Ответственность за утечку персональных данных

С 30 мая 2025 года в России ужесточена ответственность за утечку персональных данных (ПДн). После поправок в статье 13.11 КоАП РФ значительно увеличились штрафы для операторов, не обеспечивших надлежащую защиту ПДн. Штрафы могут достигать 500 млн рублей. Мы расскажем, кто отвечает за утечку и какие санкции со стороны Роскомнадзора могут ожидать компанию. 

Кто несет ответственность за утечку персональных данных

Согласно ст. 3 ФЗ от 27.07.2006 № 152-ФЗ, оператором персональных данных признается лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн. Это может быть организация, индивидуальный предприниматель, самозанятый или государственный орган.

Ответственность за утечку данных несет именно оператор, а не подрядчик или сторонний ИТ-сервис, даже если фактический доступ к системе был у них. Но если по вине подрядчика оператор понес убытки, можно взыскать убытки и сумму штрафа в порядке гражданского судопроизводства, если это предусмотрено договором — он обязательно заключается при передаче обработки третьему лицу (ст. 6 и 18.1 ФЗ № 152-ФЗ).

Административная ответственность за утечку 

Утечка персональных данных — это несанкционированный доступ третьих лиц к информации, которая позволяет идентифицировать личность субъектов ПДн: сотрудников, клиентов, других физических лиц. 

В случае неправомерной передачи персональных данных от 1 000 до 10 000 человек предусмотрены следующие штрафы:

1. Для должностных лиц государственных, муниципальных органов или некоммерческих организаций — от 200 000 до 400 000 рублей. 
2. Для ИП и компаний — от 3 до 5 млн рублей.

Такие же суммы административного штрафа — за утечку от 10 000 до 100 000 идентификаторов физических лиц. При более масштабных утечках размер санкций возрастает.

Если незаконно распространены персональные данные специальной категории, наказание строже:

• для указанных выше должностных лиц — от 1 до 1,3 млн рублей;
• для ИП и организаций — от 10 до 15 млн рублей.

Важно! За утечку биометрии штраф может достигать 20 млн рублей. При повторной масштабной утечке компании грозит уже оборотный штраф — 1-3% годовой выручки, но не менее 20 млн и не более 500 млн рублей. 

Уголовная ответственность за утечку персональных данных

ПДн чаще всего хранятся в информационных системах и действия лица, получившего к ним несанкционированный доступ, могут квалифицироваться по статье 272 УК РФ. Если для кражи ПДн использовались вредоносные программы, применяется также статья 273 УК РФ.

Если сотрудник организации нарушает установленные правила эксплуатации средств хранения, обработки или передачи ПДн, в том числе при работе с информационно-телекоммуникационными сетями или конечными устройствами, и это приводит к уничтожению, блокированию, модификации или копированию данных, его действия могут подпадать под статью 274 УК РФ. Нарушение может выражаться, к примеру, в использовании незащищенного оборудования, отказе от антивирусной защиты или обработке данных вне официального рабочего места. Ответственность может наступить как при умысле, так и по неосторожности.

Для квалификации по статье 274 УК РФ необходимо установить, какие именно правила эксплуатации были нарушены. Это могут быть требования, зафиксированные в федеральных законах, подзаконных актах или внутренних документах компании. 

Есть еще и ответственность по ст.272.1 УК РФ. Этой статьей вводятся отдельные, гораздо более жесткие меры за незаконный оборот персональных данных в цифровом пространстве. Если ст.272 наказывает за несанкционированный доступ к компьютерной информации, то ст. 272.1 УК РФ делает преступлением уже сам факт использования, хранения или распространения украденных данных — даже если это лицо лично не взламывало систему.

Под действие статьи подпадает любое незаконное обращение с ПДн, полученными путем хакерских атак, взлома баз или иных вмешательств в работу систем. Это включает:

• сбор, хранение и продажу похищенной информации;
• передачу и распространение таких данных, в том числе через мессенджеры и соцсети;
• создание и администрирование сайтов, баз данных, телеграм-ботов и других ресурсов, предназначенных для торговли украденными персональными данными.

Наказание напрямую зависит от тяжести нарушения: например, за незаконное использование или передачу похищенных ПДн суд может приговорить к штрафу до 300 000 рублей или лишению свободы до 4 лет. Если в оборот вовлечены данные несовершеннолетних, биометрия или специальные категории ПДн — до 5 лет лишения свободы. При тяжких последствиях или действиях организованной группой  — до 10 лет лишения свободы и штраф до 3 млн рублей.

Отдельно предусмотрено наказание за создание и поддержку информационных ресурсов, через которые распространяются похищенные персональные данные. Даже если человек не участвовал в самих кражах, но обеспечивал работу таких сайтов или ботов, ему грозит до 5 лет лишения свободы.

Важно! Ст.272.1 УК РФ не распространяется на случаи, когда персональные данные обрабатываются физлицом исключительно для личных или семейных нужд — например, хранение контактов в телефоне или семейных фото на домашнем компьютере.

Заключение 

В России ответственность за утечку персональных данных в организации постоянно ужесточается. Вы можете избежать крупных штрафов — вплоть до 500 млн рублей, — лишь при наличии устойчивой модели защиты:

• ИТ‑инфраструктура с шифрованием, резервированием, антивирусным мониторингом;
• документация: регламенты, инструкции, журналы доступа, аудит;
• договоры с подрядчиками, где четко зафиксированы требования к работе с ПДн;
• обязательное обучение персонала и оперативное уведомление Роскомнадзора (не позднее 24 часов после инцидента, а также уведомление о результатах расследования направляется в течение 72 часов).
  

Для ИП и организаций несоблюдение требований законодательства чревато штрафами, а ответственных должностных лиц могут привлечь уже по УК РФ. Ужесточение норм в 2025 году — сигнал к приоритетному развитию информационной безопасности и правового комплаенса.