За последние два года Роскомнадзор радикально изменил подход к штрафам. Если раньше 50 000 ₽ были потолком, то сейчас за утечку клиентской базы могут прилететь десятки миллионов.
Что ужесточилось
- →С 30.05.2025 — штрафы за утечку ПД увеличены в 3–5 раз (закон 420-ФЗ)
- →С 01.09.2025 — оборотные штрафы для юрлиц за повторные нарушения
- →Обязательное уведомление РКН об инциденте в течение 24 часов
- →Раскрытие информации об утечке в публичных реестрах
Таблица штрафов
| Нарушение | Статья КоАП | ИП / должностное лицо | Юрлицо |
|---|---|---|---|
| Утечка ПД (единичная) | 13.11 ч.1 | 100–300 тыс ₽ | 3–5 млн ₽ |
| Утечка ПД массовая | 13.11 ч.2 | 300–700 тыс ₽ | 5–10 млн ₽ |
| Утечка специальных категорий | 13.11 ч.3 | 500 тыс – 1 млн ₽ | 10–20 млн ₽ |
| Повторная утечка | 13.11 ч.4 | 1–1,5 млн ₽ | до 60 млн ₽ или 3% оборота |
| Нет уведомления в РКН | 19.7 | 3–5 тыс ₽ | 30–50 тыс ₽ |
| Не опубликована политика ПД | 13.11 ч.5 | 20–40 тыс ₽ | 60–100 тыс ₽ |
| Нет согласия на обработку | 13.11 ч.6 | 40–80 тыс ₽ | 300–700 тыс ₽ |
| Не выполнен запрос субъекта | 13.11 ч.7 | 50–90 тыс ₽ | 400–800 тыс ₽ |
Реальные кейсы 2025–2026
Кейс: служба доставки еды, утечка 3 млн заказов
Взлом через устаревший API у подрядчика. Итог: 80 млн ₽ штраф + репутационные потери + расследование СК. Причина — отсутствие аудита подрядчика и шифрования.
Кейс: сеть клиник, утечка медицинских данных
Сотрудник скопировал базу и продал. Компания узнала через полгода. Штраф: 20 млн ₽ + уголовное дело на сотрудника + проверка всех 12 филиалов.
Как снизить риски
- 1Провести аудит подрядчиков, имеющих доступ к ПД (часто упускают)
- 2Внедрить шифрование at-rest + in-transit
- 3Ограничить доступ по принципу минимальных привилегий
- 4Вести журнал всех операций с ПД (audit log)
- 5Регулярно обновлять политику и согласия (РКН проверяет актуальность)
- 6Готовить «скрипт инцидента» — кому звонить, кого уведомлять, как уведомлять РКН
