Первые судебные дела об утечках персональных данных

Первые дела об утечках персональных данных, возникшие после ужесточения ответственности в мае 2025 года, дошли до судов. Однако пока решения оказались довольно мягкими: в одном случае суд назначил штраф в 400 тыс. рублей, в другом ограничился предупреждением. Эксперты полагают, что такая практика может быть временной, и в будущем суды будут выносить более жёсткие решения. 

Примеры первых дел

Дело онлайн-школы. Летом 2025 года из информационной системы онлайн-школы утекло около 500 тыс. строк с персональными данными клиентов (фамилии, имена, номера телефонов, адреса электронной почты) и сотрудников. Данные были размещены в Telegram-канале злоумышленников. Роскомнадзор подтвердил принадлежность базы школе и квалифицировал нарушение по ч. 14 ст. 13.11 КоАП РФ (неправомерный доступ к ИСПДн с распространением данных более 100 тыс. субъектов). Штраф по этой статье для организаций составляет от 10 до 15 млн рублей. Однако суд учёл, что школа относится к микропредприятиям, и назначил штраф как для ИП — 400 тыс. рублей.

Дело инвестиционной платформы. В результате хакерской атаки с платформы были похищены данные 70 тыс. клиентов и сотрудников. Роскомнадзор установил факт неправомерного доступа к системе, суд согласился с квалификацией по ч. 13 ст. 13.11 КоАП РФ (неправомерная передача данных от 10 тыс. до 100 тыс. субъектов). Однако суд ограничился предупреждением, так как это было первое нарушение компании.

Особенности судебной практики

Суды пока склонны к смягчению наказаний, несмотря на ужесточение законодательства. Это связано с тем, что:

• компании часто признаются микропредприятиями или впервые допустившими нарушение; 
• суды иногда не учитывают масштаб ущерба и фокусируются на формальных критериях. 

Однако в деле РЖД наблюдается иной подход. В 2025 году была обнаружена утечка данных более 17 млн строк с персональными сведениями сотрудников. Изначально суд назначил штраф 150 тыс. рублей, но РЖД оспорило решение. Апелляционный суд учёл, что утечка произошла в результате целенаправленной кибератаки, и подчеркнул: компания не может быть признана виновной, если она приняла все зависящие от неё меры защиты. Это дело демонстрирует тенденцию к более взвешенной оценке вины бизнеса, хотя оно рассматривалось в арбитражном суде, а с 2026 года такие дела передаются в суды общей юрисдикции. 

Что ждать дальше

Эксперты прогнозируют ужесточение практики по нескольким причинам:

• Новые нормы КоАП РФ предусматривают значительные штрафы: от 3 до 15 млн рублей в зависимости от масштаба утечки, а также оборотные штрафы (0,1–3% от выручки, но не менее 25 млн и не более 500 млн рублей за повторные нарушения). 
• Введена уголовная ответственность по ст. 272.1 УК РФ за незаконное использование и передачу персональных данных. Наказание включает лишение свободы до 10 лет при отягчающих обстоятельствах (например, если утечка повлекла вред жизни или здоровью граждан). +1
• Суды могут начать активнее учитывать реальный ущерб от утечек и требовать от компаний документального подтверждения принятых мер защиты. 

Компании теперь должны не только формально соблюдать нормы, но и демонстрировать добросовестность в обеспечении безопасности данных: проводить аудит, внедрять сертифицированные системы защиты, обучать сотрудников. Отсутствие таких доказательств может привести к более строгим решениям судов.

Таким образом, хотя первые дела об утечках пока не привели к масштабным штрафам, тенденция к ужесточению ответственности сохраняется. Бизнесу стоит серьёзно отнестись к вопросам защиты персональных данных, чтобы избежать значительных финансовых и репутационных потерь.