Понедельник, 9:15 утра. DLP фиксирует аномальную выгрузку - 50 000 записей с ФИО, паспортами и адресами ушли на внешний хост. В этот момент запускается юридический таймер: 24 часа на первичное уведомление Роскомнадзора, 72 часа на детальный отчёт. А параллельно - калькулятор штрафа, который с 30 мая 2025 года считает в процентах от годовой выручки.
Федеральный закон № 420-ФЗ от 30 ноября 2024 года переписал правила игры. Раньше утечка миллионной клиентской базы грозила компании штрафом до 100 000 рублей - строка в бюджете на канцелярию. Сейчас суммы такие, что могут обрушить операционку среднего бизнеса. По данным портала «Гарант», в марте 2026 года назначены первые реальные штрафы за крупные утечки по новым нормам.
Я прошёл через несколько расследований инцидентов с утечками ПДн - заполнял уведомления по форме Приказа № 178, настраивал политики InfoWatch и Solar Dozor, а потом объяснял юристам, почему конкретный инцидент квалифицируется как утечка в смысле статьи 13.11 КоАП, а не просто «технический сбой». Тут - полный разбор новых правил: от конкретных цифр до пошагового incident response, выстроенного на реальной практике.
Что изменилось в КоАП 13.11: три уровня ответственности за утечки ПДн
Закон 420-ФЗ перестроил статью 13.11 КоАП РФ и ввёл трёхуровневую систему санкций. Старая логика - фиксированный штраф вне зависимости от масштаба - умерла. Новая привязывает размер санкции к трём параметрам: количество пострадавших субъектов, повторность нарушения, поведение оператора после инцидента.Ключевое изменение: появилось понятие «утечка» как отдельный квалифицирующий признак. Раньше КоАП оперировал категорией «нарушение порядка обработки персональных данных» - расплывчатая формулировка, под которую подпадало всё, от кривой политики конфиденциальности до реальной компрометации базы. Теперь утечка - отдельный состав, с собственной шкалой наказаний.
Штрафы за первичную утечку данных: конкретные цифры
Первичная утечка - первый зафиксированный инцидент у оператора. Размер штрафа зависит от количества субъектов ПДн, чьи данные скомпрометированы. По данным acsour и КонсультантПлюс, штрафы для юрлиц при первичной утечке:- Утечка данных 1 000–10 000 субъектов (ч. 12 ст. 13.11) - от 3 до 5 млн руб.
- От 10 000 до 100 000 субъектов (ч. 13) - от 5 до 10 млн руб.
- Свыше 100 000 субъектов (ч. 14) - от 10 до 15 млн руб.
Нюанс, который мои коллеги-юристы часто упускают: количество субъектов считается не по записям в базе, а по уникальным физическим лицам. Если в утёкшей базе один человек фигурирует тремя записями (разные телефоны, разные адреса) - это один субъект, а не три. На практике при составлении отчёта об инциденте нужна дедупликация, и её результат напрямую влияет на размер штрафа.
Оборотные штрафы за повторные утечки персональных данных
Тут начинается другой порядок чисел. По данным DLA Piper, при повторной утечке штраф составляет от 0,1 до 3% совокупной годовой выручки оператора. Границы жёсткие: минимум - 20 000 000 рублей, даже если 1% от выручки меньше. Потолок - 500 000 000 рублей.Слово «повторная» здесь юридически значимо. Повторность фиксируется, если оператор уже привлекался за утечку и новый инцидент произошёл до истечения года с момента исполнения постановления. Простой пример: компания заплатила штраф за первую утечку в январе 2026-го, вторая утечка случилась в ноябре 2026-го - всё, это повторное нарушение, включается оборотная формула.
Санкции за неуведомление Роскомнадзора об утечке
Отдельная линия ответственности - за молчание. Статья 13.11 КоАП в редакции 420-ФЗ устанавливает штрафы за неуведомление или несвоевременное уведомление РКН об утечке. По данным КонсультантПлюс, для ИП и компаний - от 1 до 3 миллионов рублей, для должностных лиц госорганов - от 400 до 800 тысяч рублей.На практике это создаёт знакомый мне парадокс: компания узнаёт об утечке, но тянет с уведомлением, надеясь «разобраться тихо». В итоге к штрафу за саму утечку добавляется штраф за несвоевременное уведомление. Двойной удар, которого можно было избежать одним звонком юристу в первый час.
Сводная таблица ключевых штрафов по статье 13.11 КоАП в редакции 420-ФЗ:
| Нарушение | Юрлица / ИП | Должностные лица |
|---|---|---|
| Первичная утечка (масштабная) | до 15 000 000 руб. | до 800 000 руб. |
| Повторная утечка (оборотный штраф) | 0,1–3% выручки (мин. 20 млн, макс. 500 млн) | - |
| Неуведомление РКН | 1 000 000 – 3 000 000 руб. | 400 000 – 800 000 руб. |
Как рассчитать оборотный штраф: формула и реальные сценарии
Формула арифметически проста, но экономически коварна. Суд определяет процент в диапазоне от 0,1 до 3% от совокупной годовой выручки за календарный год, предшествующий году правонарушения. Если получилось меньше 20 миллионов - штраф всё равно 20 миллионов. Больше 500 миллионов - срезается до потолка.Три сценария, чтобы стало понятно.
Сценарий 1: выручка 500 миллионов рублей. Средний e-commerce или региональная сеть клиник. Повторная утечка 30 000 записей пациентов.
- 0,1% от 500 млн = 500 тыс. руб.
- 3% от 500 млн = 15 млн руб.
- Обе суммы ниже минимального порога в 20 млн.
- Итоговый штраф: 20 000 000 рублей - независимо от процента.
Сценарий 2: выручка 5 миллиардов рублей. Крупный ритейлер или банк из второй двадцатки.
- 0,1% от 5 млрд = 5 млн руб. (ниже минимума)
- 3% от 5 млрд = 150 млн руб.
- Итоговый диапазон: от 20 до 150 миллионов рублей.
Сценарий 3: выручка 30 миллиардов рублей. Федеральный оператор связи или маркетплейс.
- 0,1% от 30 млрд = 30 млн руб.
- 3% от 30 млрд = 900 млн руб. - срабатывает потолок.
- Итоговый диапазон: от 30 до 500 миллионов рублей.
Incident response при утечке персональных данных: 24 часа, которые решают всё
Теперь к практике. Утечка обнаружена - что делать? Хронология ниже выстроена на реальных инцидентах. Каждый шаг привязан к юридическим дедлайнам из ФЗ-152 и подзаконных актов.Хронология действий: от обнаружения до уведомления Роскомнадзора
Час 0–1. Обнаружение и фиксация. SIEM или DLP фиксирует инцидент. Первое действие - не выдёргивать кабели, а зафиксировать доказательную базу. Снять дамп логов, сохранить алерт, записать таймстемпы. Без этого расследование превращается в гадание на кофейной гуще.Конкретно:
Код:
# Экспорт логов SIEM за период инцидента (пример для ELK)
curl -X POST "localhost:9200/security-events-*/_search" \
-H 'Content-Type: application/json' \
-d '{
"query": {
"range": {
"@timestamp": {
"gte": "2026-01-15T09:00:00",
"lte": "2026-01-15T10:00:00"
}
}
},
"size": 10000
}' > incident_evidence_$(date +%Y%m%d_%H%M%S).jsonНа этом этапе критично подключить юриста - не «завтра», а прямо сейчас. Юрист определяет, подпадает ли инцидент под обязательное уведомление. Не каждый технический инцидент - утечка в юридическом смысле: если данные были зашифрованы и ключ не скомпрометирован, это может не квалифицироваться как утечка, требующая уведомления. Этот нюанс спас как минимум одну компанию, с которой я работал.
Час 6–24. Первичное уведомление Роскомнадзора. Уведомление подаётся через портал РКН в течение 24 часов с момента обнаружения. Ключевое слово - «обнаружения», а не «подтверждения». Если DLP сработала в 9:15, а вы до 16:00 проверяли, была ли это настоящая утечка, - таймер всё равно считается с 9:15. Ловушка, в которую попадают многие.
Час 24–72. Детальный отчёт. В течение 72 часов нужно предоставить подробный отчёт: что утекло, сколько субъектов затронуто, какие меры приняты для минимизации последствий, что планируется для предотвращения повторения.
Что писать в уведомлении: структура и типичные ошибки
Уведомление в Роскомнадзор по форме Приказа № 178 содержит обязательные поля. Структура первичного уведомления:- Дата и время обнаружения - конкретный таймстемп, а не «примерно во второй половине дня»
- Предварительная оценка количества субъектов - можно указать диапазон, но обоснованный
- Категории данных - ФИО, контактные данные, паспортные данные, данные о здоровье и т.д.
- Предполагаемый вектор - внешняя атака, действия инсайдера, ошибка конфигурации
- Принятые меры - что уже сделано для локализации инцидента
- Контактное лицо - кто будет взаимодействовать с РКН по этому инциденту
Compliance до инцидента: чек-лист требований ФЗ-152 для ИБ-специалиста
Штрафы - это то, что происходит после. Задача compliance - сделать так, чтобы утечка либо не произошла, либо её последствия были минимальны, а штраф - снижен. Ниже - чек-лист, который я использую при gap-анализе по 152-ФЗ.Технические меры защиты персональных данных
DLP-система. Не «поставить и забыть», а настроить политики под конкретные категории ПДн вашей компании. Лично у меня был опыт: стандартная конфигурация InfoWatch Traffic Monitor «из коробки» ловила менее 40% реальных утечек, потому что не знала специфики данных заказчика. Допиливали политики ещё две недели.Минимально необходимые политики:
- Детектирование паспортных данных (регулярное выражение + контекстный анализ)
- Мониторинг массовых выгрузок из БД (порог: более N записей за сессию)
- Контроль внешних каналов: email, мессенджеры, облачные хранилища, USB
Пример правила корреляции (концепция):
Код:
# Псевдоправило: обнаружение массовой выгрузки из таблицы с ПДн
rule "Mass PD Export Detection"
when
db_query.table IN ["customers", "patients", "employees"]
AND db_query.rows_returned > 1000
AND db_query.time NOT IN business_hours
then
alert(severity="HIGH", category="PD_EXFILTRATION")
notify(team="incident_response", channel="urgent")
end
Ссылка скрыта от гостей
. Шифрование не предотвращает утечку, но может изменить её юридическую квалификацию: зашифрованные данные без скомпрометированного ключа - это потенциально не утечка ПДн, а утечка нечитаемого бинарного массива. Разница - миллионы рублей штрафа.Контроль доступа.
Ссылка скрыта от гостей
. PAM для администраторов БД. Ежеквартальный пересмотр прав - не формальный, а реальный: кто из уволенных сотрудников всё ещё имеет доступ к базе клиентов? (Спойлер: почти всегда кто-то имеет.)Организационные меры и документация для проверок Роскомнадзора
Реестр обработки ПДн. Документ, где перечислены все категории обрабатываемых данных, цели обработки, правовые основания, сроки хранения и перечень лиц с доступом. Оператор обязан вести такой реестр и предъявлять его по запросу регулятора.Многие ведут реестр в OneTrust или аналогах. На практике самописная таблица в Excel, которую действительно обновляют, работает лучше, чем дорогая GRC-платформа, в которую никто не заходит. Главное - актуальность, а не инструмент.
Политика реагирования на инциденты (Incident Response Plan). Документ, описывающий: кто принимает решение об уведомлении РКН, кто подписывает уведомление, кто проводит расследование, кто общается с прессой. Без этого документа в момент инцидента все смотрят друг на друга, а таймер тикает. Видел такое лично - зрелище не из приятных.
Модель угроз и оценка вреда субъектам. ФЗ-152 требует оценивать вред, который может быть нанесён субъектам ПДн при нарушении безопасности. Это не формальность: при расчёте штрафа суд может учитывать, проводилась ли оценка рисков и были ли приняты соразмерные меры.
Обучение сотрудников. Раз в год - минимум. Не презентация из 10 слайдов «что такое персональные данные», а практический тренинг: как распознать фишинг, что делать при подозрении на утечку, кому звонить. Задокументированное обучение с подписями - аргумент при проверке.
Первые оборотные штрафы 2025–2026: что показала судебная практика
По данным портала «Гарант», к марту 2026 года назначены первые штрафы за крупные утечки по новым нормам. С момента вступления поправок в силу 30 мая 2025-го прошло менее года, судебная практика ещё формируется.Любопытное наблюдение из юридического анализа Ольги Шаповаловой: российские суды в первых делах проявляют определённую снисходительность. Типичная картина для начала применения новых норм - суды «притираются» к новым размерам санкций и осторожно выбирают нижние границы диапазонов.
Но рассчитывать на мягкость - плохая стратегия. Регуляторная практика в России устроена предсказуемо: первые полгода - мягкие наказания, затем резкое ужесточение по мере накопления практики и формирования методических разъяснений. Для CISO это значит: окно для «вхождения в compliance» закрывается. То, что суд простит в 2026 году, в 2027-м обернётся полной стоимостью штрафа.
Роскомнадзор активно формирует практику проверок. Проверки бывают как плановыми, так и инициированными в ответ на публичную информацию об утечке - публикацию базы в даркнете, жалобы субъектов, расследования журналистов. DLP-логи, результаты аудитов, реестр обработки - всё это могут запросить.
Ссылка скрыта от гостей
: сравнение подходов
Российские оборотные штрафы за утечки персональных данных часто сравнивают с GDPR. Сравнение оправдано - обе системы используют процент от выручки, - но дьявол в деталях.| Параметр | Россия (ФЗ-152 + КоАП 13.11) | GDPR (ЕС) |
|---|---|---|
| Диапазон ставки | 0,1–3% совокупной выручки | до 4% глобального оборота |
| Потолок штрафа | 500 млн руб. (~5 млн евро) | 20 млн евро (без потолка для %) |
| Минимальный порог | 20 млн руб. | Отсутствует |
| Срок уведомления регулятора | 24 часа | 72 часа |
| Уведомление субъектов | Через портал РКН | Напрямую, если высокий риск |
| Уголовная ответственность | Предусмотрена для лиц, незаконно получивших/распространивших ПДн (ст. 272.1 УК РФ, ФЗ-421 от 30.11.2024), не для оператора как юрлица | Зависит от юрисдикции |
Что из этого следует на практике.
Срок уведомления в России жёстче - 24 часа вместо 72. Процесс обнаружения и классификации инцидента должен быть быстрее. Нет роскоши двух дней на анализ.
Минимальный порог в 20 миллионов рублей - уникальная черта российской системы. GDPR такого порога не имеет: если нарушение незначительное, штраф может быть символическим. У нас повторная утечка автоматически означает минимум 20 миллионов, даже если утекли данные 10 человек.
Потолок в 500 миллионов рублей ограничивает ответственность крупнейших компаний. В GDPR потолка для процентной ставки нет - 4% от глобального оборота Amazon составило бы миллиарды евро. Российская система мягче к гигантам и жёстче к среднему бизнесу. Тут-то и зарыта собака.
Что делать прямо сейчас: практический план для ИБ-специалиста
Без абстрактных рекомендаций - конкретный план действий по приоритетности.Неделя 1. Проведите инвентаризацию: где в инфраструктуре хранятся персональные данные, кто имеет доступ, какие каналы утечки не контролируются. Если реестра обработки ПДн нет - создайте хотя бы в таблице. Это первое, что запросит Роскомнадзор.
Неделя 2. Проверьте, есть ли утверждённый Incident Response Plan с юридической процедурой уведомления РКН. Нет - это приоритет номер один. Без плана 24-часовой дедлайн превращается в лотерею.
Неделя 3–4. Оцените технические средства защиты. DLP настроена на ваши категории данных? SIEM коррелирует события доступа к базам с ПДн? Шифрование at rest включено? Задокументируйте текущее состояние - это и есть gap-анализ.
Месяц 2–3. Закройте критические гапы. Минимум: алерты на массовые выгрузки, актуальные DLP-политики, тренинг для сотрудников с документированием.
Закон уже работает. Проверьте прямо сейчас, кто из уволенных сотрудников до сих пор имеет доступ к базе клиентов. Если найдёте хотя бы одного - у вас та же проблема, что и у компаний, которые уже платят штрафы.
