Утечка персональных данных в 2026 году

Обновлено: март 2026 · 14 мин чтения

30 мая 2025 года в России вступили в силу оборотные штрафы за утечки персональных данных. Теперь компания, допустившая утечку, рискует заплатить не фиксированную сумму, а процент от годовой выручки — до 500 миллионов рублей при повторном инциденте. Ниже разбираем, как устроена новая система ответственности, что делать в первые часы после утечки и как защитить бизнес заранее.

Содержание

  1. 1. Оборотные штрафы с 30 мая 2025
  2. 2. Повторная утечка: 1–3% годовой выручки
  3. 3. Уведомление Роскомнадзора: 24 часа на реакцию
  4. 4. Уголовная ответственность
  5. 5. Как минимизировать риски
  6. 6. Проверьте защищённость вашего сайта

1. Оборотные штрафы с 30 мая 2025

Федеральный закон № 420-ФЗ от 30.11.2024 радикально изменил систему наказаний за утечки. Вместо прежних 60–100 тыс. рублей штрафы теперь привязаны к масштабу инцидента — количеству пострадавших субъектов и категории данных.

Ключевой принцип: чем больше людей затронула утечка, тем выше штраф. Для крупных утечек (свыше 100 000 субъектов) введён оборотный штраф — процент от годовой выручки компании.

Масштаб утечкиСтатья КоАПШтраф для юрлиц
1 000 – 10 00013.11 ч.113 – 5 млн ₽
10 000 – 100 00013.11 ч.125 – 10 млн ₽
100 000+13.11 ч.12до 15 млн ₽ / 1-3% выручки
Спецкатегории (биометрия, здоровье)13.11 ч.13до 15 млн ₽
Повторная утечка (любой объём)13.11 ч.14до 500 млн ₽ / 1-3% выручки

Важно: штраф назначается за сам факт утечки

Роскомнадзору не нужно доказывать халатность или умысел. Достаточно установить, что данные оказались в открытом доступе или были переданы третьим лицам без законных оснований. Даже если утечку совершил хакер — отвечает оператор персональных данных.

Для должностных лиц штрафы тоже выросли: от 800 тыс. до 2 млн рублей в зависимости от масштаба. Индивидуальные предприниматели приравнены к должностным лицам.

2. Повторная утечка: до 3% годовой выручки

Самые жёсткие санкции предусмотрены за повторную утечку. Если компания уже привлекалась к ответственности по ст. 13.11 КоАП за утечку данных и допустила новый инцидент, штраф рассчитывается как процент от выручки за предшествующий календарный год.

Повторная утечка — до 500 млн рублей

Штраф составляет от 1% до 3% совокупной выручки за предшествующий год, но не менее 20 млн рублей и не более 500 млн рублей (ч. 14 ст. 13.11 КоАП в новой редакции).

Для компании с годовой выручкой 1 млрд рублей повторная утечка обойдётся минимум в 20 млн рублей, а при максимальном проценте — в 30 млн. Для крупного бизнеса с выручкой 20 млрд суммы достигают 200–500 млн.

Что считается повторной утечкой

  • Предыдущее постановление по ст. 13.11 ч. 11–13 КоАП вступило в законную силу, и срок «административной наказанности» (1 год) ещё не истёк
  • Произошла новая утечка — неважно, какого масштаба. Даже 100 записей при повторном нарушении квалифицируются по ч. 14
  • Утечка зафиксирована Роскомнадзором, правоохранительными органами или обнаружена в открытых источниках (даркнет, Telegram-каналы, публичные дампы)

Смягчающие обстоятельства

Закон предусматривает возможность снижения штрафа, если компания:

  • В течение предшествующих трёх лет направляла не менее 0,1% выручки на мероприятия по защите персональных данных (сертифицированные средства защиты, аудит, обучение)
  • Соблюдала требования к защите данных, установленные Правительством РФ и ФСБ, что подтверждено документально
  • Уведомила Роскомнадзор в установленные сроки и приняла меры по устранению последствий

При наличии всех смягчающих обстоятельств суд может снизить штраф, но не ниже минимального порога — 20 млн рублей для повторного нарушения.

3. Уведомление Роскомнадзора: 24 часа на реакцию

С 1 сентября 2022 года (ст. 21.1 152-ФЗ) оператор обязан уведомить Роскомнадзор об утечке в два этапа. Несоблюдение сроков — отдельное административное нарушение, которое увеличивает итоговый штраф.

1

В течение 24 часов — первичное уведомление

Как только компания обнаружила или получила информацию об инциденте, у неё есть 24 часа на отправку первичного уведомления в Роскомнадзор. Уведомление подаётся через портал pd.rkn.gov.ru (раздел «Уведомление о факте неправомерной или случайной передачи»).

Что указать в первичном уведомлении:

  • • Наименование оператора, ИНН, контактные данные
  • • Дата и время обнаружения инцидента
  • • Предполагаемая причина утечки
  • • Предполагаемый вред субъектам ПДн
  • • Принятые и планируемые меры по устранению последствий
  • • Контакты ответственного за организацию обработки ПДн
2

В течение 72 часов — результаты внутреннего расследования

В течение 72 часов с момента обнаружения инцидента оператор обязан дополнить уведомление результатами внутреннего расследования.

Что указать в дополнении:

  • • Результаты внутреннего расследования
  • • Установленная причина инцидента
  • • Перечень категорий скомпрометированных данных (ФИО, паспорт, телефон и т.д.)
  • • Количество пострадавших субъектов (точное или приблизительное)
  • • Информация о виновных лицах (если установлены)
  • • Принятые меры по минимизации негативных последствий
3

Параллельно — уведомление в ГосСОПКА

Одновременно с подачей уведомления в Роскомнадзор оператор обязан сообщить об инциденте в ГосСОПКА (государственную систему обнаружения и предотвращения компьютерных атак) через НКЦКИ ФСБ России. Форма подаётся через personal-data.gov.ru или по электронной почте incident@cert.gov.ru.

Штраф за неуведомление

За нарушение порядка уведомления Роскомнадзора об утечке предусмотрен отдельный штраф: до 3 млн рублей для юрлиц (ч. 15 ст. 13.11 КоАП). Штраф назначается даже в том случае, если компания устранила последствия утечки, но опоздала с уведомлением.

Не ждите утечку — проверьте сайт сейчас

Бесплатный аудит за 30 секунд покажет уязвимости в обработке персональных данных на вашем сайте.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. Уголовная ответственность за утечку данных

Помимо административных штрафов, за утечку персональных данных предусмотрена уголовная ответственность. С 2024 года перечень составов расширен — теперь под уголовное преследование попадают не только хакеры, но и сотрудники компаний, сливающие базы данных.

Статья 272 УК РФ — неправомерный доступ к компьютерной информации

  • Базовый состав (ч. 1): штраф до 200 тыс. рублей, исправительные работы до 1 года или лишение свободы до 2 лет
  • С причинением крупного ущерба или из корыстной заинтересованности (ч. 2): штраф до 300 тыс. рублей или лишение свободы до 4 лет
  • Группой лиц или с использованием служебного положения (ч. 3): штраф до 500 тыс. рублей или лишение свободы до 5 лет
  • Тяжкие последствия или угроза их наступления (ч. 4): лишение свободы до 7 лет

Статья 137 УК РФ — нарушение неприкосновенности частной жизни

Применяется, когда утечка затрагивает сведения о частной жизни: медицинские данные, переписку, сведения о личной и семейной тайне.

  • Базовый состав (ч. 1): штраф до 200 тыс. рублей, обязательные работы до 360 часов или лишение свободы до 2 лет
  • С использованием служебного положения (ч. 2): штраф до 300 тыс. рублей или лишение свободы до 4 лет с лишением права занимать должность до 5 лет

Новая статья 272.1 УК РФ — незаконный оборот персональных данных

С 30 мая 2025 года действует новая статья 272.1 УК РФ, направленная против торговли похищенными базами данных. Под действие попадают:

  • Незаконное использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные — лишение свободы до 4 лет
  • Те же действия в отношении спецкатегорий (биометрия, данные несовершеннолетних, медицинские сведения) — до 5 лет
  • Трансграничная передача похищенных данных — до 8 лет лишения свободы
  • Создание ресурсов для незаконного распространения ПДн — до 5 лет

Сотрудники тоже рискуют

Если утечка произошла по вине конкретного работника (например, менеджер скопировал клиентскую базу на личный носитель), уголовное дело возбуждается в отношении этого сотрудника. Компания при этом несёт административную ответственность параллельно. Двойное наказание — административное для юрлица и уголовное для физлица — допускается законом.

5. Как минимизировать риски утечки

Полностью исключить утечку невозможно, но грамотная подготовка снижает и вероятность инцидента, и размер штрафа (помните про смягчающие обстоятельства).

Технические меры

  • Шифрование данных at rest и in transit (TLS 1.2+, AES-256 для баз данных)
  • Разграничение доступа по принципу минимальных привилегий — каждый сотрудник видит только те данные, которые нужны для работы
  • Журналирование всех операций с ПДн — кто, когда и к каким данным обращался
  • Регулярное обновление ПО, патчинг уязвимостей, WAF для веб-приложений
  • Двухфакторная аутентификация для администраторов и сотрудников с доступом к ПДн
  • Резервное копирование с проверкой восстановления — утечка не должна привести к потере данных

Организационные меры

  • Назначение ответственного за обработку ПДн (DPO) — обязательно для компаний, обрабатывающих данные более 100 000 субъектов
  • Инвентаризация данных: какие ПДн собираете, где храните, кому передаёте, когда удаляете
  • Внутренние регламенты реагирования на инциденты — кто уведомляет РКН, кто проводит расследование, кто общается со СМИ
  • Обучение сотрудников: социальная инженерия остаётся причиной 50%+ утечек
  • Регулярный аудит — не реже раза в год, с документированием результатов (пригодится как смягчающее обстоятельство)

Для сайтов и веб-приложений

  • Актуальная политика конфиденциальности, соответствующая реальной практике обработки данных
  • Получение согласия до начала обработки — чекбоксы в формах, cookie-баннеры
  • SSL-сертификат и HTTPS на всех страницах, где передаются ПДн
  • Хранение данных на серверах в РФ (требование локализации по ст. 18 ч. 5 152-ФЗ)
  • Минимизация данных — не собирайте то, что не нужно для заявленных целей

Проверьте защищённость вашего сайта

Автоматический аудит выявит проблемы с обработкой персональных данных за 30 секунд. Узнайте, насколько ваш сайт готов к проверке Роскомнадзора.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← Штрафы за нарушение152-ФЗ простым языкомЧек-лист проверки →

Статья носит информационный характер и не является юридической консультацией. Для получения правовой помощи по конкретной ситуации обратитесь к квалифицированному юристу. Информация актуальна на март 2026 года и может измениться при внесении поправок в законодательство.