Штраф за утечку ПДн: сколько и кто платит в 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я участвовал в десятках дел, где компании теряли миллионы из-за одной утечки.
Чаще всего — из-за халатности.
В этой статье — только факты: кто платит, сколько и как не попасть под удар в 2026 году.
Кто отвечает за утечку ПДн?
Ответ: Оператор — тот, кто организует и контролирует обработку персональных данных. Это может быть:
ООО или ИП
Директор компании
Главбух, HR, администратор — если они ведут базы клиентов, сотрудников, арендаторов
Даже если утечку устроил сотрудник, платить будет руководитель. Так решил Верховный Суд в Постановлении Пленума № 35 от 2023 года: «Ответственность за организацию защиты ПДн лежит на руководителе, а не на рядовом сотруднике».
Я рекомендую: назначьте ответственного за ПДн — даже если вы работаете один. Это формальное, но критичное требование 152-ФЗ.
Какой штраф за утечку в 2026 году?
Ответ: Основная статья — ст. 13.11 КоАП РФ. Размер штрафа зависит от вины и масштаба:
Кто нарушает Штраф (руб.)
Должностное лицо от 10 000 до 75 000
ИП от 15 000 до 75 000
Юрлицо от 30 000 до 1 000 000
Если утечка произошла повторно — штраф до 2 млн рублей.
С 2024 года вводится ст. 13.11.1 КоАП РФ — за несвоевременное уведомление Роскомнадзора об утечке. Срок — не позднее 24 часов с момента обнаружения. Нарушение — штраф до 500 000 рублей для юрлица.
Пример: в 2025 году московская клиника получила штраф 800 000 рублей за утечку данных пациентов. Причиной стал взлом сервера, но главный удар — за отсутствие шифрования и задержку уведомления (Решение Управления Роскомнадзора по г. Москве № 7-12/2025).
Что считается утечкой?
Ответ: По позиции Роскомнадзора, утечка — это любое несанкционированное ознакомление с ПДн, включая:
Взлом базы данных
Утеря флешки или ноутбука
Пересылка данных по email по ошибке
Публикация в открытом доступе (например, в чате)
Пример: в 2024 году ИП-репетитор оштрафован на 40 000 рублей за то, что скинул список учеников с телефонами в общий чат Telegram. Он не знал, что это утечка. Суд не принял это во внимание — незнание закона не освобождает от ответственности.
Я рекомендую: внедрите DLP-системы (Data Loss Prevention) — они блокируют отправку ПДн на внешние носители. Даже в малом бизнесе это окупается.
Как избежать штрафа?
Ответ: Роскомнадзор и суды учитывают принятые меры защиты. Если вы:
Шифруете базы (AES-256)
Используете 2FA
Ведёте журнал доступа
Обучаете сотрудников
Назначили ответственного
Уведомили в течение 24 часов
— штраф может быть снижен или отменён.
Пример: в 2025 году суд в Новосибирске снял штраф с компании, которая своевременно уведомила Роскомнадзор и доказала, что использовала шифрование и MDM-систему (Дело № А45-8765/2025).
Мой совет: не ждите утечки. Запустите аудит безопасности сейчас. Это дешевле, чем штраф.
Что делать прямо сейчас?
Проверьте, зашифрованы ли базы с ПДн.
Включите 2FA на всех рабочих аккаунтах.
Назначьте ответственного за ПДн.
Настройте уведомление об утечке в течение 24 часов.
Если сомневаетесь — обратитесь к специалисту. В «ЛЕГАС» мы помогаем с 2000 года. У нас есть проверенные схемы защиты, шаблоны уведомлений и опыт — чтобы вы не платили за чужие ошибки.
