Утечка персональных данных в 2026 году

Обновлено: март 2026 · 14 мин чтения

30 мая 2025 года в России вступили в силу оборотные штрафы за утечки персональных данных. Теперь любая компания в России, допустившая утечку, рискует заплатить не фиксированную сумму, а процент от годовой выручки — до 500 миллионов рублей при повторном инциденте. Ниже разбираем, как устроена новая система ответственности, что делать в первые часы после утечки и как защитить бизнес заранее.

Содержание

  1. 1. Оборотные штрафы с 30 мая 2025
  2. 2. Повторная утечка: 1–3% годовой выручки
  3. 3. Уведомление Роскомнадзора: 24 часа на реакцию
  4. 4. Уголовная ответственность
  5. 5. Как минимизировать риски
  6. 6. Проверьте защищённость вашего сайта

1. Оборотные штрафы с 30 мая 2025

Федеральный закон № 420-ФЗ от 30.11.2024 радикально изменил систему наказаний за утечки. Вместо прежних 60–100 тыс. рублей штрафы теперь привязаны к масштабу инцидента — количеству пострадавших субъектов и категории данных.

Ключевой принцип: чем больше людей затронула утечка, тем выше штраф. Для крупных утечек (свыше 100 000 субъектов) введён оборотный штраф — процент от годовой выручки компании.

Масштаб утечкиСтатья КоАПШтраф для юрлиц
1 000 – 10 00013.11 ч.113 – 5 млн ₽
10 000 – 100 00013.11 ч.125 – 10 млн ₽
100 000+13.11 ч.12до 15 млн ₽ / 1-3% выручки
Спецкатегории (биометрия, здоровье)13.11 ч.13до 15 млн ₽
Повторная утечка (любой объём)13.11 ч.14до 500 млн ₽ / 1-3% выручки

Важно: штраф назначается за сам факт утечки

Роскомнадзору не нужно доказывать халатность или умысел. Достаточно установить, что данные оказались в открытом доступе или были переданы третьим лицам без законных оснований. Даже если утечку совершил хакер — отвечает оператор персональных данных.

Для должностных лиц штрафы тоже выросли: от 800 тыс. до 2 млн рублей в зависимости от масштаба. Индивидуальные предприниматели приравнены к должностным лицам.

2. Повторная утечка: до 3% годовой выручки

Самые жёсткие санкции предусмотрены за повторную утечку. Если компания уже привлекалась к ответственности по ст. 13.11 КоАП за утечку данных и допустила новый инцидент, штраф рассчитывается как процент от выручки за предшествующий календарный год.

Повторная утечка — до 500 млн рублей

Штраф составляет от 1% до 3% совокупной выручки за предшествующий год, но не менее 20 млн рублей и не более 500 млн рублей (ч. 14 ст. 13.11 КоАП в новой редакции).

Для компании с годовой выручкой 1 млрд рублей повторная утечка обойдётся минимум в 20 млн рублей, а при максимальном проценте — в 30 млн. Для крупного бизнеса с выручкой 20 млрд суммы достигают 200–500 млн.

Что считается повторной утечкой

  • Предыдущее постановление по ст. 13.11 ч. 11–13 КоАП вступило в законную силу, и срок «административной наказанности» (1 год) ещё не истёк
  • Произошла новая утечка — неважно, какого масштаба. Даже 100 записей при повторном нарушении квалифицируются по ч. 14
  • Утечка зафиксирована Роскомнадзором, правоохранительными органами или обнаружена в открытых источниках (даркнет, Telegram-каналы, публичные дампы)

Смягчающие обстоятельства

Закон предусматривает возможность снижения штрафа, если компания:

  • В течение предшествующих трёх лет направляла не менее 0,1% выручки на мероприятия по защите персональных данных (сертифицированные средства защиты, аудит, обучение)
  • Соблюдала требования к защите данных, установленные Правительством РФ и ФСБ, что подтверждено документально
  • Уведомила Роскомнадзор в установленные сроки и приняла меры по устранению последствий

При наличии всех смягчающих обстоятельств суд может снизить штраф, но не ниже минимального порога — 20 млн рублей для повторного нарушения.

3. Уведомление Роскомнадзора: 24 часа на реакцию

С 1 сентября 2022 года (ст. 21.1 152-ФЗ) оператор обязан уведомить Роскомнадзор об утечке в два этапа. Несоблюдение сроков — отдельное административное нарушение, которое увеличивает итоговый штраф.

1

В течение 24 часов — первичное уведомление

Как только компания обнаружила или получила информацию об инциденте, у неё есть 24 часа на отправку первичного уведомления в Роскомнадзор. Уведомление подаётся через портал pd.rkn.gov.ru (раздел «Уведомление о факте неправомерной или случайной передачи»).

Что указать в первичном уведомлении:

  • • Наименование оператора, ИНН, контактные данные
  • • Дата и время обнаружения инцидента
  • • Предполагаемая причина утечки
  • • Предполагаемый вред субъектам ПДн
  • • Принятые и планируемые меры по устранению последствий
  • • Контакты ответственного за организацию обработки ПДн
2

В течение 72 часов — результаты внутреннего расследования

В течение 72 часов с момента обнаружения инцидента оператор обязан дополнить уведомление результатами внутреннего расследования.

Что указать в дополнении:

  • • Результаты внутреннего расследования
  • • Установленная причина инцидента
  • • Перечень категорий скомпрометированных данных (ФИО, паспорт, телефон и т.д.)
  • • Количество пострадавших субъектов (точное или приблизительное)
  • • Информация о виновных лицах (если установлены)
  • • Принятые меры по минимизации негативных последствий
3

Параллельно — уведомление в ГосСОПКА

Одновременно с подачей уведомления в Роскомнадзор оператор обязан сообщить об инциденте в ГосСОПКА (государственную систему обнаружения и предотвращения компьютерных атак) через НКЦКИ ФСБ России. Форма подаётся через personal-data.gov.ru или по электронной почте incident@cert.gov.ru.

Штраф за неуведомление

За нарушение порядка уведомления Роскомнадзора об утечке предусмотрен отдельный штраф: до 3 млн рублей для юрлиц (ч. 15 ст. 13.11 КоАП). Штраф назначается даже в том случае, если компания устранила последствия утечки, но опоздала с уведомлением.

Не ждите утечку — проверьте сайт сейчас

Бесплатный аудит за 30 секунд покажет уязвимости в обработке персональных данных на вашем сайте.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. Уголовная ответственность за утечку данных

Помимо административных штрафов, за утечку персональных данных предусмотрена уголовная ответственность. С 2024 года перечень составов расширен — теперь под уголовное преследование попадают не только хакеры, но и сотрудники компаний, сливающие базы данных.

Статья 272 УК РФ — неправомерный доступ к компьютерной информации

  • Базовый состав (ч. 1): штраф до 200 тыс. рублей, исправительные работы до 1 года или лишение свободы до 2 лет
  • С причинением крупного ущерба или из корыстной заинтересованности (ч. 2): штраф до 300 тыс. рублей или лишение свободы до 4 лет
  • Группой лиц или с использованием служебного положения (ч. 3): штраф до 500 тыс. рублей или лишение свободы до 5 лет
  • Тяжкие последствия или угроза их наступления (ч. 4): лишение свободы до 7 лет

Статья 137 УК РФ — нарушение неприкосновенности частной жизни

Применяется, когда утечка затрагивает сведения о частной жизни: медицинские данные, переписку, сведения о личной и семейной тайне.

  • Базовый состав (ч. 1): штраф до 200 тыс. рублей, обязательные работы до 360 часов или лишение свободы до 2 лет
  • С использованием служебного положения (ч. 2): штраф до 300 тыс. рублей или лишение свободы до 4 лет с лишением права занимать должность до 5 лет

Новая статья 272.1 УК РФ — незаконный оборот персональных данных

С 30 мая 2025 года действует новая статья 272.1 УК РФ, направленная против торговли похищенными базами данных. Под действие попадают:

  • Незаконное использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные — лишение свободы до 4 лет
  • Те же действия в отношении спецкатегорий (биометрия, данные несовершеннолетних, медицинские сведения) — до 5 лет
  • Трансграничная передача похищенных данных — до 8 лет лишения свободы
  • Создание ресурсов для незаконного распространения ПДн — до 5 лет

Сотрудники тоже рискуют

Если утечка произошла по вине конкретного работника (например, менеджер скопировал клиентскую базу на личный носитель), уголовное дело возбуждается в отношении этого сотрудника. Компания при этом несёт административную ответственность параллельно. Двойное наказание — административное для юрлица и уголовное для физлица — допускается законом.

5. Как минимизировать риски утечки

Полностью исключить утечку невозможно, но грамотная подготовка снижает и вероятность инцидента, и размер штрафа (помните про смягчающие обстоятельства).

Технические меры

  • Шифрование данных at rest и in transit (TLS 1.2+, AES-256 для баз данных)
  • Разграничение доступа по принципу минимальных привилегий — каждый сотрудник видит только те данные, которые нужны для работы
  • Журналирование всех операций с ПДн — кто, когда и к каким данным обращался
  • Регулярное обновление ПО, патчинг уязвимостей, WAF для веб-приложений
  • Двухфакторная аутентификация для администраторов и сотрудников с доступом к ПДн
  • Резервное копирование с проверкой восстановления — утечка не должна привести к потере данных

Организационные меры

  • Назначение ответственного за обработку ПДн (DPO) — обязательно для компаний, обрабатывающих данные более 100 000 субъектов
  • Инвентаризация данных: какие ПДн собираете, где храните, кому передаёте, когда удаляете
  • Внутренние регламенты реагирования на инциденты — кто уведомляет РКН, кто проводит расследование, кто общается со СМИ
  • Обучение сотрудников: социальная инженерия остаётся причиной 50%+ утечек
  • Регулярный аудит — не реже раза в год, с документированием результатов (пригодится как смягчающее обстоятельство)

Для сайтов и веб-приложений

  • Актуальная политика конфиденциальности, соответствующая реальной практике обработки данных
  • Получение согласия до начала обработки — чекбоксы в формах, cookie-баннеры
  • SSL-сертификат и HTTPS на всех страницах, где передаются ПДн
  • Хранение данных на серверах в РФ (требование локализации по ст. 18 ч. 5 152-ФЗ)
  • Минимизация данных — не собирайте то, что не нужно для заявленных целей

Проверьте защищённость вашего сайта

Автоматический аудит выявит проблемы с обработкой персональных данных за 30 секунд. Узнайте, насколько ваш сайт готов к проверке Роскомнадзора.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← Штрафы за нарушение152-ФЗ простым языкомЧек-лист проверки →

Вопросы и ответы

За сколько часов нужно уведомить Роскомнадзор об утечке данных?

24 часа на первичное уведомление о факте утечки и 72 часа на отчёт о результатах внутреннего расследования. Уведомление подаётся через портал Роскомнадзора. Пропуск сроков — отягчающее обстоятельство при назначении штрафа.

Какой максимальный штраф за утечку персональных данных в 2026 году?

До 500 млн ₽ или 3% годовой выручки — при повторной утечке (ст. 13.11 ч.14 КоАП). Для первого инцидента — до 15 млн ₽ при утечке свыше 100 000 записей. Штраф назначается за сам факт утечки, доказывать умысел не нужно.

Отвечает ли компания за утечку, если её взломали хакеры?

Да. Оператор персональных данных несёт ответственность за утечку независимо от причины — хакерская атака, ошибка сотрудника или уязвимость в софте. По закону обязанность защиты данных лежит на операторе, а не на третьих лицах.

Можно ли снизить штраф за утечку данных?

Да, если компания в течение 3 лет тратила не менее 0,1% выручки на защиту ПДн, соблюдала требования ФСБ и уведомила РКН в установленные сроки. Суд может снизить сумму, но не ниже 20 млн ₽ для повторного нарушения.

Грозит ли уголовная ответственность за утечку персональных данных?

Да, с 2025 года введена уголовная ответственность за незаконный сбор, хранение и распространение ПДн (ст. 272.1 УК РФ). Наказание — до 10 лет лишения свободы при крупном ущербе или использовании служебного положения.

Источники и ссылки

Читайте также

152-ФЗ простым языкомШтрафы за нарушение 152-ФЗЧек-лист проверки сайтаСогласие на обработку ПДн
Все статьи →

Статья носит информационный характер и не является юридической консультацией. Для получения правовой помощи по конкретной ситуации обратитесь к квалифицированному юристу. Информация актуальна на март 2026 года и может измениться при внесении поправок в законодательство.