30 мая 2025 года в КоАП 13.11 вступили в силу новые санкции за утечку персональных данных. Раньше: разовый штраф 60–100 К ₽ независимо от масштаба. Сейчас: прогрессивная шкала + оборотные штрафы при повторе.

Новая шкала штрафов за утечку

Объём утечкиШтраф юрлицу
от 1 000 до 10 000 субъектов3–5 млн ₽
от 10 000 до 100 0005–10 млн ₽
от 100 00010–15 млн ₽
Спецкатегория (медицина, биометрия)10–15 млн ₽

Оборотные штрафы при повторной утечке

Если в течение года произошла повторная утечка — штраф не фиксированный, а в проценте от годовой выручки:

  • Минимум: 1% годовой выручки, не менее 20 млн ₽
  • Максимум: 3% годовой выручки, не более 500 млн ₽

Это означает, что компания с оборотом 1 млрд ₽ за повторную утечку получит 10–30 млн ₽, а компания с оборотом 100 млрд — 1–3 млрд ₽.

Что считается «утечкой»

  • Слив базы клиентов в открытый доступ (наиболее очевидное)
  • Получение неавторизованным лицом доступа к ПД (например, из-за дыры в коде сайта)
  • Случайная отправка письма с данными «не туда»
  • Утеря флешки/ноутбука с базой
  • Хакерская атака с эксфильтрацией
  • Передача ПД подрядчику без надлежащего договора и без согласия субъектов

Неуведомление об утечке — отдельный штраф

С 2024 года при обнаружении утечки оператор обязан:

  • Уведомить РКН в течение 24 часов
  • Уведомить пострадавших субъектов в течение 72 часов
  • Принять меры по локализации в течение 72 часов

За неуведомление РКН — отдельный штраф 1–3 млн ₽. Этот штраф добавляется к штрафу за саму утечку.

Кому грозит больше всего

Парадокс новой шкалы: крупный бизнес может «откупиться» 15 млн (что для оборота 100 млрд — мелочь), но средний бизнес с оборотом 200–500 млн ₽ за повторную утечку получит 20+ млн ₽ — это удар, который может уничтожить компанию.

Минимальная защита

  1. Шифрование баз данных (TDE/at-rest encryption)
  2. Двухфакторная аутентификация для всех админских доступов
  3. Ограничение прав: каждый сотрудник видит только нужные ему данные
  4. Регулярные бэкапы — но тоже зашифрованные (украденный незашифрованный бэкап = утечка)
  5. SIEM-мониторинг или хотя бы логирование всех обращений к базе ПД
  6. Договор о неразглашении (NDA) с каждым подрядчиком, обрабатывающим ПД
  7. Регулярный пентест (раз в год минимум)
  8. Страхование киберрисков — рынок появился в 2024–2025, премии 100–500 К ₽ в год покрывают штрафы до 10 млн

Если утечка уже случилась

  1. Локализовать (отключить уязвимый сервис) — 24 часа
  2. Уведомить РКН через https://rkn.gov.ru/24 часа
  3. Провести внутреннее расследование, зафиксировать факт
  4. Уведомить пострадавших субъектов любым доступным способом — 72 часа
  5. Подготовить комплект документов для проверки РКН
  6. Связаться с юристами по 152-ФЗ для минимизации штрафа (своевременное уведомление + добровольные меры — смягчающее обстоятельство)