Журнал "Information Security/ Информационная безопасность" #3, 2025

Субъекты ответственности и виды наказаний Подавляющее большинство дел (187 из 219, или 85%) было возбуждено в отношении юридических лиц. К ответ- ственности также привлекались инди- видуальные предприниматели (21 дело), должностные лица (10 дел) и один само- занятый. Утечки затронули компании практически из всех отраслей: от банков, страхования, ИТ и телекома до образо- вания, медицины, розничной торговли, ЖКХ, строительства, медиа, транспорта и государственных учреждений. Примечание: с вступлением в силу поправок изменился подход к опреде- лению субъекта ответственности. Рань- ше одновременное привлечение к ответ- ственности юрлица и его должностного лица было возможно, но на практике встречалось достаточно редко. Для новых составов в коммерческом секторе за утечки отвечают юридические лица, а в государственном и некоммерческом секторе – должностные лица. Квалификация нарушений и размеры штрафов До поправок в КоАП РФ специального состава за утечку персональных данных не существовало, и такие инциденты квалифицировались как "нарушение порядка обработки персональных данных путем их распространения" (ч. 1 ст. 13.11 КоАП РФ). Эта статья применялась в 96% дел (211 случаев). Дела о повтор- ных утечках были единичными. Для юридических лиц наиболее веро- ятным исходом было назначение адми- нистративного штрафа (148 дел). Пред- упреждение было вынесено в 33 случаях, а прекращены были всего 6 дел. Для индивидуальных предпринимателей наблюдалась иная тенденция – пред- упреждения выносились чаще, чем штра- фы (14 против 7). В подавляющем большинстве случаев (104 дела) штраф для юрлиц назначался в минимальном размере – 60 тыс. руб. Штрафы ниже низшего предела (напри- мер, 30 тыс. руб.) применялись к субъ- ектам МСП на основании ст. 4.1.2 КоАП РФ. Судебная практика Постановление мирового судьи по делу № 5–162/2023 от 20.06.2023. Ком- пания указала, что данные, по факту утечки которых было возбуждено дело, относятся к инциденту, произошедшему ранее. По утечке ранее было направлено уведомление в Роскомнадзор, а компа- ния была привлечена к ответственности. Повторное привлечение к ответствен- ности за одно и то же правонарушение недопустимо. Суд с доводами не согла- сился и указал, что речь идет о двух разных событиях, разнесенных во вре- мени. Кроме того, в каждом случае утечке подверглись данные разных субъ- ектов: сначала – клиентов, затем – сотрудников. Итог: штраф в размере 100 тыс. руб. Порядок действий регулятора при обнаружении утечки Алгоритм действий Роскомнадзора после выявления утечки включает несколько этапов и может варьироваться. 1. Выявление утечки. Роскомнадзор обнаруживает утечку самостоятельно в ходе мониторинга сети Интернет (чаще всего в Telegram-каналах) либо получает уведомление от оператора. 2. Фиксация факта. Роскомнадзор фиксирует утечку, как правило, путем создания скриншотов страниц с опубли- кованными данными. После фиксации возможны два основ- ных сценария: l Сценарий А "Без проведения про- верки" (65% случаев). Роскомнадзор направляет оператору запрос с требова- нием предоставить пояснения. На основе полученной информации составляется протокол об административном право- нарушении. l Сценарий Б "С проведением провер- ки" (35% случаев). Роскомнадзор иниции- рует внеплановую проверку, которая может быть документарной или выездной (последние составляли почти три четвер- ти). В ходе проверки проводятся осмотры информационных систем, опрашиваются сотрудники. По итогам составляется акт, может быть выдано предписание об устра- нении нарушений и оформляется протокол. Роскомнадзор и суды устанавливают связь между опубликованными данными и конкретным оператором различными способами: l Оператор сам подтверждает факт утечки в уведомлении или в ходе про- верки. l Содержание утечки совпадает с информацией в ИТ-системах операто- ра. Это выясняется, когда Роскомнадзор исследует системы при проверке (све- ряются конкретные значения, набор полей и т. д.). l Из содержания утечки следует, что данные относятся к оператору. Например, в файле с данными содержатся указания на его наименование, либо характер деятельности компании предполагает обработку именно таких данных. 16 • СПЕЦПРОЕКТ Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг. 30 мая 2025 г. вступили в силу поправки в КоАП РФ 1 , радикально ужесточившие ответ- ственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность. С Ксения Смирнова, генеральный директор Privacy Tech Антон Брагинец, генеральный директор DataCase, директор по развитию Privacy Tech Максим Своевский, LegalTech продакт-менеджер Privacy Tech 1 Обзор изменений в КоАП РФ: https://privacy-tech.ru/news/novye-shtrafy-za-narusheniya-v-sfere-personalnyh-dannyh