В России ужесточили наказания за утечки. Теперь ведомство проводит собственные расследования. Компании столкнулись с новыми реалиями. Штрафы достигают огромных сумм.
С весны 2025 года для российских компаний, работающих с персональными данными, наступила новая реальность. Вступившие в силу поправки в Кодекс об административных правонарушениях наделили Роскомнадзор беспрецедентными полномочиями. Теперь ведомство может самостоятельно инициировать и проводить полноценные административные расследования по фактам утечек, что кардинально меняет правила игры в сфере цифровой безопасности.
Первые результаты не заставили себя ждать. По информации, предоставленной пресс-службой ГУ МВД России по Санкт-Петербургу и Ленинградской области, за период с июня по октябрь текущего года регулятор уже запустил 16 таких процедур. В подавляющем большинстве случаев, а именно в 15, факты неправомерной передачи конфиденциальной информации подтвердились. По итогам проверок были составлены протоколы по статье 13.11 КоАП РФ и все дела направлены в суды для вынесения решений о привлечении виновных к ответственности.
Что же представляет собой новый механизм? Административное расследование позволяет сотрудникам Роскомнадзора действовать по аналогии со следственными органами при работе с экономическими преступлениями. Они получили право собирать доказательную базу, направлять официальные запросы операторам данных, а главное - детально устанавливать масштабы инцидента и круг пострадавших лиц. Это дает возможность не просто констатировать факт утечки, а глубоко изучить ее причины и последствия.
Ключевым нововведением стала и дифференцированная система штрафов, размер которых теперь напрямую зависит от количества скомпрометированных записей. Если утечка затронула данные более тысячи граждан (или 10 тысяч идентификаторов), компании грозит штраф от 3 до 5 миллионов рублей. При компрометации сведений свыше 10 тысяч человек (или 100 тысяч идентификаторов) сумма взыскания возрастает до 5-10 миллионов. А в случае, если пострадали более 100 тысяч россиян (или утек 1 миллион идентификаторов), оператору придется заплатить от 10 до 15 миллионов рублей. Такая градация призвана сделать финансовую ответственность соразмерной нанесенному ущербу.
Под удар попадают все операторы персональных данных - от крупных банков и онлайн-ритейлеров до небольших мобильных приложений и индивидуальных предпринимателей, которые собирают, хранят и обрабатывают любую информацию о своих пользователях. Цель законодательных изменений - повысить ответственность бизнеса и усилить защиту цифровых прав граждан в условиях постоянно растущих киберугроз.