Суды РФ: первые штрафы за масштабные утечки персональных данных

С 30 мая 2025 года ужесточена ответственность за утечки персональных данных. Новые нормы предполагают миллионные штрафы для организаций за масштабные утечки

Суды РФ: первые штрафы за масштабные утечки персональных данных — Источник изображения: Unsplash.com

Представляет интересы клиентов в арбитражных судах и судах общей юрисдикции. Более 10 лет работал в международных компаниях Baker & McKenzie, Clifford Chance. Резидент Сколково

Подробнее про эксперта

Первые дела об утечках, произошедших после 30 мая 2025 года, только-только доходят до суда. Однако суды (пока) достаточно лояльно относятся к нарушителям.

Так, в июне прошлого года из информационной системы персональных данных популярной онлайн-школы в сеть попало около полумиллиона строк с персональными данными клиентов, а также корпоративные адреса электронных почт с данными сотрудников. Данные были размещены в Telegram-канале злоумышленников. Роскомнадзор подтвердил принадлежность базы онлайн-школе. Налицо факт неправомерного доступа к системе персональных данных оператора, повлекшего за собой распространение неограниченному кругу лиц данных клиентов и исполнителей (более 300 000 субъектов персональных данных).

По мнению регулятора, указанные действия образуют состав административного правонарушения по ч. 14 ст. 13.11 КоАП РФ (штраф для организаций от 10 до 15 миллионов). Арбитражный суд согласился с квалификацией: оснований для замены штрафа на предупреждение судом не обнаружено, однако, поскольку оператор персональных данных является микропредприятием, а КоАП РФ в таком случае предусматривает назначение штрафа в размере, применяемом к ИП, и учитывая отсутствие в ст. 13.11 КоАП РФ специального штрафа для ИП, суд решил назначить штраф в сумме 400 000 рублей.

В другом кейсе рассмотрим судебное разбирательство в отношении цифровой платформы инвестпроектов. После хакерской атаки в сеть попали персональные данные 70 000 субъектов клиентов и сотрудников. Роскомнадзор провел административное расследование и установил факт неправомерного доступа к системе персональных данных. Действия образуют состав административного правонарушения, предусмотренного ч.13 ст.13.11 КоАП РФ (штраф для организаций от 5 до 10 миллионов рублей). Арбитражный суд согласился с квалификацией, однако не стал штрафовать платформу.

Так, согласно ст. 4.1.1 КоАП РФ впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля, позволяет назначить предупреждение. Суд посчитал возможным назначить платформе предупреждение, так как правонарушение было совершено впервые. Все указанные судебные разбирательства, как вы понимаете, сопровождались грамотным юридическим сопровождением.

Рубрики

IT и технологии Общество

Предыдущая новость

Конституционный Суд РФ: защита интересов владельцев недвижимости

Следующая новость

Как подавать документы по уголовным делам на портале «Госуслуги»