Штрафы IT-компании за утечку данных пользователей

Штрафы IT-компании за утечку данных пользователей с 2024 года выросли многократно: поправки к статье 13.11 КоАП РФ ввели оборотные санкции до 3% от совокупной годовой выручки за повторные нарушения. По состоянию на май 2026 года действуют части 12-15 статьи 13.11 КоАП РФ, установившие отдельные составы за утечку персональных данных - в зависимости от объёма скомпрометированных записей и наличия повторности. Для IT-компании с выручкой 500 млн рублей штраф за повторную утечку может превысить 15 млн рублей. Ниже - как рассчитать санкцию, какие факторы её увеличивают и как снизить риски.

Тема актуальна для разработчиков ПО, маркетплейсов, финтех-сервисов, мобильных приложений и любых платформ, обрабатывающих пользовательские данные. Роскомнадзор с 2024 года резко увеличил число проверок: по данным ведомства, в 2024 году возбуждено свыше 200 дел об административных правонарушениях в сфере персональных данных. Ключевые запросы, которые приводят к этой теме: штраф за утечку персональных данных, ответственность IT-компании по КоАП, оборотный штраф за утечку данных, санкции по статье 13.11 КоАП, как рассчитать штраф за утечку данных.

Что изменилось в статье 13.11 КоАП: новые составы и санкции

С 30 мая 2024 года вступили в силу части 12-15 статьи 13.11 КоАП РФ, введённые Федеральным законом от 30 ноября 2023 года № 594-ФЗ. Они установили самостоятельные составы за утечку персональных данных - отдельно от общих нарушений в сфере обработки ПДн. Минимальный штраф для юридического лица по части 12 составляет 3 млн рублей, максимальный по части 15 (повторное нарушение) - 3% от совокупной выручки за предшествующий календарный год, но не менее 15 млн рублей и не более 500 млн рублей.

Части 12-15 разграничивают ответственность по двум критериям: объём утечки и повторность. Часть 12 охватывает первичную утечку от 1 тыс. до 10 тыс. субъектов ПДн или от 10 тыс. до 100 тыс. уникальных идентификаторов. Часть 13 - утечку от 10 тыс. до 100 тыс. субъектов или от 100 тыс. до 1 млн идентификаторов. Часть 14 - свыше 100 тыс. субъектов или свыше 1 млн идентификаторов. Часть 15 применяется при повторном нарушении по любой из частей 12-14 и вводит оборотный штраф.

Типичное заблуждение IT-компаний - считать, что штраф назначается только при доказанном умысле или взломе извне. Состав по частям 12-14 сформулирован как формальный: достаточно самого факта неправомерного распространения данных, независимо от причины. Утечка из-за уязвимости в коде, ошибки сотрудника или атаки третьих лиц - юридически равнозначны для целей привлечения к ответственности.

Параллельно действуют общие составы статьи 13.11 КоАП РФ (части 1-11) - за нарушения порядка обработки ПДн, отсутствие согласия, несоблюдение требований локализации. Они не отменяются новыми нормами и могут применяться одновременно. Таким образом, одна утечка способна повлечь несколько административных дел по разным частям одной статьи.

Пропуск срока уведомления Роскомнадзора об утечке - отдельный риск. Статья 21 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» обязывает оператора уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента (предварительное уведомление) и в течение 72 часов - с полным описанием. Нарушение этих сроков образует самостоятельный состав по части 1 статьи 13.11 КоАП РФ со штрафом до 100 тыс. рублей для юридического лица.

Как рассчитать штраф за утечку данных: калькулятор по частям 12-15

Размер штрафа по статье 13.11 КоАП РФ определяется последовательно: сначала устанавливается применимая часть (12, 13 или 14) по объёму утечки, затем проверяется повторность (часть 15), затем - наличие отягчающих и смягчающих обстоятельств. Для оборотного штрафа по части 15 базой служит совокупная выручка компании за предшествующий календарный год по данным бухгалтерской отчётности.

Ориентировочный расчёт для первичной утечки выглядит так. Утечка данных 5 тыс. пользователей - часть 12, штраф от 3 млн до 5 млн рублей для юридического лица. Утечка 50 тыс. пользователей - часть 13, штраф от 5 млн до 10 млн рублей. Утечка 200 тыс. пользователей - часть 14, штраф от 10 млн до 15 млн рублей. При повторном нарушении по любому из этих составов - часть 15: 3% от годовой выручки, но не менее 15 млн и не более 500 млн рублей.

Для компании с годовой выручкой 1 млрд рублей оборотный штраф по части 15 составит 30 млн рублей. Для компании с выручкой 200 млн рублей - минимальный порог 15 млн рублей (поскольку 3% от 200 млн = 6 млн, что ниже минимума). Для крупного маркетплейса с выручкой 20 млрд рублей - 500 млн рублей (максимальный потолок). Эти цифры не включают расходы на устранение последствий, компенсации пользователям и репутационные потери.

Что влияет на размер штрафа в рамках санкции: наличие системы защиты ПДн и её документальное подтверждение снижает риск назначения максимума; добровольное уведомление Роскомнадзора и устранение нарушений до вынесения постановления - смягчающие обстоятельства по статье 4.2 КоАП РФ; предшествующие нарушения в сфере ПДн - отягчающие обстоятельства по статье 4.3 КоАП РФ. Суд вправе снизить штраф ниже минимума при исключительных обстоятельствах - но только для субъектов малого и среднего предпринимательства (статья 4.1.2 КоАП РФ).

Неочевидный риск: если утечка затронула специальные категории ПДн (здоровье, биометрия, политические взгляды) или данные несовершеннолетних, Роскомнадзор квалифицирует нарушение по более высокой части вне зависимости от числа субъектов. Это прямо следует из разъяснений ведомства и практики 2024-2025 годов.

Пропуск трёхлетнего срока исковой давности по статье 4.5 КоАП РФ для дел о нарушении законодательства о персональных данных составляет один год с момента совершения правонарушения. Если Роскомнадзор обнаружил утечку спустя год и один день - постановление о штрафе можно оспорить по процессуальному основанию. Это реальный инструмент защиты, который многие компании упускают.

Описанный расчёт даёт ориентир, но конкретная сумма зависит от обстоятельств дела, доказательственной базы и позиции Роскомнадзора. Ошибка в квалификации части или пропуск процессуального срока делает оспаривание штрафа существенно сложнее.

Как Роскомнадзор выявляет утечки и возбуждает дела

Роскомнадзор возбуждает дела об административных правонарушениях по статье 13.11 КоАП РФ тремя основными способами: по результатам плановых и внеплановых проверок операторов ПДн, по уведомлениям самих операторов об инцидентах и по информации из открытых источников - включая публикации в Telegram-каналах, даркнет-мониторинг и обращения граждан. С 2024 года ведомство использует автоматизированную систему мониторинга утечек, которая отслеживает появление баз данных в открытом доступе.

После обнаружения инцидента Роскомнадзор запрашивает у оператора документы: политику обработки ПДн, журналы доступа, технические регламенты, сведения о системе защиты информации. Отсутствие этих документов или их несоответствие требованиям Федерального закона № 152-ФЗ и приказов ФСТЭК России автоматически усиливает позицию ведомства при квалификации нарушения.

Что упускают IT-компании при взаимодействии с Роскомнадзором: объяснения, данные сотрудниками в ходе проверки без участия юриста, нередко фиксируют факты, которые затем используются против компании. Показания технического директора о том, что «шифрование не было настроено», становятся доказательством по делу. Участие юриста с момента первого запроса ведомства - не формальность, а необходимость.

Срок рассмотрения дела об административном правонарушении по статье 23.44 КоАП РФ (Роскомнадзор) составляет 15 дней с момента составления протокола. При передаче дела в суд - общий срок рассмотрения по статье 29.6 КоАП РФ составляет два месяца. Постановление вступает в силу через 10 суток после вручения, если не обжаловано.

Какие меры снижают риск штрафа до и после инцидента

Снизить риск штрафа за утечку данных можно на двух этапах: до инцидента - через выстраивание системы защиты ПДн, и после - через правильное реагирование. Наличие актуальной документации по защите персональных данных, подтверждённой датированными приказами и актами, является ключевым смягчающим обстоятельством при назначении штрафа в рамках санкции.

До инцидента необходимо обеспечить следующее.

• Разработать и утвердить политику обработки персональных данных, регламенты доступа и журналы событий безопасности.
• Провести классификацию обрабатываемых ПДн и определить уровень защищённости информационной системы по приказу ФСТЭК России № 21.
• Назначить ответственного за организацию обработки ПДн (статья 18.1 Федерального закона № 152-ФЗ) и зафиксировать это приказом.
• Настроить процедуру уведомления Роскомнадзора: шаблоны предварительного и итогового уведомления, цепочку ответственных лиц.
• Провести аудит договоров с подрядчиками, имеющими доступ к ПДн пользователей, - поручение обработки должно быть оформлено по статье 6 Федерального закона № 152-ФЗ.

После инцидента критически важны первые 24 часа. Предварительное уведомление Роскомнадзора через портал госуслуг подаётся в течение 24 часов - даже если полная картина инцидента ещё не ясна. Неподача уведомления в срок фиксируется как самостоятельное нарушение. Параллельно необходимо зафиксировать факт инцидента внутренним актом, ограничить доступ к скомпрометированным данным и начать техническое расследование.

Экономия на юридическом сопровождении при получении первого запроса Роскомнадзора создаёт риск назначения штрафа по максимальной границе санкции - для компании с выручкой 300 млн рублей разница между минимумом и максимумом по части 13 составляет 5 млн рублей, а при повторном нарушении оборотный штраф по части 15 составит 9 млн рублей против минимального порога 15 млн рублей.

Оспаривание постановления о штрафе: процедура и шансы

Постановление Роскомнадзора о назначении штрафа по статье 13.11 КоАП РФ обжалуется в арбитражный суд по месту нахождения компании в течение 10 суток с момента вручения (статья 30.3 КоАП РФ). Арбитражный суд рассматривает дело по правилам главы 25 АПК РФ. Государственная пошлина при обжаловании постановления по делу об административном правонарушении не уплачивается.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение срока давности привлечения к ответственности (один год по статье 4.5 КоАП РФ для дел о ПДн), ненадлежащее уведомление о составлении протокола, составление протокола неуполномоченным должностным лицом. Материальные: недоказанность события правонарушения, неправильная квалификация части статьи 13.11, отсутствие вины оператора.

Многие недооценивают процессуальные основания. В практике 2024-2025 годов арбитражные суды отменяли постановления Роскомнадзора именно по формальным основаниям - нарушение порядка уведомления законного представителя юридического лица о составлении протокола. Это требование статьи 28.2 КоАП РФ соблюдается не всегда, и его нарушение влечёт безусловную отмену постановления.

Если постановление устояло в первой инстанции - апелляция в арбитражный апелляционный суд подаётся в течение 10 дней с момента принятия решения. Кассационное обжалование - в суд округа. Практика показывает, что суды охотнее снижают штраф до минимума санкции, чем отменяют постановление полностью, при наличии смягчающих обстоятельств.

Если компания уже пробовала самостоятельно подать возражения на протокол или обжаловать постановление, но получила отказ - это не финал. Юристы проведут аудит правовой позиции, оценят процессуальные нарушения при производстве по делу и подготовят апелляционную жалобу с акцентом на основания, которые не были заявлены ранее.

Частые вопросы

1. Какой штраф грозит IT-компании за первую утечку данных 50 000 пользователей?

За первичную утечку данных от 10 тыс. до 100 тыс. субъектов персональных данных применяется часть 13 статьи 13.11 КоАП РФ - штраф для юридического лица составляет от 5 млн до 10 млн рублей. Конкретный размер в рамках санкции зависит от наличия смягчающих обстоятельств (добровольное уведомление, устранение нарушения) и отягчающих (предшествующие нарушения в сфере ПДн). Суд вправе снизить штраф ниже минимума только для субъектов МСП при исключительных обстоятельствах.

2. Что такое оборотный штраф за утечку данных и как он считается?

Оборотный штраф по части 15 статьи 13.11 КоАП РФ применяется при повторном нарушении - когда компания уже привлекалась к ответственности по частям 12, 13 или 14 той же статьи. Размер составляет 3% от совокупной годовой выручки за предшествующий календарный год, но не менее 15 млн рублей и не более 500 млн рублей. Базой для расчёта служат данные бухгалтерской отчётности; выручка берётся по всем видам деятельности компании, а не только по направлению, связанному с утечкой.

3. В какой срок нужно уведомить Роскомнадзор об утечке персональных данных?

Оператор персональных данных обязан направить предварительное уведомление в Роскомнадзор через портал госуслуг в течение 24 часов с момента обнаружения инцидента, а итоговое уведомление с полным описанием - в течение 72 часов (статья 21 Федерального закона от 27 июля 2006 года № 152-ФЗ). Нарушение этих сроков образует самостоятельный состав административного правонарушения по части 1 статьи 13.11 КоАП РФ со штрафом до 100 тыс. рублей для юридического лица, независимо от штрафа за саму утечку.

4. Можно ли оспорить штраф Роскомнадзора за утечку данных?

Постановление Роскомнадзора о штрафе по статье 13.11 КоАП РФ обжалуется в арбитражный суд в течение 10 суток с момента вручения - государственная пошлина не уплачивается. Основания для отмены: нарушение срока давности привлечения к ответственности (один год), ненадлежащее уведомление о составлении протокола, неправильная квалификация части статьи, недоказанность события правонарушения. Практика 2024-2025 годов показывает, что процессуальные нарушения при составлении протокола влекут безусловную отмену постановления.

5. Несёт ли директор IT-компании личную ответственность за утечку данных?

Директор IT-компании несёт административную ответственность как должностное лицо по тем же частям статьи 13.11 КоАП РФ - штраф для должностного лица по части 12 составляет от 300 тыс. до 500 тыс. рублей, по части 14 - от 800 тыс. до 1 млн рублей. Привлечение юридического лица не освобождает директора от ответственности: оба постановления выносятся одновременно. Дополнительно при крупных утечках возможна уголовная ответственность по статье 272 УК РФ (неправомерный доступ к компьютерной информации), если будет установлен умысел.

Штрафы за утечку персональных данных по статье 13.11 КоАП РФ стали реальным финансовым риском для IT-компаний: минимальный порог в 3 млн рублей за первичный инцидент и оборотная санкция до 500 млн рублей за повторный делают вопрос комплаенса в сфере ПДн приоритетом для любого бизнеса, работающего с пользовательскими данными. Правильная документация, соблюдение сроков уведомления и грамотное поведение при проверке существенно влияют на итоговый размер штрафа.

«Ветров и партнёры» сопровождают IT-компании, маркетплейсы и финтех-сервисы в делах об административной ответственности в сфере персональных данных: от первого запроса Роскомнадзора до обжалования постановления в арбитражном суде. Практика включает дела по частям 12-15 статьи 13.11 КоАП РФ, а также регуляторный аудит систем обработки ПДн.