Контакты
Подписка 2026

Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.

Privacy Tech, 18/08/25

С 30 мая 2025 г. вступили в силу поправки в КоАП РФ [1], радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.

Авторы:
Ксения Смирнова, генеральный директор Privacy Tech
Антон Брагинец, генеральный директор DataCase, директор по развитию Privacy Tech
Максим Своевский, LegalTech продакт-менеджер Privacy Tech

ris1_w-Aug-18-2025-08-07-33-4100-AM

Субъекты ответственности и виды наказаний

Подавляющее большинство дел (187 из 219, или 85%) было возбуждено в отношении юридических лиц. К ответственности также привлекались индивидуальные предприниматели (21 дело), должностные лица (10 дел) и один самозанятый. Утечки затронули компании практически из всех отраслей: от банков, страхования, ИТ и телекома до образования, медицины, розничной торговли, ЖКХ, строительства, медиа, транспорта и государственных учреждений.

Примечание: с вступлением в силу поправок изменился подход к определению субъекта ответственности. Раньше одновременное привлечение к ответственности юрлица и его должностного лица было возможно, но на практике встречалось достаточно редко. Для новых составов в коммерческом секторе за утечки отвечают юридические лица, а в государственном и некоммерческом секторе – должностные лица.

Квалификация нарушений и размеры штрафов

До поправок в КоАП РФ специального состава за утечку персональных данных не существовало, и такие инциденты квалифицировались как "нарушение порядка обработки персональных данных путем их распространения" (ч. 1 ст. 13.11 КоАП РФ). Эта статья применялась в 96% дел (211 случаев). Дела о повторных утечках были единичными.

Для юридических лиц наиболее вероятным исходом было назначение административного штрафа (148 дел). Предупреждение было вынесено в 33 случаях, а прекращены были всего 6 дел. Для индивидуальных предпринимателей наблюдалась иная тенденция – предупреждения выносились чаще, чем штрафы (14 против 7).

В подавляющем большинстве случаев (104 дела) штраф для юрлиц назначался в минимальном размере – 60 тыс. руб. Штрафы ниже низшего предела (например, 30 тыс. руб.) применялись к субъектам МСП на основании ст. 4.1.2 КоАП РФ.

Судебная практика

Постановление мирового судьи по делу № 5–162/2023 от 20.06.2023. Компания указала, что данные, по факту утечки которых было возбуждено дело, относятся к инциденту, произошедшему ранее. По утечке ранее было направлено уведомление в Роскомнадзор, а компания была привлечена к ответственности.

Повторное привлечение к ответственности за одно и то же правонарушение недопустимо. Суд с доводами не согласился и указал, что речь идет о двух разных событиях, разнесенных во времени. Кроме того, в каждом случае утечке подверглись данные разных субъектов: сначала – клиентов, затем – сотрудников. Итог: штраф в размере 100 тыс. руб.

Порядок действий регулятора при обнаружении утечки

Алгоритм действий Роскомнадзора после выявления утечки включает несколько этапов и может варьироваться.

  1. Выявление утечки. Роскомнадзор обнаруживает утечку самостоятельно в ходе мониторинга сети Интернет (чаще всего в Telegram-каналах) либо получает уведомление от оператора.
  2. Фиксация факта. Роскомнадзор фиксирует утечку, как правило, путем создания скриншотов страниц с опубликованными данными.

После фиксации возможны два основных сценария:

  • Сценарий А "Без проведения проверки" (65% случаев). Роскомнадзор направляет оператору запрос с требованием предоставить пояснения. На основе полученной информации составляется протокол об административном правонарушении.
  • Сценарий Б "С проведением проверки" (35% случаев). Роскомнадзор инициирует внеплановую проверку, которая может быть документарной или выездной (последние составляли почти три четверти). В ходе проверки проводятся осмотры информационных систем, опрашиваются сотрудники. По итогам составляется акт, может быть выдано предписание об устранении нарушений и оформляется протокол.

Роскомнадзор и суды устанавливают связь между опубликованными данными и конкретным оператором различными способами:

  • Оператор сам подтверждает факт утечки в уведомлении или в ходе проверки.
  • Содержание утечки совпадает с информацией в ИТ-системах оператора. Это выясняется, когда Роскомнадзор исследует системы при проверке (сверяются конкретные значения, набор полей и т. д.).
  • Из содержания утечки следует, что данные относятся к оператору. Например, в файле с данными содержатся указания на его наименование, либо характер деятельности компании предполагает обработку именно таких данных.
  • Утечка содержит данные, совпадающие со скриншотами, которые предоставил оператор.
  • Данные размещены на ресурсе, связанном с оператором (например, опубликованы на его собственном сайте).

Причины утечек персональных данных

Абсолютное большинство (90%) инцидентов происходило в результате действий злоумышленников.

Утечки, вызванные внешним или внутренним воздействием злоумышленников

  1. Несанкционированный доступ без уточнения вектора атаки. В таких случаях в судебных решениях использовались общие формулировки "хакерская атака" или "взлом".
  2. Хакерская атака из-за эксплуатации уязвимостей ПО. Среди них назывались: уязвимости популярных СМS, платформ для интернет-магазинов и других онлайн-сервисов; уязвимости в системах управления базами данных (например, MySQL); ошибки в конфигурации веб-сервера, позволяющие перехватывать данные; уязвимости в VPN, в ПО из категории Open Source, в устаревшем (не обновленном) ПО и даже в тестовом контуре разработки.
  3. Получение доступа к учетной записи администратора или иного пользователя с правами доступа к данным. В судебных решениях упоминались следующие способы: похищение аутентификационных данных; взлом через личные данные сотрудника; доступ через фишинговую рассылку; создание пользователя с административными правами через команды АРІ; подбор логина и пароля, в том числе с использованием учетных данных, ранее скомпрометированных в утечках других компаний.
  4. Внедрение вредоносного кода в систему (SQL-инъекция, технические закладки, XSS-атаки и другие методы).
  5. Атаки типа DDoS. Вероятно, такие атаки сопровождались действиями, направленными на обход мер защиты и доступ к данным, поскольку сами по себе они к утечке не приводят.
  6. Эксплуатация уязвимостей в инфраструктуре подрядчиков (например, подрядчиков, обслуживающих ИТ-инфраструктуру, или хостинг-провайдеров).
  7. Недобросовестные действия сотрудников (как действующих, так и бывших).

Утечки, не связанные с умышленными действиями

  1. Нарушение локальных нормативных актов компании в сфере защиты персональных данных.
  2. Недостаточный уровень осведомленности сотрудников в вопросах информационной безопасности.
  3. Неосторожные действия сотрудников.
  4. Сбои в работе программного обеспечения.
  5. Ошибки при настройке уровней доступа.
  6. Ошибки в коде, приведшие к размещению клиентских данных в публичном репозитории (например, в GitLab).
  7. Наличие уязвимостей в используемом программном обеспечении (без признаков злонамеренного использования).

Аргументы и стратегии компаний в судах

Какие аргументы не помогли избежать ответственности за утечку:

  • "Это была хакерская атака". Факт несанкционированного доступа сам по себе не имеет значения для квалификации нарушения и не освобождает от ответственности. Суды указывали, что оператор не принял все зависящие от него и достаточные меры для защиты данных.
  • "Виноват подрядчик". Суды применяли положения ч. 5 ст. 6 Закона о персональных данных, согласно которой оператор несет ответственность за действия лица, которому поручил обработку.
  • "Данные не являются персональными". Этот довод часто звучал при утечке комбинаций ФИО и телефона/email. Суды не соглашались, опираясь на широкое определение персональных данных. Даже email сам по себе признавался персональными данными для целей квалификации утечки.
  • "Срок давности истек". Утечка квалифицируется как длящееся правонарушение, и срок отсчитывается с даты ее выявления регулятором.

Судебная практика

Постановление мирового судьи по делу № 05–486/468/2022 от 14.12.2022. С тестового стенда системы компании произошла утечка. Компания указала, что причиной стали действия сотрудников подрядной организации, отвечающей за поддержку стенда. Данные в системе не содержали полных идентификационных признаков, а набор цифр и символов, таких как номер телефона и адрес электронной почты, сам по себе не является персональными данными. Суд не согласился с этими доводами.

С тестового стенда была выгружена таблица с архивными сведениями о клиентах (ФИО, пол, телефон и электронная почта), которые суд квалифицировал в качестве персональных данных. Аргументы о вине подрядчика были отклонены: суд указал, что наличие договорных отношений не освобождает оператора от ответственности.

Итог: штраф в размере 60 тыс. руб.

Смягчающие обстоятельства и действия, которые помогли снизить ответственность

Смягчающие обстоятельства были применены в 58% дел. В их отсутствие в 99% случаев назначался штраф.

Самые частые смягчающие факторы: совершение правонарушения впервые (66 дел), признание вины (53), устранение нарушений (45) и статус МСП (34).

Наиболее эффективной стратегией было продемонстрировать суду комплекс мер, принятых на трех этапах:

  1. Меры до инцидента. Суд учитывал, были ли до инцидента приняты "необходимые и достаточные" технические и организационные меры по защите персональных данных. Например, компании приобщали к делу копии внутренних документов, подтверждающих выполнение требований Закона о персональных данных. Суд также принимал во внимание наличие и использование средств защиты информации.
  2. Реакция на инцидент. Суды оперативно оценивали действия по реагированию на инцидент и минимизации негативных последствий. Среди таких действий указывались, например, уведомление Роскомнадзора, проведение внутреннего расследования, ограничение доступа к скомпрометированным системам, смена паролей и технологических учетных записей, изоляция затронутых компонентов инфраструктуры, а также подача заявления о преступлении в правоохранительные органы, обращение в ФСБ России и НКЦКИ.
  3. После инцидента. В судебных решениях также указывались меры по усилению безопасности после инцидента.

Например, аудит ПО, оценка рисков, закупка дополнительных средств защиты (WAF, IDS), обновление ПО и антивирусных баз, найм специалистов по ИБ.

Самым сильным аргументом для полного прекращения дела было признание компании потерпевшей стороной по уголовному делу. В двух делах, где компании представили соответствующее постановление, административное преследование было прекращено за отсутствием состава правонарушения.

Полная версия обзора доступна на сайте компании Privacy Tech [2].


  1. Обзор изменений в КоАП РФ: https://privacy-tech.ru/news/novye-shtrafy-za-narusheniya-v-sfere-personalnyh-dannyh  
  2. https://privacy-tech.ru/news/otvetstvennost-za-utechki-personalnyh-dannyh-obzor-sudebnoj-praktiki-za-2022-2025-gg  
Темы:Персональные данныеСудебная практикаЖурнал "Информационная безопасность" №3, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Утечка данных и судебная практика в 2026 году
    Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 г. шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 г. накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы ее смягчить или вовсе снять. Разбираем четыре ключевых дела и делаем выводы.
  • Эволюция контроля ПДн в организациях
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Функция контроля обработки персональных данных в организациях Российской Федерации претерпевает системную трансформацию, переходя от формального документального соответствия к интегрированной бизнес-функции. Давайте проанализируем ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
  • ПДн в маркетинге – где проходит черта законности
    Константин Холманов, консультант по персональным данным компании Б-152
    Маркетинг не может жить без данных, поскольку их наличие обеспечивает понимание целевой аудитории, фокуса продукта и слабых сторон. Однако собирая данные через обратную связь, опросы, исследования либо через сам продукт, многие не до конца осознают, что это в первую очередь персональные данные, обработка которых должна обеспечиваться законом. Рассмотрим обработку персональных данных в маркетинге под новым углом.
  • Трансграничная передача данных: алгоритмы соблюдения требований и актуальные риски
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
  • Аутсорсинг процессов с точки зрения законодательства о персональных данных
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    Популярность аутсорсинга технологических и бизнес-процессов в России продолжает расти, что неудивительно: этот подход дает компаниям реальные преимущества. Он позволяет оптимизировать бюджет, гибко управляя затратами на инфраструктуру и персонал, получить доступ к узкоспециализированной экспертизе без долгосрочных инвестиций и сконцентрировать внутренние ресурсы на ключевых, профильных задачах, повышая общую эффективность бизнеса.
  • Персональные данные: прогноз на 2026 год
    Если десять лет назад хакеров интересовали только компании-гиганты, в основном в столице и нескольких городах-миллионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкиваются даже индивидуальные предприниматели, самозанятые и просто физические лица.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...