С 30 мая 2025 года в России вступают в силу изменения законодательства, вводящие новый механизм ответственности за утечки персональных данных — оборотные штрафы. Соответствующие поправки внесены Федеральным законом от 30 ноября 2024 года № 420-ФЗ, которым дополнена статья 13.11 Кодекса Российской Федерации об административных правонарушениях. Впервые предусмотрены санкции, соразмерные масштабу бизнеса: штрафы за повторные инциденты могут достигать до 3% от годовой выручки компании, но не менее 20 млн рублей. Советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян рассказала о том, как как бизнесу не попасть под штрафы.
Почему появились оборотные штрафы.
По данным Роскомнадзора, в 2023 году было зафиксировано более 1400 инцидентов с утечками персональных данных, что почти в два раза больше по сравнению с 2022 годом. Утекали базы с паспортными данными, телефонами, медицинскими картами, данными банковских карт. В резонансных случаях — таких как инциденты с «Гемотестом», — в публичный доступ попадали сотни тысяч и даже миллионы записей.
В 2023 году также была зафиксирована тревожная динамика: по исследованию компании Surfshark, Россия вошла в пятерку стран с наибольшим числом утечек персональных данных за последние два года. Количество пострадавших аккаунтов превысило 100 млн, при этом во многих случаях данные были доступны в даркнете менее чем через сутки после инцидента.
Оборотные штрафы стали частью новой стратегии регулирования в области ПДн, целью которой является создание стимулов для бизнеса повышать уровень информационной безопасности. До этого максимальные штрафы за нарушения составляли всего до 75 тыс. рублей — очевидно, такая мера не работала с крупными игроками.
Международный опыт: не первый прецедент.
В Европе с момента вступления в силу общего регламента по защите данных (GDPR) в 2018 году сумма штрафов за нарушение правил обработки ПД превысила 4 миллиарда евро. Крупнейшие кейсы — Amazon (€746 млн), WhatsApp (€225 млн), Meta (€1,2 млрд в 2023 году). Европейская модель также предусматривает штрафы до 4% от годового оборота компании — и этот механизм показал свою эффективность.
В США, несмотря на отсутствие единого федерального закона, ответственность за утечки регулируется отраслевыми и региональными актами. К примеру, в Калифорнии действуют штрафы по закону CCPA, а Федеральная торговая комиссия (FTC) регулярно накладывает многомиллионные санкции за утечки данных и ввод клиентов в заблуждение. Это формирует практику, при которой соблюдение стандартов кибербезопасности становится обязательным элементом бизнес-модели.
Кому стоит волноваться в первую очередь.
Российская модель оборотных штрафов пока применяется точечно, однако правоприменение обещает быть активным. Под особым риском оказываются компании:
• обрабатывающие большой массив ПД — банки, клиники, ритейл, маркетплейсы, EdTech и онлайн-сервисы,
Именно такие компании первыми рискуют попасть под оборотные санкции. Судебная практика и первые проверки покажут примеры, но готовиться к ним стоит уже сейчас.
1. Провести аудит обработки персональных данных. Нужно зафиксировать, какие данные собираются, на каком основании, где и как хранятся, кому передаются. Это основа для соблюдения принципа минимизации данных и информационной безопасности.
Оборотные штрафы — это не просто ужесточение законодательства. Это сигнал бизнесу: защита персональных данных становится обязательным стандартом, таким же, как бухгалтерский учет или налоговая отчетность. В условиях цифровой экономики, где данные — это актив, игнорирование требований может обернуться миллионными убытками и потерей доверия клиентов. Компании, которые первыми осознают это, и начнут действовать на опережение, окажутся в выигрыше — как с точки зрения регулирования, так и в глазах рынка.
Автор — советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян.
Автор выражает личное мнение, которое может не совпадать с позицией редакции.
