Российский бизнес столкнулся с серьезным изменением правил игры. За первые два месяца 2024 года Роскомнадзор зафиксировал утечку более 510 миллионов записей о гражданах России, а общее количество инцидентов за год превысило 600 миллионов. Реакция законодателя не заставила себя ждать. С декабря 2024 года действует новая статья 272.1 УК РФ, предусматривающая лишение свободы до 10 лет за незаконные операции с персональными данными. А с 30 мая 2025 года вступили масштабные изменения в КоАП РФ, устанавливающие штрафы до 500 миллионов рублей.
Руководители компаний оказались в зоне повышенной ответственности, причем речь идет не только о денежных санкциях против организации. Впервые в российском законодательстве появилась прямая уголовная ответственность за действия с персональными данными, которая может коснуться лично первых лиц бизнеса и ответственных должностных лиц.
Какие изменения произошли в законодательстве с 2024 года
Трансформация произошла в два этапа, каждый из которых принципиально меняет ландшафт ответственности.
Уголовный кодекс: новая статья 272.1 (действует с 11 декабря 2024 года)
Федеральный закон №421-ФЗ от 30 ноября 2024 года внес статью 272.1 в Уголовный кодекс. Это первая норма, напрямую криминализирующая незаконные действия с компьютерной информацией, содержащей персональные данные.
Что именно попадает под уголовную ответственность:
Базовый состав (часть 1) — незаконное использование, передача, сбор или хранение персональных данных, полученных путем неправомерного доступа к информационным системам. Наказание составляет до 300 тысяч рублей штрафа, принудительные работы или лишение свободы до четырех лет.
Квалифицированный состав (часть 2) — те же действия с данными несовершеннолетних, специальными категориями персональных данных (состояние здоровья, национальность, религиозные убеждения) или биометрией. Здесь санкции ужесточаются: до 700 тысяч рублей штрафа или лишение свободы до пяти лет.
Особо квалифицированный состав (часть 3) — совершение деяний из корыстной заинтересованности, группой лиц, с использованием служебного положения или с причинением крупного ущерба. Максимальное наказание: лишение свободы до шести лет со штрафом до одного миллиона рублей.
Трансграничная передача (часть 4) — действия, связанные с вывозом персональных данных за пределы России. Срок лишения свободы увеличивается до восьми лет, штраф — до двух миллионов рублей.
Тяжкие последствия (часть 5) — если действия привели к тяжким последствиям или были совершены организованной группой, возможно наказание до десяти лет лишения свободы со штрафом до трех миллионов рублей.
Ключевое уточнение законодателя: ответственность наступает именно за действия с компьютерной информацией. Это разграничивает новый состав от административных правонарушений и подчеркивает фокус на массовых утечках цифровых баз данных.
КоАП РФ: оборотные штрафы и градация по объему (вступили с 30 мая 2025 года)
Федеральный закон №420-ФЗ от 30 ноября 2024 года кардинально изменил статью 13.11 КоАП РФ. Впервые размер административных санкций поставлен в прямую зависимость от масштаба утечки.
Первичная утечка:
• От 1 000 до 10 000 субъектов данных (или от 10 000 до 100 000 идентификаторов) — штраф для организации от 3 до 5 миллионов рублей
• От 10 000 до 100 000 субъектов (или от 100 000 до 1 миллиона идентификаторов) — от 5 до 10 миллионов рублей
• Более 100 000 субъектов (или более 1 миллиона идентификаторов) — от 10 до 15 миллионов рублей
• Утечка специальных категорий данных — от 10 до 15 миллионов рублей
• Утечка биометрических данных — от 15 до 20 миллионов рублей
Повторная утечка в течение года: оборотный штраф от 1 до 3% годовой выручки компании (для банков — от размера собственных средств), но не менее 25 миллионов рублей и не более 500 миллионов рублей.
Неуведомление Роскомнадзора об утечке в течение 24 часов: штраф для организации от 1 до 3 миллионов рублей. Это совершенно новый состав, требующий изменения корпоративных процедур реагирования на инциденты.
Для должностных лиц также предусмотрены существенные санкции: за нарушение правил обработки персональных данных — до 100 тысяч рублей, за утечку биометрии — до 1,3 миллиона рублей.
Кто несет личную ответственность при утечке в компании
Распространенное заблуждение гласит: раз компания — юридическое лицо, то все проблемы ограничатся корпоративными штрафами. Практика и новое законодательство показывают иную картину.
Руководитель как главный носитель риска
Даже при формальном назначении ответственного за информационную безопасность финальная ответственность за соответствие процессов обработки данных требованиям законодательства лежит на первом лице организации. Это прямо следует из корпоративного права и практики правоприменения.
Генеральный директор, управляющий или директор филиала отвечают за:
• Организацию системы защиты персональных данных в компании• Выделение необходимых ресурсов на обеспечение информационной безопасности
• Назначение ответственных лиц и распределение полномочий
• Контроль исполнения требований законодательства
При привлечении к уголовной ответственности по статье 272.1 УК РФ следствие будет устанавливать, кто конкретно совершил противоправные действия. Если это сотрудник, действовавший в рамках своих должностных обязанностей и с ведома руководства, под удар может попасть именно руководитель как организатор или пособник преступления.
Должностные лица с доступом к данным
Начальник службы безопасности, IT-директор, руководитель отдела персонала — все, кто имеет доступ к персональным данным на законных основаниях и несет ответственность за их защиту, попадают в зону риска.
Типичный сценарий: начальник IT-службы знал об уязвимости в системе безопасности, но не обновил защитное программное обеспечение, что привело к утечке данных о клиентах. Если будет доказана халатность или умысел, возможна уголовная ответственность.
Важный нюанс: должностное лицо может быть привлечено к ответственности только если оно имело доступ к персональным данным на законном основании и было письменно предупреждено об обязанности неразглашения. Поэтому с каждым таким сотрудником должно быть подписано обязательство о неразглашении персональных данных.
Ответственность ИП приравняли к организациям
С 30 мая 2025 года индивидуальные предприниматели несут такую же ответственность, как юридические лица. За утечку биометрических данных ИП может получить штраф в 20 миллионов рублей — сумму, способную уничтожить малый бизнес.
Это требует от предпринимателей пересмотра всех процессов работы с персональными данными клиентов и сотрудников. Времена, когда можно было хранить базы клиентов в обычных Excel-файлах на домашнем компьютере, безвозвратно прошли.
Когда утечка становится уголовным преступлением
Не каждая утечка персональных данных автоматически влечет уголовную ответственность. Законодатель установил четкие критерии разграничения административных правонарушений и преступлений.
Критерий противоправности получения данных
Статья 272.1 УК РФ применяется только к данным, полученным незаконным путем:
• Через неправомерный доступ к компьютерной системе (взлом, использование чужих учетных данных)• Путем вмешательства в функционирование систем хранения и обработки данных
• Другими незаконными способами, например, подкуп сотрудника с доступом к базе данных
Если компания законно собрала персональные данные, но неправильно их обрабатывала или хранила, что привело к утечке — это административное правонарушение по статье 13.11 КоАП РФ со штрафом для организации. Уголовная ответственность в такой ситуации наступит только для злоумышленников, которые украли эти данные.
Масштаб и характер данных
Объем утечки имеет значение для квалификации:
Административная ответственность: утечка любого объема данных из-за нарушения правил их обработки оператором. Размер штрафа зависит от количества пострадавших и категории данных.
Уголовная ответственность: незаконные действия с любым объемом персональных данных, если они получены противоправным путем. Особо строгое наказание предусмотрено для данных несовершеннолетних, биометрии и специальных категорий.
Существенная деталь: законодатель говорит о «тяжких последствиях» как об отягчающем обстоятельстве. Хотя точное определение этого термина остается на усмотрение суда, в практике к тяжким последствиям могут быть отнесены:
• Причинение значительного материального ущерба субъектам данных• Создание угрозы жизни или здоровью граждан
• Использование данных для совершения других преступлений
• Массовые обращения граждан в правоохранительные органы
Доказывание вины и умысла
Уголовная ответственность наступает при наличии умысла на совершение преступления. Следствие должно доказать, что лицо:
• Осознавало незаконность своих действий с персональными данными• Предвидело возможность или неизбежность общественно опасных последствий
• Желало наступления этих последствий или сознательно их допускало
Это создает важное разграничение с халатностью, которая может быть основанием для административной или дисциплинарной ответственности, но не уголовной.
Однако в законопроектах обсуждается введение уголовной ответственности за грубую халатность, повлекшую массовые утечки персональных данных. Если эта норма будет принята, планка для руководителей станет еще выше.
Как компании отвечают за действия сотрудников и подрядчиков
Распространенная ситуация: утечка произошла по вине IT-подрядчика или небрежного сотрудника. Освобождает ли это компанию-оператора от ответственности? Судебная практика дает четкий ответ: нет.
Компания отвечает за утечку в любом случае
Согласно статье 13.11 КоАП РФ, оператор персональных данных несет ответственность за действия или бездействие, которые привели к незаконному распространению информации, независимо от того, кто конкретно был непосредственным виновником.
Даже если утечка вызвана действиями третьих лиц, включая подрядчиков, обеспечивающих безопасность данных, административный штраф налагается на компанию-оператора. Убедить суд в том, что инцидент произошел исключительно из-за хакерской атаки или халатности внешнего подрядчика, в большинстве случаев не удается.
Логика регулятора проста: именно оператор обязан обеспечить надлежащий уровень защиты персональных данных, включая правильный выбор подрядчиков, контроль их работы и технические меры безопасности.
Ответственность сотрудника, допустившего утечку
Работник, который имел доступ к персональным данным и нарушил обязанность об их неразглашении, может быть привлечен к:
Дисциплинарной ответственности: выговор, увольнение по соответствующим основаниям Трудового кодекса.
Материальной ответственности: возмещение прямого действительного ущерба, причиненного работодателю. Если с сотрудником заключен договор о полной материальной ответственности, он может быть обязан возместить всю сумму штрафа, наложенного на компанию.
Административной ответственности: как должностное лицо по статье 13.11 КоАП РФ — штраф до 100 тысяч рублей за нарушение правил обработки данных.
Уголовной ответственности: если сотрудник умышленно слил базу данных, полученную в результате неправомерного доступа к системам компании или передал данные третьим лицам за вознаграждение — по статье 272.1 УК РФ.
По данным TAdviser, 55% уголовных дел об утечках данных в России заводится именно на сотрудников компаний в сфере связи и IT. Это показывает, что правоохранительные органы активно расследуют инциденты с привлечением конкретных физических лиц.
Взыскание ущерба с подрядчика
Хотя компания не освобождается от административного штрафа, она имеет право взыскать понесенные убытки с подрядчика в порядке гражданско-правовой ответственности.
Для успешного взыскания необходимо:
• Четко прописать в договоре обязанности подрядчика по обеспечению безопасности персональных данных
• Установить ответственность за нарушение этих обязанностей (неустойка, возмещение убытков)
• Зафиксировать факт нарушения подрядчиком своих обязательств актом, заключением эксперта
• Доказать причинно-следственную связь между действиями подрядчика и наступившими негативными последствиями
Практика показывает, что взыскание происходит далеко не всегда — многие подрядчики просто не располагают достаточными активами для покрытия многомиллионных штрафов.
Отсутствие в реестре операторов не освобождает от ответственности
Некоторые компании полагают, что если они не включены в реестр операторов персональных данных Роскомнадзора, то и ответственности за утечку не последует. Это опасное заблуждение.
Отсутствие в реестре не освобождает от обязанности соблюдать требования Федерального закона №152-ФЗ и не исключает привлечения к административной или уголовной ответственности. Более того, неуведомление Роскомнадзора о намерении обрабатывать персональные данные само по себе влечет штраф от 100 тысяч до 300 тысяч рублей для организации.
Что делать руководителю для минимизации рисков
Новая реальность требует от руководителей системного подхода к защите персональных данных. Это больше не задача только IT-отдела, а стратегическая зона ответственности топ-менеджмента.
Провести аудит текущего состояния защиты данных
Первый шаг — понять, какие персональные данные обрабатывает компания, где они хранятся, кто имеет к ним доступ и насколько надежна система защиты.
Инвентаризация персональных данных:
• Составить перечень всех категорий обрабатываемых персональных данных (работников, клиентов, контрагентов)
• Определить цели обработки каждой категории данных
• Выявить информационные системы, в которых хранятся и обрабатываются персональные данные
• Проверить наличие и актуальность согласий на обработку персональных данных
Анализ уязвимостей:
• Провести оценку рисков информационной безопасности
• Выявить слабые места в технической защите (устаревшее ПО, отсутствие антивирусов, слабые пароли)
• Проверить организационные меры (доступ сотрудников к данным, процедуры резервного копирования)
Этот аудит лучше проводить с привлечением внешних специалистов по информационной безопасности, которые смогут дать независимую оценку и не будут заинтересованы в сокрытии проблем.
Создать и актуализировать обязательные документы
Законодательство требует от операторов персональных данных наличия определенного пакета документов. Их отсутствие или несоответствие требованиям — самостоятельное основание для штрафа.
Базовый пакет документов:
• Политика обработки персональных данных — публичный документ, размещаемый на сайте компании
• Положение об обработке и защите персональных данных — внутренний документ, регламентирующий процессы
• Модель угроз безопасности персональных данных — технический документ, разработанный по требованиям ФСТЭК
• Приказ о назначении ответственного за обеспечение безопасности персональных данных
• Обязательства о неразглашении для всех сотрудников, имеющих доступ к данным
С 30 мая 2025 года особое внимание следует уделить процедуре уведомления Роскомнадзора об утечках. В документах должен быть четко прописан регламент действий при обнаружении инцидента, включая ответственных лиц и сроки.
Внедрить технические средства защиты
Организационные меры должны подкрепляться техническими решениями, соответствующими уровню защищенности персональных данных.
Обязательный минимум:
• Сертифицированные средства антивирусной защиты
• Межсетевые экраны (файрволы) для защиты периметра сети
• Системы контроля доступа с разграничением прав пользователей
• Средства криптографической защиты для особо важных данных (биометрия, медицинские сведения)
• Системы резервного копирования с хранением копий в защищенном месте
Дополнительные меры для повышения уровня защиты:
• Системы обнаружения и предотвращения вторжений (IDS/IPS)
• Решения класса DLP для предотвращения утечек данных
• Двухфакторная аутентификация для доступа к критичным системам
• Регулярное тестирование на проникновение (пентесты)
Важно: использование нелицензионного или непротестированного программного обеспечения при обработке персональных данных создает дополнительные риски и может быть расценено как грубое нарушение.
Обучить сотрудников и выстроить процедуры
Человеческий фактор остается одной из главных причин утечек. Сотрудник может неосознанно стать причиной инцидента — перейти по фишинговой ссылке, использовать слабый пароль, скачать базу данных на личное устройство.
Программа обучения должна включать:
• Ознакомление с требованиями законодательства о персональных данных
• Практические навыки безопасной работы с информацией
• Распознавание социальной инженерии и фишинговых атак
• Действия при обнаружении инцидента безопасности
• Ответственность за нарушение требований
Обучение должно проводиться не разово, а на регулярной основе, минимум раз в год, с проверкой усвоения материала.
Критически важные процедуры:
• Порядок предоставления и прекращения доступа к персональным данным
• Процедура реагирования на инциденты информационной безопасности
• Регламент уведомления Роскомнадзора в течение 24 часов с момента обнаружения утечки
• Порядок информирования субъектов персональных данных об инциденте
Заключить договор киберстрахования
С учетом новых размеров штрафов рынок киберстрахования в России начинает активно развиваться. Полис киберстрахования может покрыть:
• Расходы на расследование инцидента и восстановление данных
• Штрафы регулятора (в зависимости от условий полиса)
• Судебные издержки при исках от пострадавших субъектов данных
• Репутационные потери и расходы на PR-восстановление
Страховые компании перед выдачей полиса обычно проводят аудит информационной безопасности, что само по себе является полезной процедурой для выявления уязвимостей.
Порядок действий при обнаружении утечки
Несмотря на все превентивные меры, полностью исключить риск утечки невозможно. Важно знать, как действовать, если инцидент все же произошел.
Первые 24 часа: критическое окно
С момента обнаружения утечки персональных данных у компании есть ровно 24 часа на уведомление Роскомнадзора. Нарушение этого срока влечет штраф от 1 до 3 миллионов рублей для организации.
Немедленные действия:
1. Зафиксировать факт и время обнаружения утечки — это будет отправной точкой для отсчета 24-часового срока
2. Собрать рабочую группу — IT-специалисты, юристы, служба безопасности, PR-отдел, назначенный ответственный за персональные данные
3. Максимально оперативно пресечь дальнейшую утечку — изолировать скомпрометированные системы, заблокировать доступ, остановить распространение
4. Провести первичную оценку масштаба — сколько субъектов данных затронуто, какие категории данных утекли, есть ли среди них биометрия или данные несовершеннолетних
5. Уведомить Роскомнадзор — через портал Госуслуг или сайт ведомства с использованием электронной подписи. В уведомлении указывается предварительная информация об инциденте
Скорость реакции компании на утечку в условиях новых оборотных штрафов становится решающим фактором при определении размера санкций и репутационных последствий инцидента.
Расследование инцидента и документирование
После первичного реагирования необходимо провести полноценное расследование:
Установить причины утечки:
• Техническая уязвимость в системе
• Действия внешних злоумышленников (хакерская атака)
• Внутренний инсайдер (умышленные действия сотрудника)
• Халатность персонала
Определить объем утечки:
• Точное количество субъектов персональных данных
• Категории утекших данных
• Период, за который утекли данные
• Потенциальные последствия для субъектов данных
Зафиксировать все доказательства:
• Логи информационных систем
• Скриншоты и технические отчеты
• Показания сотрудников
• Заключения экспертов
Эти материалы понадобятся как для взаимодействия с контролирующими органами, так и для возможного судебного разбирательства.
Уведомление пострадавших
Субъекты персональных данных имеют право знать о том, что их информация попала в открытый доступ. Хотя закон прямо не обязывает оператора уведомлять каждого пострадавшего, это является хорошей практикой и может снизить репутационные риски.
Рекомендуемое содержание уведомления:
• Краткое описание инцидента без технических подробностей
• Какие именно данные могли быть скомпрометированы
• Предпринятые компанией меры по устранению последствий
• Рекомендации субъектам данных (смена паролей, повышенная бдительность к звонкам мошенников)
• Контакты для получения дополнительной информации
Такое уведомление помогает людям подготовиться к возможным попыткам мошенничества и демонстрирует ответственный подход компании.
Принятие мер для недопущения повторения
Выявленные уязвимости необходимо устранить:
• Установить обновления безопасности
• Изменить процедуры доступа к данным
• Провести внеочередное обучение персонала
• Усилить технические средства защиты
Если в течение года с момента первого нарушения произойдет повторная утечка, компания попадет под оборотный штраф от 1 до 3% годовой выручки. Это делает принятие эффективных корректирующих мер не просто рекомендацией, а критической необходимостью.
Практические кейсы: кто уже столкнулся с последствиями
Анализ реальных случаев помогает понять, как работают новые нормы на практике.
Страховая компания: утечка через внутренний портал
В начале 2025 года федеральная страховая компания столкнулась с инцидентом: хакеры получили доступ к закрытому порталу для внутренних нужд сотрудников. Через эту уязвимость злоумышленники извлекли данные клиентов, включая паспортные данные и медицинскую информацию.
Компания уведомила Роскомнадзор в установленный срок и оперативно закрыла уязвимость. Однако административный штраф все равно был наложен, поскольку оператор обязан был обеспечить надлежащую защиту. Утечка специальной категории данных (медицинские сведения) обошлась организации в 12 миллионов рублей.
Этот случай показывает: даже быстрая реакция не освобождает от ответственности, если система изначально не была должным образом защищена.
Яндекс Еда: иски пострадавших пользователей
После утечки персональных данных пользователей сервиса «Яндекс Еда» 33 человека подали иски с требованием компенсации морального вреда по 100 тысяч рублей каждому.
По решению суда только 13 человек получили компенсацию, и то по 5 тысяч рублей — в 20 раз меньше заявленной суммы. Это демонстрирует, что суды пока осторожно подходят к определению размера морального вреда от утечки данных.
Тем не менее, сам факт многочисленных исков создает дополнительную нагрузку на юридический отдел компании и наносит репутационный ущерб.
Сотрудники операторов связи: уголовные дела
По данным статистики, 55% уголовных дел об утечках данных в России возбуждается в отношении сотрудников компаний в сфере связи. Типичная схема: работник колл-центра или технической поддержки за вознаграждение сливает базу данных клиентов.
С введением статьи 272.1 УК РФ таким сотрудникам грозит реальный срок лишения свободы до четырех лет. Если речь идет о данных несовершеннолетних или биометрии — до пяти лет.
Компании несут ответственность за подбор персонала и контроль его действий. Наличие подписанного обязательства о неразглашении, систем мониторинга действий пользователей и регулярного обучения — важные элементы защиты.
Частые вопросы руководителей
Можно ли застраховаться от уголовной ответственности?
Нет, уголовная ответственность носит личный характер и не может быть передана страховой компании. Полис киберстрахования способен покрыть финансовые потери (штрафы, расходы на устранение последствий), но не освобождает физическое лицо от уголовного преследования.
Единственный способ защиты от уголовной ответственности — не допускать ситуаций, при которых она может наступить. То есть соблюдать все требования законодательства и обеспечивать надлежащий уровень защиты данных.
Как доказать, что компания приняла все необходимые меры?
Критически важно документировать все процессы:
• Приказы о назначении ответственных лиц• Протоколы обучения сотрудников
• Акты проверки состояния системы защиты персональных данных
• Договоры с подрядчиками на оказание услуг по информационной безопасности
• Отчеты о проведенных аудитах и пентестах
• Журналы регистрации инцидентов
При возникновении спора эти документы помогут доказать, что компания действовала добросовестно и инцидент произошел не из-за халатности руководства.
Что делать, если утечка обнаружена спустя длительное время?
24-часовой срок для уведомления Роскомнадзора начинает течь с момента обнаружения утечки, а не с момента ее фактического совершения. Если компания узнала об инциденте спустя месяц после того, как он произошел, уведомление нужно направить в течение 24 часов с момента обнаружения.
Однако сам факт того, что утечка не была своевременно обнаружена, может быть расценен как недостаточность системы мониторинга и контроля, что является отдельным нарушением требований к защите персональных данных.
Нужно ли сообщать в полицию об утечке?
Это зависит от обстоятельств инцидента. Если есть основания полагать, что утечка произошла в результате противоправных действий (взлом, мошенничество, действия инсайдера), то целесообразно обратиться в правоохранительные органы с заявлением о преступлении.
Такое обращение может помочь при рассмотрении дела об административном правонарушении, поскольку демонстрирует активную позицию компании по выявлению виновных и предотвращению подобных инцидентов в будущем.
Материал подготовлен экспертами БелИнфоНалог
Наша компания специализируется на защите информационных активов бизнеса и комплаенсе в сфере персональных данных. Мы помогаем компаниям выстроить систему защиты, соответствующую новым требованиям законодательства, и минимизировать риски привлечения к ответственности.
1С Продажа и Услуги

