Что будет за утечку персональных данных: уведомления, штрафы, судебная практика

Главная / Советы / Утечки персональных данных в 2025 году: что это такое и что делать

А еще все про новые штрафы — и как их избежать

За последние полгода власти сильно ужесточили ответственность за утечки персональных данных. Многомиллионные штрафы уже вступили в силу, а за некоторые нарушения и вовсе начали применять оборотные штрафы. Как бизнесу реагировать на утечку и минимизировать потери, рассказали в статье.

Записалa Мария Северина, практикующий бухгалтер, автор и редактор текстов «Клерк.ру».

Почему повысили штрафы за утечку персональных данных

Любая компания, которая собирает и обрабатывает персональные данные клиентов и сотрудников, обязана обеспечить их сохранность. Но долгое время к защите персональных данных бизнес относился как к формальности. Санкции за нарушение требований закона были достаточно мягкими.

Примеры

В 2022 году произошла утечка данных в сервисе «Яндекс Еда». Тогда в сети появились данные 58 тыс. пользователей. Но компанию оштрафовали всего лишь на 60 тыс. руб. Также пострадавшие клиенты сервиса обратились с коллективным иском в суд и потребовали компенсацию 100 тыс. руб. на каждого.

Решение суда от 14.02.2024 г. по делу № А07-34 409/2023

Еще одна история: компания ООО «Экспресс лаб» по договору дорабатывала функционал сайта банка ПТБ. В результате произошла утечка персональных данных клиентов, которые отправляли в банк заявки на кредит онлайн. По решению суда банк заплатил за нарушение штраф 60 тыс. руб. и позже взыскал его с подрядчика, по вине которого произошла утечка данных.

При этом масштабы утечек из года в год продолжают расти, и статистика удручает.

В 2022 году Роскомнадзор зафиксировал 140 утечек — в сеть попало более 600 млн записей.
В 2023 году ведомство обнаружило 168 утечек — в интернет утекло более 300 млн записей пользователей.
В 2024 году Роскомнадзор выявил 135 утечек баз данных — в сеть попало более 710 млн записей. Количество скомпрометированных строк с информацией существенно выросло. При этом сохраняется тренд на увеличение количества утечек от малого бизнеса.
В 2025 году (с января по май) ведомство зафиксировало 30 утечек — в интернете появилось более 38 млн записей.

По фактам утечек в 2023 году суды назначили штрафы бизнесу на сумму около 3,7 млн руб. В 2024 году сумма штрафов составила 2 млн руб.

Среди самых масштабных утечек в РФ за 2024 год — такие случаи.

В сентябре 2024 года хакеры опубликовали в сети персональные данные почти 500 тыс. владельцев авто марки KIA. Информация попала в открытый доступ из IT-инфраструктуры официального представительства «KIA Россия и СНГ». Скомпрометированные сведения включали ФИО клиентов, даты рождения, адреса электронной почты, номера телефонов, пароли и IP-адреса.
В январе 2025 года стало известно об утечке персональных данных из корпоративной системы «Ростелекома». Хакерам удалось похитить 101 тыс. номеров телефонов и 154 тыс. электронных адресов. Причиной стало использование в работе инфраструктуры подрядчика.
В ноябре 2024 года в интернете опубликовали базу данных с клиентами онлайн-казино «1Win». Сведения включали имена, номера телефонов, адреса электронной почты, даты рождения, пароли и IP-адреса.
В 2024 году попала в сеть часть базы данных с персональными сведениями клиентов сети магазинов «ВинЛаб» — более 408 тыс. записей. В результате инцидента опубликовали ФИО пользователей, номера карт лояльности и информацию о накопленных бонусах, номера телефонов, адреса электронной почты, истории заказов и обращений в службу поддержки.
В январе 2024 года в сеть утекли данные пользователей платформы управления проектами Trello — более 15 млн записей. База включала имена и фамилии пользователей, адреса электронной почты и логины.

Масштаб инцидентов подчеркивает, что бизнес тщательнее должен следить за безопасностью персональных данных клиентов и сотрудников и обеспечивать необходимый уровень защиты от их утечки. Ранее действующие штрафы Минцифры считало недостаточными. По мнению властей, они не стимулировали операторов персональных данных вкладываться в защиту своих систем, которые собирают и хранят данные.

Новые штрафы за утечку персональных данных с 30 мая 2025 года

Теперь компании и ИП будут платить штрафы за утечку данных пропорционально объему сведений, которые неправомерно попали в сеть. Если произойдет повторная утечка, будут применяться оборотные штрафы — 1−3% от годовой выручки компании.

Статья Кодекса РФ об административных правонарушениях

Объем утечки

Штраф, руб.

Ч. 11 ст. 13.11

Неуведомление Роскомнадзора об утечке персональных данных

для физлиц — 50−100 тыс.;

для должностных лиц — 400−800 тыс.;

для компаний — 1−3 млн

Первичная утечка персональных данных

Ч. 12 ст. 13.11

От 1 000 до 10 000 субъектов и/или от 10 000 до 100 000 идентификаторов

для физлиц — 100−200 тыс.;

для должностных лиц — 200−400 тыс.;

для компаний — 3−5 млн

Ч. 13 ст. 13.11

От 10 000 до 100 000 субъектов и / или от 100 000 до 1 000 000 идентификаторов

для физлиц — 200−300 тыс.;

для должностных лиц — 300−500 тыс.;

для компаний — 5−10 млн

Ч. 14 ст. 13.11

Более 100 000 субъектов и/или более 1 000 000 идентификаторов

для физлиц — 300−400 тыс.;

для должностных лиц — 400−600 тыс.;

для компаний — 10−15 млн

Ч. 16 ст. 13.11

Специальные категории персональных данных

для физлиц — 300−400 тыс.;

для должностных лиц — 1−1,3 млн;

для компаний — 10−15 млн

Ч. 17 ст. 13.11

Биометрические персональные данные

для физлиц — 400−500 тыс.;

для должностных лиц — 1,3−1,5 млн;

для компаний — 15−20 млн

Повторная утечка персональных данных

Ч. 15 ст. 13.11

Утечка общих данных

для физлиц — 400−600 тыс.;

для должностных лиц — 0,8−1,2 млн;

для компаний — 1−3% от годовой выручки (минимум 20−млн, максимум 500 млн)

Ч. 18 ст. 13.11

Утечка специальных категорий или биометрических персональных данных

для физлиц — 500−800 тыс.;

для должностных лиц — 1,5−2 млн;

для компаний — 1−3% от годовой выручки (минимум 25 млн, максимум 500 млн)

Основные термины в новых штрафах

Утечка персональных данных — это незаконный доступ третьих лиц к личным и конфиденциальным сведениям о клиентах и сотрудниках компании, что приводит к нарушению их прав.

Не все инциденты с персональными данными будут считаться утечкой по закону. Например, если обиженный сотрудник после увольнения просто удалил клиентскую базу, это не утечка, так как данные не попали в руки третьих лиц и конфиденциальность не была нарушена. Но если этот же сотрудник продал базу конкурентам или мошенникам, речь идет об утечке персональных данных, и о ней нужно сообщить в Роскомнадзор.

Ст. 21 федерального закона от 27.07.2006 г. № 152-ФЗ

Общие персональные данные — это ФИО сотрудника или клиента, адрес электронной почты, номер телефона, паспортные данные и т. д.

Специальные категории персональных данных — это информация о расовой принадлежности человека, его политических взглядах, философских убеждениях, медицинские данные и т. д.

Биометрические персональные данные — это информация о физиологическом состоянии человека, с помощью которой можно установить его личность, например запись голоса или отпечатки пальцев.

Как может произойти утечка персональных данных

Утечка может произойти:

Случайно — например, менеджер забыл ноутбук с данными о клиентах в автобусе, и его украли. Или бухгалтер нечаянно направила справку о зарплате сотрудника не на ту электронную почту.
Намеренно — через хакерские атаки или целенаправленные действия сотрудника. Например, вирус-шифровальщик заразил систему компании, и сотрудники потеряли доступ ко всем корпоративным документам, а мошенники похитили личные данные покупателей. Или недобросовестный юрист остался недоволен сотрудничеством и опубликовал договоры с клиентами в соцсетях.

Как обезопасить бизнес от утечек

Вот основные правила.

Собирать меньше данных (по возможности)

Если вам не нужны полные паспортные данные клиента, ограничьтесь, например, номером телефона и именем. Чем меньше личной информации хранится, тем ниже вероятность, что она попадет в руки злоумышленников. Это связано с тем, что крупные массивы данных требуют более сложных (и дорогих) решений по обеспечению информационной безопасности, а их могут позволить себе далеко не все компании.

Разделять данные по категориям

Создавайте отдельные хранилища для клиентов, работников и кандидатов на вакансии. Никогда не смешивайте данные разных групп. Это позволит быстро локализовать проблему, если произойдет инцидент с персональными данными.

Применять синтетические идентификаторы

Что это значит: избегайте прямого сопоставления имени, адреса электронной почты или номера телефона клиента с информацией о покупках, переписках и других взаимодействиях с компанией. Вместо этого назначьте каждому пользователю уникальный код (так называемый «синтетический идентификатор»), который свяжет различные типы данных. Храните такие идентификаторы отдельно от всех остальных данных.

Пример структуры базы данных клиентов онлайн-школы «Фогвардс»

1. База данных клиентов

Идентификатор клиента
Email

Имя

Фамилия

EMP_001 p.sidorov@example.com

Петр

Сидоров

EMP_002 a.ivanova@example.com

Анна

Иванова

2. База данных по оказанным клиентам услугам

Синтетический идентификатор
(дата предоставления услуги)

Услуга

SID_EMP_001
2025-01-15

Обучение на курсе «Аналитик данных»

SID_EMP_002
2025-02-20

Обучение на курсе «UX-дизайнер»

3. Таблица связи между клиентами и услугами

Идентификатор клиента

Синтетический идентификатор

EMP_001

SID_EMP_001

EMP_002

SID_EMP_002

Как это работает:

Личные данные клиентов онлайн-школы хранятся отдельно от данных об оказываемых услугах.
Связь между ними осуществляется с помощью синтетических идентификаторов (SID_EMP_XXX), которые создаются специально для объединения данных в аналитике.

Своевременно избавляться от ненужных данных

Удаляйте устаревшие записи сразу же после завершения взаимодействия с клиентом. Если услуга оказана, договор выполнен, сохраняйте только архивную версию документа без детальной информации о пользователе.

Контролировать доступ третьих лиц

Даже если доверяете обработку персональных данных стороннему партнеру, именно ваша компания как оператор несет ответственность перед пользователями. Поэтому безопаснее использовать собственные программы и технические средства, чтобы обеспечить нужный уровень защиты сведений. Запрещайте внутренний доступ к персональным данным уволенным сотрудникам. Регулярно обновляйте антивирус и все программы в компании до актуальной версии.

Обеспечить физическую охрану данных

Ограничьте физический доступ к серверам и компьютерам, которые содержат персональные данные сотрудников и клиентов. Используйте сложные пароли и многофакторную идентификацию. Давайте сотрудникам доступ только к тем сведениям, которые им действительно необходимы для работы.

Очевидный, но часто забываемый момент: устанавливайте надежные пароли для доступа к базам данных. Обычно надежный пароль включает 8−12 символов, заглавные и строчные буквы, цифры и специальные символы.

Пример сложного (и надежного) пароля: `P@ssw0rd!2#B3%`

Пароль, который состоит из легко угадываемых комбинаций, например сочетание имени и даты рождения, злоумышленники легко взломают.

Пример ненадежного пароля: Masha13031989

Назначить того, кто будет отвечать в компании за защиту данных

Определите сотрудника, ответственного за соблюдение правил обработки персональных данных. Этот специалист должен иметь полномочия и ресурсы для эффективного управления процессами безопасности. Регулярно проводите аудит и обучение персонала по вопросам информационной безопасности.

Что делать при утечке персональных данных: пошаговая инструкция для бизнеса

Как понять, что произошла утечка персональных данных? Например, IT-служба компании «Стратегия» выявила незаконное копирование базы, которая включает персональные данные клиентов. Или копия базы стала доступна в сети. Или пока база не стала доступна, но от злоумышленника, который незаконно ее получил, поступило сообщение с угрозой раскрыть персональные данные клиентов.

Что делать дальше

✔️ В течение 24 часов с момента обнаружения такого инцидента уведомите Роскомнадзор:

о самом факте утечки;
о возможных причинах, из-за которых были нарушены права клиентов;
о предполагаемом вреде для пользователей, чьи данные попали в сеть;
о принятых мерах по устранению последствий утечки;
о сотруднике компании, который будет взаимодействовать с Роскомнадзором по вопросам утечки.

Сообщить в РКН об утечке можно на бумаге или онлайн — заполнить специально разработанную форму на сайте. Для электронного уведомления нужна усиленная квалифицированная подпись (УКЭП).

Чтобы заполнить форму на сайте Роскомнадзора, пройдите аутентификацию на портале «Госуслуги», нажав ссылку «Перейти к сервису ЕСИА».

В открывшейся форме уже автоматически будут заполнены сведения об операторе — наименование оператора, ИНН, адрес оператора и адрес электронной почты.

Внесите сведения об инциденте. Для этого нужно заполнить поля уведомления:

Дата и время выявления инцидента.
Предполагаемые причины — например, хакерская атака.
Характеристики персданных — например, ФИО, дата рождения, адрес электронной почты, паспортные данные, оказанные услуги.
Предполагаемый вред, нанесенный правам субъектов персональных данных, — например, есть вероятность взлома личных кабинетов клиентов и доступа к онлайн-банкам.
Принятые меры по устранению последствий утечки — например, информирование клиентов о характере утечки, рекомендации сменить пароли и включить двухфакторную аутентификацию. Комплексная проверка инфраструктуры организации на наличие слабых мест и внедрение обновлений безопасности.

Заполните раздел «Контактные данные» и нажмите кнопку «Отправить».

Система присвоит вашему уведомлению номер и ключ, по которым можно будет отслеживать статус обращения.

Пример заполненного уведомления об инциденте с персональными данными:

✔️ В течение трех суток с момента утечки проведите внутреннее расследование. Для этого нужно создать рабочую группу. В нее обычно включают:

сотрудника отдела безопасности;
IT-специалиста;
юриста;
сотрудника отдела кадров.

✔️ В течение 72 часов с момента утечки сообщите в Роскомнадзор:

о результатах внутреннего расследования по выявленной утечке;
о лицах, из-за которых произошла утечка (если их выявили при расследовании — чаще, если в утечке виноваты внутренние сотрудники компании).

Как правильно считать часы с момента утечки данных:

✅ Правильно

❌ Неправильно

Момент утечки + 72 часа

Момент утечки + 24 часа + 72 часа

Кстати говоря

В ч. 12 ст. 19 федерального закона № 152-ФЗ есть норма о том, что об инцидентах с персональными данными операторы должны информировать ФСБ — то есть вносить данные в систему «ГосСОПКА» (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

С 2022 года, когда появилась эта норма, была некая неопределенность. Специалисты в области персональных данных полагали, что не все операторы и не по всем инцидентам обязаны уведомлять ФСБ. 1 марта 2023 года вступил в силу приказ ФСБ от 13.02.2023 г. № 77. Его разработали специально для исполнения закона о персональных данных. Согласно этому документу, в течение суток в систему «ГосСОПКА» должны направлять данные об утечках только субъекты критической информационной инфраструктуры. К таким относятся, например, организации которые работают в банковской сфере, области связи, транспорта, энергетики, здравоохранения, науки и т. д.

Все остальные компании и ИП уведомляют только Роскомнадзор. И если РКН увидит, что утечка несет угрозу национальной безопасности, ведомство само уведомит ФСБ об инциденте.

Короче

Проблема утечек персональных данных касается не только гигантов рынка, но и малого бизнеса. Часто именно небольшие компании оказываются наиболее уязвимыми перед угрозой взлома.
Причины утечек бывают разные — от целенаправленных атак злоумышленников до случайных действий сотрудников компании.
С 30 мая 2025 года за нарушения требований безопасности персональных данных бизнесу грозят многомиллионные штрафы. За повторные нарушения применяются оборотные штрафы — 1−3% от годовой выручки.
Защитить данные проще, чем устранять последствия инцидента. Достаточно регулярно менять пароли, ограничивать права доступа сотрудников, проводить обучение основам информационной безопасности и своевременно обновлять антивирусы и программы.
Если выявили факт утечки, действовать нужно быстро. Сообщите об инциденте в Роскомнадзор в срок не позднее 24 часов и проведите внутреннее расследование. О результатах расследования уведомите РКН в течение 72 часов с момента утечки.