Продолжаем цикл «Персональные данные на практике: от хаоса к системе». Мы уже разобрали статус оператора, обязательные документы, уведомление Роскомнадзора, особый режим работы с медицинскими данными и правила обезличивания. Сегодня — самое болезненное для бизнеса: штрафы за утечки персональных данных и то, как суды применяют новые правила в 2026 году.
Что изменилось с 30 мая 2025 года
До 30 мая 2025 года ответственность за утечку ПДн в основном строилась вокруг общих составов ст. 13.11 КоАП РФ (в том числе ч. 1 — неправомерная обработка). Штрафы для организаций были существенно ниже и не зависели от масштаба утечки в той градации, которая действует сейчас.
Затем вступили в силу поправки Федерального закона от 30.11.2024 № 420-ФЗ. В ст. 13.11 КоАП РФ добавлены части 10–18, которые ввели:
- градацию штрафов за утечку в зависимости от числа субъектов ПДн и/или идентификаторов;
- отдельные составы за утечку специальных категорий и биометрических данных;
- оборотные штрафы за повторную утечку — до 3% годовой выручки;
- ответственность за несвоевременное уведомление Роскомнадзора об инциденте и о намерении обрабатывать ПДн.
Параллельно ужесточилась и уголовная ответственность (ФЗ № 421-ФЗ), но в этой статье фокус на административных штрафах по ст. 13.11 КоАП.
Связанные материалы цикла: «Персональные данные — что это вообще?», «Регистрация в реестре Роскомнадзора», «Специальная категория ПДн — медицинские данные».
Таблица штрафов по ст. 13.11 КоАП РФ
Ниже — размеры штрафов для юридических лиц по новым частям ст. 13.11 (вступили в силу с 30.05.2025). Для должностных лиц и ИП действуют отдельные, как правило более низкие санкции.
Важно: штрафы по ч. 16 и ч. 17 не привязаны к количеству субъектов. Утечка даже одной записи о состоянии здоровья или биометрии может повлечь санкции в указанном диапазоне.
Субъекты и идентификаторы: от чего зависит размер штрафа
При определении состава правонарушения учитывается большее из двух показателей:
- Субъекты персональных данных — физические лица, чьи данные утекли.
- Идентификаторы — уникальные обозначения сведений о человеке в информационной системе оператора (примечание 4 к ст. 13.11 КоАП).
Пример: утекла база на 5 000 человек, но в ней 150 000 идентификаторов (несколько записей на каждого). Квалификация может идти по идентификаторам — это ч. 13, а не ч. 12.
Срок уведомления Роскомнадзора об утечке
По ч. 3.1 ст. 21 152-ФЗ оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов с момента, когда стало известно об утечке. Нарушение этого срока — отдельное правонарушение по ч. 11 ст. 13.11 КоАП (1–3 млн ₽ для юрлица), даже если сама утечка квалифицируется по другой части.
Оборотные штрафы за повторную утечку
Самые тяжёлые санкции — за повторное нарушение:
- ч. 15 — повторная утечка по ч. 12–14 (массовые утечки обычных ПДн);
- ч. 18 — повторная утечка спецкатегорий или биометрии.
Размер: от 1% до 3% совокупной выручки за предшествующий год, но:
- по ч. 15 — не менее 20 млн ₽ и не более 500 млн ₽;
- по ч. 18 — не менее 25 млн ₽ и не более 500 млн ₽.
Повторность определяется по правилам ст. 4.6 КоАП: учитываются предыдущие наказания за аналогичные составы. По состоянию на весну 2026 года суды ещё не назначали оборотные штрафы в полном объёме, но законодательная угроза реальна — особенно для крупных операторов с историей инцидентов.
Первые судебные кейсы 2026 года
Несмотря на миллионные санкции в законе, первые решения арбитражных судов показывают смягчение наказания — через ст. 4.1.1 и ст. 4.1.2 КоАП. Это не отменяет жёсткости закона, но показывает, как суды адаптируют практику на переходном этапе.
Кейс 1. Онлайн-школа «ЮКИДС»: 300 000+ субъектов, штраф 400 000 ₽
Дело: № А40-351064/2025, решение АС г. Москвы от 05.03.2026.
Что произошло: из информационной системы ООО «ЮКИДС» (онлайн-школа Ukids) утекла база — около 500 000 строк, более 300 000 субъектов ПДн (ФИО, телефоны, e-mail, статусы взаимодействия). Данные оказались в открытом доступе в Telegram.
Квалификация: ч. 14 ст. 13.11 КоАП — утечка более 100 000 субъектов. Санкция для юрлица: 10–15 млн ₽.
Решение суда: штраф назначен, но в размере 400 000 ₽. Основание — ст. 4.1.2 КоАП: компания является микропредприятием, суд применил штраф в размере, предусмотренном для должностных лиц. Замена штрафа на предупреждение отклонена — суд указал на высокую общественную опасность.
Вывод: формально — массовая утечка с потенциалом многомиллионного штрафа. Фактически — существенное снижение из-за статуса субъекта.
Кейс 2. Платформа investprojects: 70 000 субъектов, предупреждение
Дело: № А56-4733/2026, решение АС Санкт-Петербурга и Ленинградской области от 10.03.2026.
Что произошло: в результате хакерской атаки на SQL-базу сайта investprojects.info утекли ПДн 70 000 субъектов — ФИО, должности, служебные e-mail и телефоны. Оператор самостоятельно уведомил Роскомнадзор.
Квалификация: ч. 13 ст. 13.11 КоАП — утечка от 10 000 до 100 000 субъектов. Санкция: 5–10 млн ₽.
Решение суда: штраф не назначен. Суд применил ст. 4.1.1 КоАП и вынес предупреждение — нарушение впервые, оператор уведомил регулятора, вред жизни, здоровью и имуществу не причинён.
Вывод: квалификация по ч. 13 здесь корректна (70 000 попадает в диапазон). Смягчение — за счёт процессуальных обстоятельств, а не «ошибки» РКН.
Кейс 3. ВС РФ: оператор отвечает за подрядчика
Дело: постановление ВС РФ от 21.01.2026 № 5-АД25-119-К2.
Что произошло: персональные данные сотрудников Минтруда России (около 1 400 субъектов) оказались в открытом доступе в интернете. Базу вёл подрядчик на аутсорсинге; доступ получили злоумышленники. Минтруд ссылался на вину подрядчика.
Квалификация: ч. 1 ст. 13.11 КоАП в редакции, действовавшей на момент инцидента (ноябрь 2023 года). Штраф — 100 000 ₽.
Решение ВС: довод о вине подрядчика отклонён. Оператор обязан контролировать привлечённых лиц и обеспечивать безопасность ПДн на всех этапах обработки. Передача обработки третьему лицу не снимает административную ответственность оператора.
Это не пример применения новых многомиллионных штрафов. Это подтверждение принципа ответственности оператора. Аналогичный инцидент после 30.05.2025 квалифицировали бы по ч. 12 (1 000–10 000 субъектов) — с санкцией 3–5 млн ₽.
Кейс 4. Утечка менее 1 000 субъектов: предупреждение вместо штрафа
Дело: № А27-27136/2025, решение АС Кемеровской области от 19.01.2026.
Что произошло: хакеры получили доступ к базе с ПДн менее 1 000 субъектов. Организация оперативно уведомила Роскомнадзор, сформировала комиссию по расследованию.
Квалификация: ч. 1 ст. 13.11 КоАП (общий состав — неправомерная обработка/утечка вне градации ч. 12–14).
Решение суда: предупреждение по ст. 4.1.1 КоАП — нарушение впервые, уведомление в срок, вред не причинён.
Вывод: при небольшом масштабе и добросовестном реагировании суды склонны к смягчению. Это не означает, что при утечке 70 000 или 300 000 субъектов всегда будет предупреждение — см. кейсы 1 и 2.
Итоги судебной практики: что это значит для бизнеса
Анализ первых решений 2026 года даёт пять практических выводов:
1. Суды пока лояльны — но это переходный период. Многомиллионные штрафы по закону есть, но суды активно применяют ст. 4.1.1 (предупреждение) и ст. 4.1.2 (снижение для микропредприятий). Рассчитывать на это как на постоянную практику — рискованно.
2. Статус компании имеет значение. Микропредприятия могут получить штраф в размере, близком к санкциям для должностных лиц (кейс Ukids — 400 000 ₽ вместо 10–15 млн ₽).
3. Скорость реакции критична. Самостоятельное и своевременное уведомление РКН, расследование инцидента, отсутствие вреда — аргументы в пользу предупреждения (кейс investprojects).
4. Оператор отвечает за подрядчика — всегда. Позиция ВС РФ в 2026 году однозначна: договор с обработчиком не снимает ответственность. Проверяйте договоры, аудируйте подрядчиков, фиксируйте требования к ИБ.
5. Оборотные штрафы — впереди. Пока суды их не назначали, но для организаций с повторными инцидентами это вопрос времени.
Два инструмента смягчения — не путать
Для медицинских организаций
Больницам, стоматологиям, лабораториям и врачебным кабинетам важно помнить:
- медицинские сведения — специальная категория ПДн (ст. 10 152-ФЗ);
- утечка таких данных квалифицируется по ч. 16 ст. 13.11 КоАП — 10–15 млн ₽ независимо от числа пострадавших;
- повторная утечка спецкатегорий — ч. 18 с оборотным штрафом (минимум 25 млн ₽).
На сайте канала есть углублённый тест для медорганизаций: — 12 вопросов, около 3 минут, персональные рекомендации.
Что почитать дальше в цикле
В следующих статьях «Персональные данные на практике: от хаоса к системе»:
- алгоритм действий при утечке — что делать в первые 24 часа;
- как доказывать отсутствие вины и что реально учитывают суды;
- полный чек-лист для малого бизнеса по защите ПДн.
Подписывайтесь на канал «Синтез закона и технологий», чтобы не пропустить практические материалы. Вопросы — в комментариях, разберём на примерах.
Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями на base.garant.ru или consultant.ru.