Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1364 подписчика

Как снизить риск штрафа при утечке: документы, практика судов и когда возможно предупреждение

13
7 мин
Продолжаем цикл «Персональные данные на практике: от хаоса к системе». В прошлый раз мы разобрали алгоритм действий при утечке. Сегодня — что реально помогает в суде: от снятия ответственности до смягчения санкции. Утечка — ещё не автоматический приговор к максимальному штрафу. Но и комплект документов сам по себе не гарантирует предупреждение. Суды смотрят на вину, масштаб инцидента и наличие вреда или угрозы вреда. Ниже — что работает на практике и где чаще всего ошибаются. Долгое время в практике складывалось ощущение: утечка произошла — компания виновата. Для назначения штрафа Роскомнадзору зачастую было достаточно констатировать факт нарушения. Ситуация меняется. Суды всё чаще напоминают о ч. 2 ст. 2.1 КоАП РФ: юридическое лицо признаётся виновным, если у него была возможность соблюсти правила, но оно не предприняло для этого всех зависящих от него мер. Иными словами, в споре важно не только «была ли утечка», но и доказана ли вина оператора. И здесь решают документы, технические м
Оглавление

Продолжаем цикл «Персональные данные на практике: от хаоса к системе». В прошлый раз мы разобрали алгоритм действий при утечке. Сегодня — что реально помогает в суде: от снятия ответственности до смягчения санкции.

Утечка — ещё не автоматический приговор к максимальному штрафу. Но и комплект документов сам по себе не гарантирует предупреждение. Суды смотрят на вину, масштаб инцидента и наличие вреда или угрозы вреда. Ниже — что работает на практике и где чаще всего ошибаются.

Суды всё чаще требуют доказывать вину, а не только факт утечки

Долгое время в практике складывалось ощущение: утечка произошла — компания виновата. Для назначения штрафа Роскомнадзору зачастую было достаточно констатировать факт нарушения.

Ситуация меняется. Суды всё чаще напоминают о ч. 2 ст. 2.1 КоАП РФ: юридическое лицо признаётся виновным, если у него была возможность соблюсти правила, но оно не предприняло для этого всех зависящих от него мер.

Иными словами, в споре важно не только «была ли утечка», но и доказана ли вина оператора. И здесь решают документы, технические меры и то, как компания действовала после инцидента.

Три разных исхода в суде — не путайте их

Это главное, что нужно понять до чтения чек-листа.

-2

1. Отмена привлечения к ответственности — штрафа нет вообще. Встречается, когда РКН не доказал вину или утечка произошла при внешней атаке, а компания приняла необходимые меры.

2. Снижение штрафа — штраф есть, но меньше. Работают смягчающие обстоятельства по ст. 4.2 КоАП.

3. Предупреждение вместо штрафа — штраф заменяют на предупреждение. Возможно при выполнении условий ст. 4.1.1 и 3.4 КоАП: впервые + нет вреда и угрозы вреда.

Пример первого исхода: в деле ОАО «РЖД» 9-й арбитражный апелляционный суд отменил штраф 150 тыс. руб. по ч. 1 ст. 13.11 КоАП. Суд учёл внешнюю кибератаку и возбуждённое уголовное дело, указав, что выводы о единоличной вине компании были преждевременными.

Важно: это не «штраф заменили на предупреждение», а отказ в привлечении к ответственности.

Какие составы ст. 13.11 — и чего ждать

Утечка небольшого объёма (до 1000 субъектов) — ч. 1 ст. 13.11. Предупреждение возможно при условиях ст. 4.1.1 КоАП.

Не уведомили РКН об утечке в 24 часа — ч. 11 ст. 13.11. Отдельный штраф 1–3 млн руб. для юрлиц.

Утечка 10 000–100 000 субъектов — ч. 13–14 ст. 13.11. Штрафы — миллионы; предупреждение редко.

Повторная крупная утечка — ч. 15–16 ст. 13.11. Оборотные штрафы до 500 млн руб.

При утечках по ч. 12–18 ст. 13.11 предупреждение — исключение, а не правило. Суды нередко считают, что массовое распространение данных само по себе создаёт угрозу вреда — даже если материальный ущерб не доказан.

Что должно быть в документах

Суд оценивает не заверения, а документальные подтверждения добросовестного подхода к защите данных.

1. Назначен ответственный за обработку ПДн

Приказ о назначении ответственного лица — базовый документ. В нём должны быть чётко прописаны полномочия и зона ответственности.

2. Утверждены локальные акты по ПДн

Минимальный пакет:

  • политика в отношении обработки персональных данных;
  • перечень ПДн и перечень целей обработки;
  • формы согласий на обработку (отдельным документом — как требуют правила с 1 сентября 2025 года);
  • поручения на обработку для подрядчиков (CRM, облако, колл-центр).

3. Внедрены организационно-распорядительные меры

Регламенты: инструктаж сотрудников, допуск к базам, хранение бумажных носителей. Всё — в приказах и инструкциях, а не «на словах».

4. Есть доказательства обучения персонала

Журналы инструктажей, сертификаты, протоколы проверки знаний — весомый аргумент в пользу добросовестности.

5. Внедрены и задокументированы технические средства защиты

Антивирус, СОВ, разграничение доступа, шифрование, 2FA — с актами внедрения, сертификатами соответствия, журналами событий.

Что должно быть в системе защиты

Суды всё чаще смотрят не только на бумаги, но и на реальное исполнение.

Внешняя кибератака как аргумент в защиту

В деле РЖД суд учёл:

  • утечка произошла вследствие внешней кибератаки;
  • по факту атаки возбуждено уголовное дело.

Вывод: логи, заключения экспертов, постановление о возбуждении уголовного дела — сильные доказательства. Но они работают, если параллельно видно, что компания реально внедрила меры защиты, а не формально «имела антивирус».

Реагирование на инцидент

Даже при утечке суд смотрит на скорость реакции:

  • уложились ли в 24 часа с уведомлением Роскомнадзора (ст. 21 ч. 3.1 152-ФЗ);
  • создали ли комиссию по расследованию;
  • подготовили ли отчёт в 72 часа.

Своевременное уведомление — смягчающее обстоятельство (ст. 4.2 КоАП), но само по себе не заменяет условия для предупреждения по ст. 4.1.1.

Добровольное устранение последствий

Смена паролей, внедрение 2FA, дообучение персонала, доработка регламента — аргументы за снижение штрафа.

Судебная практика 2025 — начало 2026: что видно по делам

По анализу 46 решений арбитражных судов (Runetlex, 2025 — начало 2026) среди компаний со смягчающими обстоятельствами в 79% случаев назначали предупреждение вместо штрафа.

Важные оговорки к этой цифре:

  • это не «79% всех компаний избежали штрафа»;
  • по сути рассмотренных дел 41% всё равно получили штраф;
  • выборка — арбитраж, практика которого на новые дела по ст. 13.11 с 2026 года уже не распространяется.

Что чаще всего помогало

Первичность нарушения. Если компания нарушила впервые — это ключевое условие для замены штрафа на предупреждение (ст. 4.1.1 КоАП).

Отсутствие вреда и угрозы вреда. По ст. 3.4 КоАП предупреждение возможно, если нет вреда жизни, здоровью, имуществу граждан и угрозы такого вреда. При массовых утечках суды часто считают угрозу уже доказанной.

Своевременная реакция. Уведомление РКН в срок, расследование, отчёт — смягчают наказание, но не отменяют ответственность автоматически.

Что не работает: «виноват подрядчик»

Оператор отвечает за утечку, даже если она произошла на стороне подрядчика. Договор и поручение на обработку — обязательны, но не освобождают от ответственности перед Роскомнадзором. Регресс к подрядчику — отдельная история.

Изменения 2025–2026: что важно знать

30 мая 2025 года вступили в силу ужесточённые санкции по ст. 13.11 КоАП (ФЗ № 420-ФЗ): новые составы, миллионные и оборотные штрафы, отмена скидки 50% при быстрой уплате.

1 января 2026 года дела по ст. 13.11 снова перешли к мировым судьям (ФЗ № 508-ФЗ от 28.12.2025). Арбитраж рассматривал такие споры меньше года. Теперь:

  • нет привычного арбитражного пути обжалования;
  • нет кассации в Судебную коллегию по экономическим спорам ВС РФ;
  • по ранней статистике мировые судьи жёстче арбитража.

Практические выводы: как подготовиться заранее

  1. Документируйте всё — ответственный, приказы, регламенты, акты внедрения СЗИ, журналы инструктажей.
  2. Внедряйте технические меры и фиксируйте их документально.
  3. Обучайте персонал — регулярно, с протоколами.
  4. Заключайте поручения на обработку с подрядчиками — но помните: ответственность перед РКН остаётся на вас.
  5. Утвердите регламент реагирования на инциденты — чтобы в пятницу вечером не начиналась паника.
  6. Фиксируйте момент обнаружения — от него идут сроки 24 и 72 часа.
  7. Укладывайтесь в сроки — 24 часа на уведомление РКН, 72 часа на отчёт.

Когда штраф могут заменить на предупреждение

По ст. 4.1.1 и 3.4 КоАП для замены штрафа на предупреждение нужно одновременно:

  1. Правонарушение совершено впервые — нет предыдущих постановлений по ст. 13.11.
  2. Нет вреда и угрозы вреда жизни, здоровью или имуществу граждан.
  3. Состав не исключает предупреждение напрямую, а правонарушение выявлено в рамках госконтроля (где применимо).

Своевременное уведомление РКН, расследование и отчёт — смягчают наказание, но не входят в эти два базовых условия.

Если хотя бы одно условие не выполняется — штраф, скорее всего, неизбежен. Но документы и принятые меры всё равно могут существенно снизить его размер.

Для медицинских организаций

На сайте есть углублённый тест для клиник, стоматологий и лабораторий — с учётом спецрежима медданных и ответственности в 2026 году.

Пройти тест: synlawtech.ru/security/pd-test
12 вопросов · ~3 минуты · результат и рекомендации сразу.

Правовые ориентиры

  • Федеральный закон № 152-ФЗ «О персональных данных» (ст. 21 ч. 3.1 — уведомление об утечке);
  • КоАП РФ: ст. 2.1 ч. 2 (вина юрлица), ст. 3.4, 4.1.1, 4.2 (предупреждение и смягчение), ст. 13.11 (ответственность за нарушения в сфере ПДн);
  • Федеральный закон № 420-ФЗ от 30.11.2024 (изменения с 30.05.2025);
  • Федеральный закон № 508-ФЗ от 28.12.2025 (подсудность с 01.01.2026).

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Судебная практика быстро меняется. С 1 января 2026 года новые дела по ст. 13.11 КоАП рассматривают мировые судьи — выводы по арбитражу 2025 года нельзя автоматически переносить на текущие споры. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.

-3

Подписывайтесь на канал «Синтез закона и технологий».

В следующих статьях цикла «Персональные данные на практике: от хаоса к системе»:

  • полный чек-лист для малого бизнеса по защите ПДн;
  • поручение на обработку ПДн: как работать с подрядчиками;
  • назначение ответственного за обработку ПДн — образец приказа.

Если остались вопросы — задавайте в комментариях.

3
Безопасность и правопорядок
95,2 тыс интересуются