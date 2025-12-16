Что такое утечка персональных данных и какие последствия она влечет

Закон от 27.07.2006 № 152-ФЗ «О персональных данных» обязывает операторов персональных данных применять меры по обеспечению безопасности и сохранению конфиденциальности сведений. К операторам персданных относятся практически все ИП, компании и даже самозанятые, если они взаимодействуют с личной информацией физлиц.

Термина «утечка персональных данных» в законодательстве нет. Но в ч. 3.1 ст. 21 закона 152-ФЗ, сказано, что оператор должен отправить уведомление в Роскомнадзор в течение 24 часов с момента выявления факта «неправомерной передачи, предоставления, распространения или доступа к персональной информации без согласия субъекта данных».

Эту формулировку можно считать фактическим определением утечки информации. То есть не каждый инцидент с персональными данными — нарушение закона, а только тот, при котором третьи лица завладели персональными данными случайно или умышленно и это привело к нарушению прав их владельца.

Как на практике происходит утечка данных? Обычно причиной становится кража базы данных или взлом информационной системы компании через уязвимости в ПО, слабые пароли, использование непроверенных VPN, незащищенных облаков и т. д. Иногда причина — человеческий фактор. Например, если кто-то из сотрудников потерял физический носитель (ноутбук, флешку, бумажные документы), на который записаны персданные.

С 30 мая 2025 года санкции за такие нарушения значительно выросли. В статью 13.11 КоАП внесли изменения. Теперь действуют следующие размеры штрафов:

Масштаб утечки Штраф для граждан Должностные лица Компании и ИП Пункт ст. 13.11 От 1 до 10 тыс. субъектов ПДн или 10–100 тыс. идентификаторов 100–200 тыс. руб. 200–400 тыс. руб. 3–5 млн руб. ч. 12 Утечка от 10 до 100 тыс. субъектов или 100 тыс.–1 млн идентификаторов 200–300 тыс. руб. 300–500 тыс. руб. 5–10 млн руб. ч. 13 Утечка более 100 тыс. субъектов или свыше 1 млн идентификаторов 300–400 тыс. руб. 400–700 тыс. руб. 10–15 млн руб. ч. 14 Утечка специальных категорий ПДн (здоровье, убеждения и др.) 400–500 тыс. руб. 700 тыс.–1 млн руб. 10–15 млн руб. ч. 16 Утечка биометрических данных 500–700 тыс. руб. 1-1,5 млн руб. 15–20 млн руб. ч. 17

За повторные нарушения ответственность составляет до 500 млн руб. или 1–3% годового оборота компании (ч. 15 ст 13.11 КоАП).

Причем, исходя из судебной практики можно сказать, что суды учитывают наличие у оператора организационных и технических мер. При их недостаточности компании привлекают к ответственности.