С 30 мая 2025 года в России вступили в силу поправки к КоАП, ужесточающие наказания за утечку персональных данных. Новая редакция закона увеличила штрафы в 3–5 раз и ввела дифференцированную шкалу в зависимости от типа данных, объема утечки и источника нарушения.
Теперь даже небольшая ошибка в обработке персональных данных может обойтись компании в миллионы рублей. Разберем, как эти изменения применяются на практике — на примерах крупнейших утечек последних лет.
1. Утечка 3,3 млн записей из «СберКлиник» (2022)
Что произошло:
Медицинские карты пациентов с ФИО, номерами телефонов и диагнозами оказались в открытом доступе.
Медицинские карты пациентов с ФИО, номерами телефонов и диагнозами оказались в открытом доступе.
Штраф раньше:
300 тыс. руб.
300 тыс. руб.
По новым правилам (с 30.05.2025):
1,5–6 млн руб. — за утечку данных о здоровье (ст. 13.11(5) КоАП)
1,5–6 млн руб. — за утечку данных о здоровье (ст. 13.11(5) КоАП)
2. Утечка 6,7 млн клиентов «Ситимобил» (2021)
Что произошло:
Утекли номера телефонов и история поездок пользователей.
Утекли номера телефонов и история поездок пользователей.
Штраф раньше:
150 тыс. руб.
150 тыс. руб.
Сейчас:
500 тыс. – 3 млн руб. — за компрометацию базовых персональных данных (ст. 13.11(2) КоАП)
500 тыс. – 3 млн руб. — за компрометацию базовых персональных данных (ст. 13.11(2) КоАП)
3. Утечка 17,5 млн записей из «ДомКлика» (2020)
Что произошло:
Паспортные данные, контакты и финансовая информация клиентов.
Паспортные данные, контакты и финансовая информация клиентов.
Штраф тогда:
1 млн руб.
1 млн руб.
По новым нормам:
3–6 млн руб. — за утечку финансовых и идентифицирующих данных (ст. 13.11(6) КоАП)
3–6 млн руб. — за утечку финансовых и идентифицирующих данных (ст. 13.11(6) КоАП)
4. Утечка 40 млн номеров «Билайн» (2022)
Что произошло:
Через уязвимость API были слиты десятки миллионов мобильных номеров.
Через уязвимость API были слиты десятки миллионов мобильных номеров.
Ранее:
500 тыс. руб.
500 тыс. руб.
Сейчас:
1,5–4 млн руб. — как массовая утечка базовых данных (ст. 13.11(3) КоАП)
1,5–4 млн руб. — как массовая утечка базовых данных (ст. 13.11(3) КоАП)
5. Утечка 800 тыс. клиентов «Альфа-Банка» (2023)
Что произошло:
Инсайдер пытался продать кредитные истории клиентов.
Инсайдер пытался продать кредитные истории клиентов.
Штраф до мая:
2 млн руб.
2 млн руб.
После 30 мая 2025:
4–8 млн руб. — за инсайдерскую утечку финансовых данных (ст. 13.11(7) КоАП)
4–8 млн руб. — за инсайдерскую утечку финансовых данных (ст. 13.11(7) КоАП)
Новая шкала штрафов в 2025 году
📌 Повторные нарушения теперь наказываются двойным штрафом.
Что делать бизнесу уже сейчас
Новые штрафы уже работают, а значит — откладывать защиту данных больше нельзя. Чтобы снизить риски, нужно:
- Провести аудит хранилищ и процессов обработки данных
- Внедрить DLP-систему и контроль доступа
- Настроить двухфакторную аутентификацию
- Шифровать базы и чувствительную информацию
- Проводить регулярное обучение сотрудников
Вывод
Теперь даже небольшая утечка — не «бумажка от Роскомнадзора», а полноценный удар по бюджету. Новые правила требуют от компаний не формального соответствия, а реальной работы по защите данных.
Проверьте свою инфраструктуру — и убедитесь, что одна ошибка не обернется штрафом в миллионы.
Проверьте свою инфраструктуру — и убедитесь, что одна ошибка не обернется штрафом в миллионы.
