С 30 мая прошлого года серьезно ужесточили административную ответственность за утечки персональных данных (ПДн): новые чч. 13, 14 и 15 ст. 13.11 КоАП РФ предполагают миллионные штрафы для организаций за масштабные утечки персданных, вплоть до оборотных штрафов.

Первые административные дела об утечках, которые произошли после 30 мая 2025 года, только недавно "добрались" до суда. Однако пока суд очень лояльно относится к операторам-нарушителям.

Так, в июне прошлого года из информационной системы персональных данных (ИСПДн) популярной онлайн-школы утекло около полумиллиона строк, содержащих персональные данные клиентов (в том числе фамилия, имя, номер телефона, адрес электронный почты), а также соответствующие комментарии (например, "бесплатный курс", "завершен", "выполнено" и иные обозначения статусов взаимодействия с клиентами), а также корпоративные адреса электронных почт с данными сотрудников самой онлайн-школы (эта ИСПДн предоставлена подрядчиком, и некоторые публикации в отраслевых каналах указывают на уязвимости именно подрядчика). Эти данные были незаконно размещены в телеграм-канале злоумышленников, Роскомнадзор подтвердил, что скомпрометированная база данных принадлежит онлайн-школе, следовательно, налицо факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных клиентов и исполнителей оператора ПДн, а именно более 300 000 субъектов персональных данных, путем их размещения на сайте в сети Интернет.

Ввиду наличия в скомпрометированной базе данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, указанные действия, по мнению регулятора, образуют состав административного правонарушения по ч. 14 ст. 13.11 КоАП РФ (штраф для организаций составляет от 10 млн до 15 млн руб., выручка данной школы в 2024 году составляла более 1 млрд руб.).

Арбитражный суд согласился с квалификацией, однако наказание основательно смягчил:

оснований для замены административного штрафа на предупреждение суд не усмотрел, отметив, что именно наказание в виде штрафа будет отвечать целям наказания,

но учел, что оператор ПДн является микропредприятием, а согласно ч. 1 ст. 4.1.2 КоАП РФ при назначении микропредприятиям административного штрафа этот штраф назначается в размере, предусмотренном для ИП. Поскольку ч. 14 ст. 13.11 КоАП РФ не предусматривает специального штрафа для ИП, то размер штрафа нужно исчислять по правилам ч. 2 ст. 4.1.2 КоАП РФ, а именно в размере от половины минимального размера до половины максимального размера штрафа, предусмотренного для юридического лица,

и хотя минимальный и максимальный размеры штрафа по ч. 14 ст. 13.11 КоАП РФ для организаций составляют, соответственно, 10 млн и 15 млн руб, суд счел, что половиной минимального размера штрафа в данном случае будет сумма в 400 000 руб.

Еще более мягкое воздействие суд применил к цифровой платформе инвестпроектов (с личными кабинетами инвесторов, собственной CRM-системой, API) – у нее после хакерской атаки утекли персональные данные 70 000 субъектов персональных данных клиентов и сотрудников (ФИО, должность, служебный адрес электронной почты, служебный номер телефона).

Роскомнадзор провел административное расследование и установил факт неправомерного доступа к ИСПДн оператора с распространением неограниченному кругу лиц персональных данных 70 000 субъектов персональных данных, путем их размещения в сети Интернет на нескольких интернет-страницах с нарушением требований ч. 1 ст. 6, ст. 7 Закона № 152-ФЗ, в чем усматриваются признаки правонарушения, предусмотренного ч. 13 ст. 13.11 КоАП РФ (штраф для организации составляет от 5 млн до 10 млн руб.; выручка данной платформы в 2024 году составляла более 180 млн руб.).

Суд согласился с квалификацией, но штрафовать платформу инвестпроектов отказался:

согласно ст. 4.1.1 КоАП РФ за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей КоАП РФ, административное наказание в виде штрафа подлежит замене на предупреждение;

учитывая, что административное правонарушение совершено впервые (доказательств обратного материалы дела не содержат), суд считает возможным назначить оператору административное наказание в виде предупреждения.

По материалам: garant.ru