🍪 Федеральный Закон №152-ФЗ обязывает нас уведомить вас, что в целях корректного функционирования сайта, мы собираем метаданные, такие как cookie, данные об IP-адресе и местоположении.
OK
Блог

Крупнейшие утечки персональных данных в России — штрафы после 30 мая 2025 года

Безопасность
С 30 мая 2025 года в России вступили в силу поправки к КоАП, которые ужесточили наказания за утечки персональных данных. Закон обновил статью 13.11 КоАП РФ, теперь штраф зависит от категории данных, масштаба утечки и характера источника (например, если это инсайдер).

Даже небольшая ошибка может привести к штрафам в миллионы рублей. Ниже рассматриваем, как это работает на практике, на примерах реальных утечек за последние годы.

1. Утечка 3,3 млн записей из «СберКлиник» (2022)

Что произошло:
Медицинские карты пациентов с ФИО, номерами телефонов и диагнозами оказались в открытом доступе.
Ранее:
300 тыс. руб.
Сейчас:
Поскольку утекли специальные категории данных, такие как информация о здоровье, и объем превысил 1 миллион записей, применяется:
— часть 16 статьи 13.11: от 10 до 15 миллионов рублей
— часть 14 статьи 13.11: от 10 до 15 миллионов рублей за масштаб

2. Утечка 6,7 млн клиентов «Ситимобил» (2021)

Что произошло:
Утекли номера телефонов и история поездок пользователей.
Ранее:
150 тыс. руб.
Сейчас:
Поскольку речь идет об общих персональных данных, применяется часть 14 статьи 13.11. За утечку более 6 миллионов записей — штраф от 10 до 15 миллионов рублей.

3. Утечка 17,5 млн записей из «ДомКлика» (2020)

Что произошло:
Паспортные данные, контакты и финансовая информация клиентов.
Ранее:
1 млн руб.
Сейчас:
Даже если утекли банковские реквизиты, это не является специальной категорией. Следовательно, применяется часть 14 статьи 13.11. За такой объем — штраф от 10 до 15 миллионов рублей.

4. Утечка 40 млн номеров «Билайн» (2022)

Что произошло:
Через уязвимость API были слиты десятки миллионов мобильных номеров.
Ранее:
500 тыс. руб.
Сейчас:
Согласно части 14 статьи 13.11, при утечке такого масштаба — штраф от 10 до 15 миллионов рублей.

5. Утечка 800 тыс. клиентов «Альфа-Банка» (2023)

Что произошло:
Инсайдер пытался продать кредитные истории клиентов.
Ранее:
2 млн руб.
Сейчас:
Применяются сразу две части статьи:
— часть 14: за объем более 800 тысяч записей — от 10 до 15 миллионов рублей
— часть 18: за инсайдерскую утечку — от 10 до 20 миллионов рублей

Новая шкала штрафов в 2025 году

Нарушение
Ранее
Сейчас (для юр. лиц)
Утечка общих данных (ФИО, телефоны и др.)Базовые данные (ФИО, телефон)
До 500 тыс. рублей
10–15 млн рублей (часть 14)
Утечка спецкатегорий
До 1 млн рублей
10–15 млн рублей (часть 16)
Утечка биометрии
Не выделялась отдельно
15–20 млн рублей (часть 17)
Массовая утечка (более 1 млн записей)
До 2 млн рублей
Повышение штрафа согласно объему
Инсайдерская утечка
Не выделялась отдельно
10–20 млн рублей (часть 18)
📌 Повторные нарушения теперь наказываются двойным штрафом.

Что делать бизнесу уже сейчас

Новые штрафы уже работают, а значит — откладывать защиту данных больше нельзя. Чтобы снизить риски, нужно:
  • Провести аудит хранилищ и процессов обработки данных
  • Внедрить DLP-систему и контроль доступа
  • Настроить двухфакторную аутентификацию
  • Шифровать базы и чувствительную информацию
  • Проводить регулярное обучение сотрудников

Вывод

Теперь даже небольшая утечка — не «бумажка от Роскомнадзора», а полноценный удар по бюджету. Новые правила требуют от компаний не формального соответствия, а реальной работы по защите данных.

Проверьте свою инфраструктуру — и убедитесь, что одна ошибка не обернется штрафом в миллионы.