Блог BearPass

Утечка данных и суд в 2026 году: как складывается практика и что считается смягчающим обстоятельством

Материал подготовлен BearPass при участии юридических компаний Дмитренко Лигал и Рунетелекс

Утечка данных и суд в 2026 году: как складывается практика и что считается смягчающим обстоятельством

Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 году шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 году накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы её смягчить или вовсе снять.
Разбираем четыре ключевых дела и делаем выводы.

Новые правила игры: что изменилось с мая 2025 года

Чтобы понять логику судебных решений, нужно понимать регуляторный контекст. Федеральный закон №420-ФЗ от 30 ноября 2024 года кардинально обновил статью 13.11 КоАП РФ. С 30 мая 2025 года размер штрафа для компаний напрямую зависит от количества пострадавших и характера раскрытой информации.
Для юридических лиц введена «сетка» штрафов:
  • утечка от 1 000 до 10 000 человек — от 3 до 5 млн рублей;
  • от 10 000 до 100 000 — от 5 до 10 млн рублей;
  • свыше 100 000 человек или более 1 млн идентификаторов — от 10 до 15 млн рублей;
  • утечка биометрических данных — от 15 до 20 млн рублей.
За повторную утечку предусмотрены оборотные штрафы: от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.
Одновременно исключена возможность уплатить штраф с 50-процентной скидкой. Отдельным составом выделено неуведомление Роскомнадзора об инциденте в течение 24 часов — штраф для организаций от 1 до 3 млн рублей.
Важное процессуальное изменение 2026 года: с 28 декабря 2025 года вступил в силу Федеральный закон №508-ФЗ, который вернул дела о нарушениях в сфере персональных данных в юрисдикцию мировых судей. Ранее, с 30 мая 2025 года, такие дела рассматривали арбитражные суды, что давало бизнесу возможность апеллировать к Судебной коллегии по экономическим спорам Верховного суда РФ. Теперь эта возможность утрачена.

Дело первое: Ukids — первый штраф по новым нормам, сниженный в 25 раз

Детская онлайн-школа Ukids стала первым в России случаем применения обновлённых норм КоАП. В июне 2025 года в открытый доступ попала база клиентов объёмом от 300 до 500 тысяч записей: имена, телефоны, адреса электронной почты и служебные комментарии менеджеров.
Инцидент был связан с CRM-платформой Битрикс24, через которую сотрудники школы работали с заявками, продажами и внутренними процессами. О факте утечки компания узнала спустя три дня после публикации базы на теневом форуме. Осенью регулятор начал административное расследование; в ноябре специалисты Роскомнадзора провели проверку, сопоставили данные из опубликованного архива с информацией в CRM — совпадение подтвердилось.
По объёму пострадавших дело попадало в высшую категорию: свыше 100 000 субъектов — формальный штраф для организации от 10 млн рублей. Однако суд назначил 400 тысяч рублей — значительно меньшую сумму. Причина: компания числится в реестре МСП как микропредприятие. Суд применил правило, позволяющее назначить наказание по нормам для должностных лиц. Минимальный размер такого штрафа составляет 400 тысяч рублей — именно эту сумму суд и назначил.
Прецедент двойственный: исторически первый штраф по ФЗ-420 оказался в 25 раз ниже установленного законом минимума для юридических лиц. Школе помог статус микропредприятия. Но этот аргумент доступен далеко не всем.
Зачастую было бы крайне несправедливо, если, например, крупнейшая корпорация и небольшой семейный бизнес понесли бы одинаковое наказание за одно и то же правонарушение. Для первого максимальный штраф может быть подъёмным и позволит продолжить работу; для второго даже минимальный штраф для юридических лиц без снижения может стать причиной неплатёжеспособности и последующего банкротства.

Из практических соображений стоит учитывать, что дело Ukids является скорее исключением, чем правилом, и правоприменительная практика, вероятно, скорректирует данный подход. Сам по себе статус МСП не является основанием для снижения штрафов именно за утечку персональных данных — это специальное правило, которое не применяется к данным правонарушениям. Снижать размер штрафа можно на иных (общих) основаниях, включая характер и последствия нарушения, имущественное и финансовое положение. При этом размер штрафа для юридических лиц не может быть уменьшен более чем на половину: в случае дел по части 14 статьи 13.11 КоАП РФ, аналогичных Ukids, сниженный штраф не может составить менее 5 млн рублей.

Дополнительно: при определённых обстоятельствах штраф может быть заменён на предупреждение (совокупность факторов: правонарушение совершено впервые, нет вреда или угрозы вреда для жизни и здоровья, безопасности государства, при отсутствии имущественного ущерба и др.). Насколько известно из карточки судебного дела Ukids, защита строилась в том числе на замене штрафа на предупреждение — что не нашло поддержки у суда первой инстанции.
Статус МСП действительно может стать причиной снижения штрафа, но не за утечку. Но в деле Ukids суд не только применил ту норму, которую не должен был. Он также снизил штраф до размеров, которые предусмотрены для должностных лиц. Ни то, ни другое не соответствует закону. Поэтому не думаю, что это дело может стать прецедентом.

Примечание: Ukids подали апелляцию. Рассмотрение назначено на 21 мая.

Дело второе: «Инвестиционные проекты» — 70 тысяч клиентов и предупреждение вместо миллионов

Платформа «Инвестиционные проекты» стала жертвой атаки проукраинской хакерской группировки. В открытый доступ попали данные около 70 тысяч клиентов. По нормам ФЗ-420 (утечка свыше 10 000 субъектов) компании грозил штраф от 5 до 10 млн рублей. Суд заменил наказание на предупреждение в связи с тем, что нарушение совершено впервые и не причинило вред.
Это решение принципиально по нескольким причинам. Статус «первого нарушения» работает даже при значительном масштабе инцидента. При этом предупреждение фиксируется — и при следующем инциденте оборотный штраф от 20 до 500 млн рублей становится не теорией, а практическим сценарием.
Категория «впервые совершённое административное правонарушение» не является чётко сформулированной ни в законодательстве, ни в правоприменительной практике. Практически все сходятся в том, что это означает следующее: на момент совершения правонарушения должны отсутствовать вступившие в законную силу постановления о привлечении к административной ответственности за предыдущие правонарушения. Неоднозначный подход существует в части понимания «предыдущих правонарушений»: есть позиция, что таковыми являются только однородные правонарушения (посягательство на одну и ту же группу общественных отношений), и обратная позиция — учитываются любые административные правонарушения, включая неоднородные. По нашему мнению, практика складывается в пользу учёта именно однородных правонарушений — будет устанавливаться наличие или отсутствие ранее совершённых правонарушений, ответственность за которые установлена главой 13 КоАП РФ.

Что касается хакерской атаки, сама по себе она не может являться основанием для освобождения оператора от ответственности или её снижения. Суд в первую очередь будет учитывать действия или бездействие оператора по принятию достаточных мер для обеспечения безопасности. Теоретически возможны следующие благоприятные варианты: (1) оператор не подлежит привлечению к ответственности в связи с отсутствием вины, если удастся доказать принятие всех зависящих от него мер; (2) замена штрафа на предупреждение при соблюдении установленных законом оснований; (3) назначение штрафа в минимальном размере или ниже минимума, но не ниже половины от установленного — для этого необходимо предоставить доказательства смягчающих обстоятельств, включая принятые меры безопасности, своевременную коммуникацию с Роскомнадзором и содействие в расследовании.
Для того чтобы суд заменил штраф на предупреждение, «первого нарушения» недостаточно. Нарушение должно быть совершено не только впервые, но и не причинять вред и не угрожать причинением вреда жизни и здоровью людей, безопасности государства, а также не причинять имущественный ущерб.

Суды должны оценивать совокупность факторов. Само по себе «первое нарушение» доказать несложно, если до этого подобных нарушений не было зафиксировано. Но причинение вреда и тем более угрозу такого причинения суд определяет на своё усмотрение.

Примечание редакции: факт хакерской атаки в данном деле заявила сама компания в уведомлении РКН. Суд при вынесении решения оценивал прежде всего первичность нарушения и отсутствие вреда, не факт атаки как таковой.

Дело третье: «Почта России» — 26 миллионов строк, 150 тысяч рублей, старые нормы

Арбитражный суд Москвы признал АО «Почта России» виновным в утечке персональных данных и назначил штраф в размере 150 тысяч рублей. Поводом стал массив из 26 миллионов строк, обнаруженный Роскомнадзором в открытом доступе: имена, адреса пользователей, номера телефонов и сведения о почтовых отправлениях. Внеплановая проверка, проведённая в июле 2025 года, показала, что источником стала внутренняя система «Сервис отслеживания регистрируемых почтовых отправлений».
Ключевой нюанс — процессуальный. Дело рассматривалось по ч. 1 ст. 13.11 КоАП, то есть по старым нормам. При применении новых норм ФЗ-420 к утечке свыше 100 000 субъектов минимальный штраф для юридического лица составил бы 10 млн рублей. Разница — в 67 раз.
Это демонстрирует переходный период: крупнейшие по масштабу утечки 2024 — начала 2025 года рассматривались ещё по старым, значительно более мягким нормам. По мере того как в оборот поступают дела за инциденты, произошедшие после 30 мая 2025 года, суммы принципиально изменятся.
Применяется закон, действующий на дату совершения административного правонарушения. Это означает, что факты утечки, произошедшие до 29 мая 2025 года включительно, попадают под старые нормы с меньшими размерами штрафов. Безусловно, в интересах оператора помочь Роскомнадзору и суду установить действительную дату факта утечки: в этом могут помочь данные логов информационной системы, даты опубликования утекших персональных данных, сведения из сообщений НКЦКИ и любые иные доказательства.
Дата обнаружения инцидента должна играть определяющую роль. Согласно ч. 1 ст. 1.7 КоАП «лицо, совершившее административное правонарушение, подлежит ответственности на основании закона, действовавшего во время совершения административного правонарушения».

В решении суда по делу АО «Почта России» указано, что «датой выявления инцидента является 05.12.2024». Таким образом, на квалификацию нарушения повлияла именно дата обнаружения инцидента, а не дата составления протокола Роскомнадзором.

Дело четвёртое: РЖД — апелляция отменила штраф. Февраль 2026 года

Это дело — самый важный прецедент 2026 года. Девятый арбитражный апелляционный суд отменил решение нижестоящей инстанции о штрафе в отношении РЖД по делу об утечке персональных данных. Инцидент произошёл в начале 2025 года: в ходе мониторинга Роскомнадзор обнаружил массив данных объёмом около 17 млн строк с персональными сведениями сотрудников РЖД. По итогам проверки Арбитражный суд Москвы оштрафовал компанию на 150 тысяч рублей, однако компания обжаловала это решение.
Апелляционный суд отменил решение, указав: «Суд апелляционной инстанции считает, что выводы административного органа о наличии единоличной вины ОАО "Российские железные дороги" в нарушении законодательства Российской Федерации в области персональных данных являются преждевременными».
В материалах дела отсутствовали доказательства того, что компания не соблюдала требования законодательства к защите персональных данных. Зато были данные о неправомерном доступе неустановленного лица, обладавшего специальными познаниями и использовавшего программы для обхода защиты серверной инфраструктуры РЖД. Суд также учёл общеизвестный факт значительного роста с 2022 года количества хакерских атак на российские компании.
Это решение меняет стандарт доказывания. Теперь от уполномоченных органов требуют конкретики: какие именно меры защиты должна была, но не предприняла компания. В свою очередь, от бизнеса суды ждут документального подтверждения соблюдения всех предусмотренных законом мер защиты.
Важная оговорка: дело РЖД формально не создаёт прецедента. С 1 января 2026 года дела по утечкам возвращаются в ведение судов общей юрисдикции, и пока неясно, воспримут ли они арбитражную практику. Роскомнадзор может оспорить решение апелляции в вышестоящих инстанциях.
В настоящее время практика по утечкам персональных данных находится в процессе формирования. Дело РЖД может стать предпосылкой для подхода, при котором оператор освобождается от административной ответственности в связи с отсутствием вины — если он предпринял все зависящие от него меры, но кибератака всё равно оказалась успешной. Просто ссылаться на кибератаку не получится: суд должен оценить, достаточно ли оператор защитил информационную систему персональных данных.
Не думаю, что это станет прецедентом. Практика складывается таким образом, что к ответственности привлекают компании, которые должным образом не выполняют меры по обеспечению безопасности данных и соблюдению закона №152-ФЗ. Эти меры предусмотрены ст. 18.1, 19, 22.1 152-ФЗ.

В деле РЖД апелляционный суд не оценивал, выполняла ли компания эти требования. Основой для отмены решения стало возбуждение уголовного дела по ч. 1 ст. 272.1 УК РФ, а не доказанное выполнение компанией всех требований закона к защите информации.

Что суды считают смягчающим: практические выводы из четырёх дел

Что суды считают смягчающим: практические выводы из четырёх дел
«Инвест. проекты» Ukids «Почта России» РЖД
Масштаб утечки ~70 000 субъектов ~500 тыс. записей ~26 млн строк ~17 млн строк
Формальный штраф 5–10 млн руб. 10–15 млн руб. 10–15 млн руб. 10–15 млн руб.
Фактическое решение Предупреждение 400 тыс. руб. 150 тыс. руб. Штраф отменён
Ключевое основание Первое нарушение Статус МСП Старые нормы КоАП Доказана кибератака
Четыре дела — четыре разных правовых аргумента, приведших к смягчению. Из них просматриваются устойчивые закономерности.

Вина должна быть доказана, а не презюмирована. Дело РЖД переломило прежний подход «утекло — значит виноват». Суд напомнил, что в России нет модели строгой ответственности: чтобы оштрафовать, нужно доказать вину. Это открывает возможность для защиты, но требует документально подтверждённой работы по безопасности до инцидента.

Первое нарушение даёт шанс. Оба дела с участием внешней атаки закончились либо отменой штрафа, либо предупреждением. Но предупреждение фиксируется, и повторный инцидент переводит компанию в зону оборотных штрафов.

Действия как до, так и после инцидента имеют значение. Оператор, принявший разумные меры по противодействию угрозам и правильно отреагировавший на инцидент, имеет шансы снизить штраф или отделаться предупреждением. Быстрое уведомление Роскомнадзора, остановка инцидента, взаимодействие с регулятором — всё это работает.

Переходный период закрывается. Дела «Почты России» и РЖД рассматривались по старым нормам с потолком штрафа 150–300 тысяч рублей. Инциденты, произошедшие после 30 мая 2025 года и ещё не дошедшие до суда, будут рассматриваться по ФЗ-420 с минимальным штрафом от 3 млн рублей. Очередь таких дел формируется прямо сейчас.
Крайне рекомендуем всем операторам запланировать проведение аудита по персональным данным. Целесообразно использовать команду из юристов и технических специалистов. Заблаговременное выявление слабых мест, принятие достаточных мер по их закрытию, а также понимание процедуры реагирования на инцидент могут предопределить исход дела в случае утечки, помочь избежать крупного штрафа.
Самыми «сильными» аргументами для снижения штрафов всё-таки являются те, которые прямо описаны в законе: впервые совершённое нарушение, если оно не причиняет вред. Иногда неожиданно могут “выстрелить” и другие основания: статус МСП, хакерская атака (как в делах Ukids и РЖД). Но они не гарантируют успех в суде.

Поведение компании после обнаружения инцидента тоже с высокой долей вероятности поможет смягчить наказание. Если вы уведомите РКН в установленные сроки и будете взаимодействовать с надзорным органом при расследовании — это скорее всего положительно скажется на решении суда.

И не стоит пренебрегать предварительными мерами. Уже сейчас, пока утечка не произошла, защитите данные, проверьте инфраструктуру, утвердите все необходимые документы и обучите сотрудников корректной работе с данными. Всё это поможет вам в случае инцидента.

Смена суда: что изменил ФЗ-508

С 28 декабря 2025 года произошло важное процессуальное изменение. ФЗ-508 вернул дела о нарушениях в сфере персональных данных в юрисдикцию мировых судей. Решения мировых судей обжалуются в районных судах общей юрисдикции. Для бизнеса это означает утрату возможности апелляции к Судебной коллегии по экономическим спорам Верховного суда и, как правило, более короткие сроки прохождения всех судебных этапов.
Практический смысл перемены двойственный. С одной стороны, мировые судьи привычны к массовому потоку и склонны к быстрым решениям. С другой — именно арбитражные суды выработали прецедент РЖД с детальным анализом вины. Как суды общей юрисдикции воспримут этот подход — один из ключевых открытых вопросов 2026 года.
Ахтулов Владислав (Старший юрист Dmitrenko Legal)

Стратегия защиты остаётся прежней, и не стоит бояться использовать позиции, выработанные арбитражными судами — законодательство, на основании которого вырабатывались позиции, остаётся прежним. Не стоит бояться и обжаловать решения: главное адекватно оценивать свои шансы и быть готовым нести соответствующие расходы. В юридической практике достаточно случаев, когда положительное решение удаётся получить только в вышестоящих судах.
До 30 мая 2025 года такие дела рассматривались в судах общей юрисдикции — история с арбитражными судами была совсем недолгой. Не думаю, что этот переход как-то повлияет на стратегию защиты. Единственное отличие, как верно указано выше, — отсутствие возможности пересмотра решения в Судебной коллегии по экономическим спорам Верховного суда.

Что это значит для бизнеса: три вывода

Первый. Документирование мер безопасности стало юридически значимым. Дело РЖД показало: суд принимает как аргумент факт того, что компания предпринимала разумные меры защиты. Политики доступа, журналы действий, результаты аудитов, договоры с подрядчиками с разграничением ответственности — всё это теперь доказательная база, а не внутренняя формальность.
Второй. 24 часа на уведомление — это операционная задача, а не юридическая. Ukids узнала об утечке через три дня после публикации на теневом форуме. Это значит: система мониторинга либо отсутствовала, либо не срабатывала. Штраф за неуведомление в срок — отдельный состав, до 3 млн рублей, и он может прийти в дополнение к основному.
Третий. Подрядчик не снимает ответственности. Ответственность за утечку несёт именно оператор персональных данных, а не подрядчик или сторонний IT-сервис, даже если фактический доступ к системе был у них. Ukids пострадала через Битрикс24 — но отвечала сама. Договор поручения обработки с чётким распределением ответственности — единственный способ потом взыскать убытки с подрядчика.

Техническая сторона как юридический аргумент

Дела 2025–2026 годов неожиданно сделали технические инструменты частью правового спора. Журнал доступов, разграничение прав, политика паролей, аудит инфраструктуры — суды начинают спрашивать, были ли эти механизмы выстроены до инцидента. Если ответ «нет» или «не можем доказать» — это работает против оператора.
Контроль над учётными данными — один из наиболее уязвимых элементов. Общий пароль от CRM на несколько сотрудников без журнала действий, технический аккаунт с широкими правами, доступы уволенных сотрудников, не отозванные своевременно — всё это создаёт вектор атаки и одновременно является аргументом регулятора о недостаточности принятых мер. Инструменты централизованного управления доступами — корпоративный менеджер паролей с журналированием, ролевой моделью и возможностью мгновенно отзывать доступы — стали не удобством, а элементом compliance.
Вопрос принятия технических мер по обеспечению безопасности персональных данных является крайне важным для оператора. Это не просто юридическая формальность, а условия, исключающие или минимизирующие вероятность инцидента. Нет универсального для каждого оператора ответа, какие конкретно меры нужно принять — в зависимости от индивидуальных особенностей информационной системы персональных данных, законодательство требует принятия соответствующих мер по обеспечению безопасности. Рекомендуем каждому оператору составить чек-лист предъявляемых к нему требований и проверить себя: примерно так и будет действовать Роскомнадзор при проведении проверки.
Закон №152-ФЗ описывает перечень мер, направленных на обеспечение безопасности персональных данных: (1) определение угроз безопасности при их обработке в ИСПДн; (2) применение организационных и технических мер — основные требования к технической защите указаны в Постановлении Правительства РФ №1119 от 01.11.2012; (3) применение прошедших процедуру оценки соответствия средств защиты информации; (4) оценка эффективности принимаемых мер до ввода в эксплуатацию ИСПДн; (5) учёт машинных носителей персональных данных; (6) обнаружение фактов несанкционированного доступа и принятие мер по реагированию на компьютерные инциденты; (7) восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа; (8) установление правил доступа к персональным данным и обеспечение регистрации и учёта всех действий с ними в ИСПДн; (9) контроль за принимаемыми мерами и уровнем защищённости ИСПДн.

Вместо заключения

Судебная практика по утечкам персональных данных в России сформировалась быстро и дала противоречивые сигналы: одни компании отделываются предупреждением, другие платят 400 тысяч, третьи добиваются отмены штрафа в апелляции. Ни одно из этих решений не гарантирует повторения при следующем деле — суды только нащупывают баланс.
Но одно просматривается чётко: шансы на смягчение напрямую связаны с тем, что компания делала до инцидента, а не только после. Документы, процессы, технические меры, быстрое реагирование — это не про то, чтобы «не поймали». Это про то, чтобы иметь аргументы, когда поймали.
Маловероятно, что предъявляемые к операторам требования законодательства о персональных данных будут смягчены. Это общемировая тенденция прогрессивных правопорядков. Причина их введения — защита права каждого человека на неприкосновенность частной жизни. Задача каждого оператора — внести в эту защиту свой вклад.
Уже сейчас рекомендуем проверить, выполняете ли вы основные обязанности при обработке персональных данных:

  • назначен ли в компании ответственный за организацию обработки данных;
  • утверждена ли политика обработки персональных данных, соответствует ли она закону;
  • опубликована ли политика на сайте, если вы там обрабатываете персональные данные;
  • утверждены ли локальные акты о процедурах, направленных на предотвращение и выявление нарушений;
  • проводите ли вы внутренний контроль и периодический аудит;
  • проводите ли вы оценку вреда, который может быть причинён субъектам;
  • ознакомлены ли ваши сотрудники с требованиями к защите персональных данных;
  • применяете ли вы достаточные меры по обеспечению безопасности.

Итог

Судебная практика 2025–2026 годов дала бизнесу один важный сигнал: исход дела об утечке во многом определяется тем, что компания делала до инцидента, а не после.
Четыре разных дела — четыре разных аргумента, которые сработали в пользу операторов. Но за каждым из них стоит одна общая логика: суд готов смягчить наказание там, где видит добросовестность. Документально подтверждённые меры защиты, выстроенный мониторинг, быстрое уведомление регулятора — всё это из внутренней формальности превратилось в реальные юридические аргументы.
Переходный период заканчивается. Дела по инцидентам после 30 мая 2025 года уже попадают под новые нормы с минимальным штрафом от 3 млн рублей. Очередь таких дел формируется прямо сейчас.
Вопрос не в том, случится ли проверка. Вопрос в том, будет ли что показать.
2026-05-10 22:27 Новости Экспертиза