, восстановление систем, юридическое сопровождение проверок, уведомление пострадавших, антикризисный PR.
Федорук описала итоговую конфигурацию через трехуровневую модель: технический слой — покрывается, юридический — частично, регуляторный, то есть штрафы, — не покрывается вовсе.
Есть и ещё одно важное ограничение: исключения, связанные с грубой неосторожностью страхователя. Страховщик может отказать в выплате, если компания систематически игнорировала базовые требования информационной безопасности: многофакторную аутентификацию, логирование, управление уязвимостями.
На практике страховая защита работает только тогда, когда компания может подтвердить, что соблюдала базовые стандарты безопасности. Это создаёт дополнительную мотивацию развивать систему защиты данных, а не ограничиваться формальными мерами.
Первый год действия новых правил показал: регулятор пока действует осторожно, суды склонны к смягчению. Но инструментарий для жестких санкций полностью готов. Компании, которые воспринимают эту паузу как сигнал подождать, рискуют встретить следующий инцидент без резерва, без документации и без шансов на снисхождение.
Изображение создано Magnific, www.magnific.com
