Проверить сайт Тарифы Статьи О сервисе
Бесплатная проверка
Штрафы

Оборотные штрафы за утечку персональных данных

Оборотные штрафы за утечку персональных данных с 2024 года. Размеры, условия, как считается 3% выручки, как подготовиться и снизить риски.

Федеральный закон № 266-ФЗ от 14 июля 2022 года существенно ужесточил административную ответственность за нарушение 152-ФЗ. Среди ключевых нововведений — введение оборотных штрафов за повторные утечки персональных данных, которые вступили в силу с 1 сентября 2024 года. Это сделало Россию одной из немногих стран с реально функционирующими оборотными санкциями в области защиты ПД, сопоставимыми с европейским GDPR.

Размеры оборотных штрафов

Часть 13 ст. 13.11 КоАП предусматривает следующие санкции:

Вид нарушенияШтраф для ЮЛ
Утечка данных от 1 000 до 10 000 субъектов3 млн — 5 млн руб.
Утечка данных от 10 000 до 100 000 субъектов5 млн — 10 млн руб.
Утечка данных свыше 100 000 субъектов10 млн — 15 млн руб.
Повторная утечка (ч. 14)15 млн — 500 млн руб. или 1%–3% выручки (что больше)

Как считается «3% выручки»

При расчёте оборотного штрафа учитывается общая выручка организации за предшествующий год — не только от деятельности, связанной с нарушением, а вся. Для крупного ритейлера с выручкой 100 млрд рублей 3% составят 3 млрд рублей. Это делает оборотные штрафы экзистенциально опасными для крупного бизнеса.

Пример расчёта: Компания с выручкой 10 млрд рублей допустила повторную утечку 150 000 записей данных клиентов. Фиксированный штраф по ч. 14 — до 500 млн рублей. Оборотный вариант: 1% от 10 млрд = 100 млн рублей. Применяется больший из двух: 500 млн рублей.

Что считается «утечкой»

Под утечкой в контексте ст. 13.11 КоАП понимается:

  • Неправомерный доступ к базе данных (взлом).
  • Несанкционированная публикация данных в открытом доступе.
  • Передача данных ненадлежащему получателю в результате ошибки.
  • Внутренняя кража данных сотрудником.

Оператор несёт ответственность за утечку вне зависимости от причин — в том числе, если утечка произошла по вине подрядчика или вследствие кибератаки. Единственное смягчающее обстоятельство — доказательство принятия всех предусмотренных законом мер по защите данных.

Обязанность уведомления об утечке

С момента обнаружения утечки оператор обязан:

  1. В течение 24 часов уведомить Роскомнадзор о факте утечки (что утекло, примерный объём, предварительные причины).
  2. В течение 72 часов направить расширенное уведомление с результатами расследования и перечнем принятых мер.
  3. При наличии уголовно наказуемых признаков — уведомить правоохранительные органы.

Как снизить риски оборотных штрафов

  1. Минимизируйте собираемые данные — храните только то, что действительно необходимо.
  2. Шифруйте хранимые данные — утечка зашифрованных данных существенно снижает размер штрафа.
  3. Ограничивайте доступ — принцип минимальных привилегий снижает поверхность атаки.
  4. Проводите регулярный аудит безопасности.
  5. Разработайте план реагирования на инциденты — заблаговременно, чтобы не тратить драгоценные 24 часа на организационные вопросы.
  6. Документируйте принятые меры защиты — это является доказательством добросовестности при назначении штрафа.

Связанные статьи

Подробнее о полной таблице штрафов по 152-ФЗ читайте в статье Штрафы за нарушение 152-ФЗ в 2026 году: полная таблица. Об обязанностях при утечке данных — в материале Оператор персональных данных: обязанности и ответственность.

Итог

Оборотные штрафы — это сигнал рынку: защита данных перестала быть формальностью и стала вопросом выживания бизнеса. Проверьте уровень технической защиты вашего сайта и готовность к инцидентам с помощью аудита на help152.ru.

Теги: 152-ФЗ Политика конфиденциальности Персональные данные Роскомнадзор

Проверьте свой сайт прямо сейчас

Бесплатно, без регистрации, результат за 30 секунд.
Более 15 201 сайтов уже проверено.

Начать бесплатную проверку