Судебная практика по утечкам ПДн 2022–2025: что суды реально присуждают

⚖️ Что суды делают с компаниями после утечек персональных данных — практика 2022–2025

Судебная практика по утечкам ПДн за три года заметно ужесточилась. Если в 2022–2023 годах компании отделывались минимальными штрафами по ч. 1 ст. 13.11 КоАП РФ, то к 2024–2025 суды стали активнее применять составы с более высокими санкциями — особенно когда оператор не уведомил РКН в положенный срок.

Три устойчивых тренда из практики:

🔍 Неуведомление РКН бьёт сильнее, чем сама утечка. Суды фиксируют отдельный состав по ч. 11 ст. 13.11 КоАП — штраф от 1 до 3 млн ₽ для юрлица — именно за то, что компания не сообщила об инциденте в течение 24 часов. Это самостоятельное нарушение, не связанное с размером утечки.

📊 Объём утечки влияет на квалификацию. При утечке более 1 000 записей суды квалифицируют нарушение по более тяжкой части статьи. Чем больше субъектов пострадало — тем выше штраф и выше вероятность повторной проверки.

💡 Технические меры защиты — ключевой аргумент защиты. Компаниям, которые смогли документально подтвердить наличие СУИБ, политик безопасности и журналов доступа, суды снижали штрафы или прекращали дела. Отсутствие документации — автоматически отягчающее обстоятельство.

Практический вывод: план реагирования на инцидент (кто звонит в РКН, кто фиксирует объём, кто уведомляет пострадавших) нужно написать заранее — не после того, как база уже ушла в сеть.