В отчете ЭАЦ InfoWatch проанализировал данные о штрафных санкциях за утечки персональных данных, которые наложены на компании и госорганы регуляторами по защите данных в разных странах. Дела, которые закончились предупреждениями, в эту выборку не попали. Как выяснилось, рекордсменами стали страны Европейского Союза – именно там было вынесено подавляющее большинство штрафов. На первом месте по количеству наказаний Испания – регулятор этой страны вынес 48 денежных взысканий организациям, которые допустили утечки ПДн. На втором месте Румыния (45 штрафов), на третьем – США (25 штрафов).
В России, по данным ЭАЦ InfoWatch, есть информация по шести административным штрафам, которые суды назначили по заявлениям Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН). За нарушения законодательства о персональных данных (статья 13.11 КоАП РФ) штрафы по 150 тыс. рублей назначены РЖД и «Почте России», общества с ограниченной ответственностью «Изумруд» и «Медквадрат» наказаны штрафами в размере 75 тыс. рублей. По 60 тыс. рублей составили суммы штрафов, выписанные коллекторской компании «Интер-Прайм» и микрофинансовой организации «К.».
«В 2025 году самым частым последствием за нарушение законодательства о персональных данных было предупреждение, поэтому многие дела об утечках не вошли в подборку. Предупреждением суды заменяли штраф для операторов (обычно из реестра МСП), совершивших нарушение впервые и самостоятельно уведомивших РКН об инциденте. В 2026 году стоит ожидать более крупных штрафов. Во-первых, дела по ст. 13.11 вернулись в суды общей юрисдикции, которые в силу своей природы рассматривают нарушения в информационной среде более формально и строго. Во-вторых, прошло уже достаточно времени с вступления в силу обновленных размеров штрафов, и операторы не смогут ссылаться на то, что утечка произошла до их индексации, как это было в деле “Почты России”» – поясняет Илья Башкиров, юрист по информационной безопасности ГК InfoWatch.
В сравнении с мировыми показателями штрафы в России весьма скромные, констатируют авторы отчета. Средний размер штрафа за утечку персональных данных в мире составил около $4,26 млн. Правда, стоит учитывать, что большая часть этой суммы пришлась на крупнейший за всю историю практики регламента GDPR штраф европейскому подразделению компании TikTok – 530 млн евро (примерно $620 млн). Без учета этого наказания средняя сумма штрафа в мире в 2025 году составила $1,16 млн.
«В России сумма штрафов за утечки ПДн небольшая, а их количество за год можно пересчитать по пальцам. То есть санкции регуляторов не носят массовый характер, а пока, судя по всему, ставят целью подсветить проблему защиты информации граждан. Она гораздо масштабнее, чем может казаться на первый взгляд. Дело в том, что к утечкам данных могут приводить разные нарушения, связанные с хранением, обработкой и передачей информации, а каждая украденная или потерянная запись ПДн может стать удобным средством для мошенников. Важен не размер штрафа, а привлечение внимания к самой проблеме утечки информации. Операторы данных должны делать соответствующие выводы, проводить регулярные аудиты своих систем и при необходимости оперативно принимать меры по защите данных», – отмечает Андрей Арсентьев, руководитель направления аналитики и спецпроектов ЭАЦ ГК InfoWatch.
Не исключено, что ситуация изменится уже в этом году. Авторы отчета напоминают, что с 30 мая 2025 г. вступил в силу закон об оборотных штрафах, и даже точечное его применение может серьезно повлиять на операторов персональных данных. В 2024-2025 годах большой ряд государств, включая Россию, утвердили новые законы, значительно ужесточающие ответственность за утечки персональных данных. Правоприменительная практика в этом направлении будет развиваться, а значит, уже в ближайшее время количество штрафов может существенно возрасти, указывают авторы отчета.
«Мы полагаем, что в России, как и на Западе, операторы данных наиболее строго будут наказываться за незаконную трансграничную передачу данных, случаи утечек крупных баз ПДн, особо чувствительных для граждан видов информации – медицинской, финансовой и т.д. В зоне особого внимания регуляторов будут компании, допустившие повторные нарушения», – заключает Андрей Арсентьев.
