Контакты
Подписка 2025
Статьи по информационной безопасности

Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.

Privacy Tech, 18/08/25

С 30 мая 2025 г. вступили в силу поправки в КоАП РФ [1], радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.

Авторы:
Ксения Смирнова, генеральный директор Privacy Tech
Антон Брагинец, генеральный директор DataCase, директор по развитию Privacy Tech
Максим Своевский, LegalTech продакт-менеджер Privacy Tech

ris1_w-Aug-18-2025-08-07-33-4100-AM

Субъекты ответственности и виды наказаний

Подавляющее большинство дел (187 из 219, или 85%) было возбуждено в отношении юридических лиц. К ответственности также привлекались индивидуальные предприниматели (21 дело), должностные лица (10 дел) и один самозанятый. Утечки затронули компании практически из всех отраслей: от банков, страхования, ИТ и телекома до образования, медицины, розничной торговли, ЖКХ, строительства, медиа, транспорта и государственных учреждений.

Примечание: с вступлением в силу поправок изменился подход к определению субъекта ответственности. Раньше одновременное привлечение к ответственности юрлица и его должностного лица было возможно, но на практике встречалось достаточно редко. Для новых составов в коммерческом секторе за утечки отвечают юридические лица, а в государственном и некоммерческом секторе – должностные лица.

Квалификация нарушений и размеры штрафов

До поправок в КоАП РФ специального состава за утечку персональных данных не существовало, и такие инциденты квалифицировались как "нарушение порядка обработки персональных данных путем их распространения" (ч. 1 ст. 13.11 КоАП РФ). Эта статья применялась в 96% дел (211 случаев). Дела о повторных утечках были единичными.

Для юридических лиц наиболее вероятным исходом было назначение административного штрафа (148 дел). Предупреждение было вынесено в 33 случаях, а прекращены были всего 6 дел. Для индивидуальных предпринимателей наблюдалась иная тенденция – предупреждения выносились чаще, чем штрафы (14 против 7).

В подавляющем большинстве случаев (104 дела) штраф для юрлиц назначался в минимальном размере – 60 тыс. руб. Штрафы ниже низшего предела (например, 30 тыс. руб.) применялись к субъектам МСП на основании ст. 4.1.2 КоАП РФ.

Судебная практика

Постановление мирового судьи по делу № 5–162/2023 от 20.06.2023. Компания указала, что данные, по факту утечки которых было возбуждено дело, относятся к инциденту, произошедшему ранее. По утечке ранее было направлено уведомление в Роскомнадзор, а компания была привлечена к ответственности.

Повторное привлечение к ответственности за одно и то же правонарушение недопустимо. Суд с доводами не согласился и указал, что речь идет о двух разных событиях, разнесенных во времени. Кроме того, в каждом случае утечке подверглись данные разных субъектов: сначала – клиентов, затем – сотрудников. Итог: штраф в размере 100 тыс. руб.

Порядок действий регулятора при обнаружении утечки

Алгоритм действий Роскомнадзора после выявления утечки включает несколько этапов и может варьироваться.

  1. Выявление утечки. Роскомнадзор обнаруживает утечку самостоятельно в ходе мониторинга сети Интернет (чаще всего в Telegram-каналах) либо получает уведомление от оператора.
  2. Фиксация факта. Роскомнадзор фиксирует утечку, как правило, путем создания скриншотов страниц с опубликованными данными.

После фиксации возможны два основных сценария:

  • Сценарий А "Без проведения проверки" (65% случаев). Роскомнадзор направляет оператору запрос с требованием предоставить пояснения. На основе полученной информации составляется протокол об административном правонарушении.
  • Сценарий Б "С проведением проверки" (35% случаев). Роскомнадзор инициирует внеплановую проверку, которая может быть документарной или выездной (последние составляли почти три четверти). В ходе проверки проводятся осмотры информационных систем, опрашиваются сотрудники. По итогам составляется акт, может быть выдано предписание об устранении нарушений и оформляется протокол.

Роскомнадзор и суды устанавливают связь между опубликованными данными и конкретным оператором различными способами:

  • Оператор сам подтверждает факт утечки в уведомлении или в ходе проверки.
  • Содержание утечки совпадает с информацией в ИТ-системах оператора. Это выясняется, когда Роскомнадзор исследует системы при проверке (сверяются конкретные значения, набор полей и т. д.).
  • Из содержания утечки следует, что данные относятся к оператору. Например, в файле с данными содержатся указания на его наименование, либо характер деятельности компании предполагает обработку именно таких данных.
  • Утечка содержит данные, совпадающие со скриншотами, которые предоставил оператор.
  • Данные размещены на ресурсе, связанном с оператором (например, опубликованы на его собственном сайте).

Причины утечек персональных данных

Абсолютное большинство (90%) инцидентов происходило в результате действий злоумышленников.

Утечки, вызванные внешним или внутренним воздействием злоумышленников

  1. Несанкционированный доступ без уточнения вектора атаки. В таких случаях в судебных решениях использовались общие формулировки "хакерская атака" или "взлом".
  2. Хакерская атака из-за эксплуатации уязвимостей ПО. Среди них назывались: уязвимости популярных СМS, платформ для интернет-магазинов и других онлайн-сервисов; уязвимости в системах управления базами данных (например, MySQL); ошибки в конфигурации веб-сервера, позволяющие перехватывать данные; уязвимости в VPN, в ПО из категории Open Source, в устаревшем (не обновленном) ПО и даже в тестовом контуре разработки.
  3. Получение доступа к учетной записи администратора или иного пользователя с правами доступа к данным. В судебных решениях упоминались следующие способы: похищение аутентификационных данных; взлом через личные данные сотрудника; доступ через фишинговую рассылку; создание пользователя с административными правами через команды АРІ; подбор логина и пароля, в том числе с использованием учетных данных, ранее скомпрометированных в утечках других компаний.
  4. Внедрение вредоносного кода в систему (SQL-инъекция, технические закладки, XSS-атаки и другие методы).
  5. Атаки типа DDoS. Вероятно, такие атаки сопровождались действиями, направленными на обход мер защиты и доступ к данным, поскольку сами по себе они к утечке не приводят.
  6. Эксплуатация уязвимостей в инфраструктуре подрядчиков (например, подрядчиков, обслуживающих ИТ-инфраструктуру, или хостинг-провайдеров).
  7. Недобросовестные действия сотрудников (как действующих, так и бывших).

Утечки, не связанные с умышленными действиями

  1. Нарушение локальных нормативных актов компании в сфере защиты персональных данных.
  2. Недостаточный уровень осведомленности сотрудников в вопросах информационной безопасности.
  3. Неосторожные действия сотрудников.
  4. Сбои в работе программного обеспечения.
  5. Ошибки при настройке уровней доступа.
  6. Ошибки в коде, приведшие к размещению клиентских данных в публичном репозитории (например, в GitLab).
  7. Наличие уязвимостей в используемом программном обеспечении (без признаков злонамеренного использования).

Аргументы и стратегии компаний в судах

Какие аргументы не помогли избежать ответственности за утечку:

  • "Это была хакерская атака". Факт несанкционированного доступа сам по себе не имеет значения для квалификации нарушения и не освобождает от ответственности. Суды указывали, что оператор не принял все зависящие от него и достаточные меры для защиты данных.
  • "Виноват подрядчик". Суды применяли положения ч. 5 ст. 6 Закона о персональных данных, согласно которой оператор несет ответственность за действия лица, которому поручил обработку.
  • "Данные не являются персональными". Этот довод часто звучал при утечке комбинаций ФИО и телефона/email. Суды не соглашались, опираясь на широкое определение персональных данных. Даже email сам по себе признавался персональными данными для целей квалификации утечки.
  • "Срок давности истек". Утечка квалифицируется как длящееся правонарушение, и срок отсчитывается с даты ее выявления регулятором.

Судебная практика

Постановление мирового судьи по делу № 05–486/468/2022 от 14.12.2022. С тестового стенда системы компании произошла утечка. Компания указала, что причиной стали действия сотрудников подрядной организации, отвечающей за поддержку стенда. Данные в системе не содержали полных идентификационных признаков, а набор цифр и символов, таких как номер телефона и адрес электронной почты, сам по себе не является персональными данными. Суд не согласился с этими доводами.

С тестового стенда была выгружена таблица с архивными сведениями о клиентах (ФИО, пол, телефон и электронная почта), которые суд квалифицировал в качестве персональных данных. Аргументы о вине подрядчика были отклонены: суд указал, что наличие договорных отношений не освобождает оператора от ответственности.

Итог: штраф в размере 60 тыс. руб.

Смягчающие обстоятельства и действия, которые помогли снизить ответственность

Смягчающие обстоятельства были применены в 58% дел. В их отсутствие в 99% случаев назначался штраф.

Самые частые смягчающие факторы: совершение правонарушения впервые (66 дел), признание вины (53), устранение нарушений (45) и статус МСП (34).

Наиболее эффективной стратегией было продемонстрировать суду комплекс мер, принятых на трех этапах:

  1. Меры до инцидента. Суд учитывал, были ли до инцидента приняты "необходимые и достаточные" технические и организационные меры по защите персональных данных. Например, компании приобщали к делу копии внутренних документов, подтверждающих выполнение требований Закона о персональных данных. Суд также принимал во внимание наличие и использование средств защиты информации.
  2. Реакция на инцидент. Суды оперативно оценивали действия по реагированию на инцидент и минимизации негативных последствий. Среди таких действий указывались, например, уведомление Роскомнадзора, проведение внутреннего расследования, ограничение доступа к скомпрометированным системам, смена паролей и технологических учетных записей, изоляция затронутых компонентов инфраструктуры, а также подача заявления о преступлении в правоохранительные органы, обращение в ФСБ России и НКЦКИ.
  3. После инцидента. В судебных решениях также указывались меры по усилению безопасности после инцидента.

Например, аудит ПО, оценка рисков, закупка дополнительных средств защиты (WAF, IDS), обновление ПО и антивирусных баз, найм специалистов по ИБ.

Самым сильным аргументом для полного прекращения дела было признание компании потерпевшей стороной по уголовному делу. В двух делах, где компании представили соответствующее постановление, административное преследование было прекращено за отсутствием состава правонарушения.

Полная версия обзора доступна на сайте компании Privacy Tech [2].

  1. Обзор изменений в КоАП РФ: https://privacy-tech.ru/news/novye-shtrafy-za-narusheniya-v-sfere-personalnyh-dannyh  
  2. https://privacy-tech.ru/news/otvetstvennost-za-utechki-personalnyh-dannyh-obzor-sudebnoj-praktiki-za-2022-2025-gg  
Темы:Персональные данныеСудебная практикаЖурнал "Информационная безопасность" №3, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Может ли крупный бизнес защитить ПДн для МСП?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
  • Защита персональных данных с нуля до гигиенического минимума
    С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.
  • Виртуальные офисы для реальной безопасности
    Игорь Вербицкий, директор по информационной безопасности Яндекс 360
    Главное отличие виртуального офиса от набора отдельных сервисов – в управляемости: администратор видит, кто и как работает с данными, может настроить права доступа, обеспечить резервное копирование и защиту.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности