Предыстория и ажиотаж из-за штрафов в сфере персональных данных
Весной 2025 года одной из самых муссируемых тем в сети были изменения в КоАП РФ, предполагающие многомиллионные штрафы за утечку персональных данных. Мы, как юристы специализирующиеся на персональных данных, были свидетелем этого ажиотажа. Многие предприниматели и компании обращались к нам с просьбами разъяснить ситуацию, помочь с разработкой документов и т.п.
Изменения в КоАП, которые касались штрафов в сфере обработки персональных данных, вступили в силу с 30 мая 2025 года. Ещё в течение трёх месяцев после мы наблюдали определённый интерес к теме от бизнеса, а после он стал постепенно снижаться. Большинство компаний потеряли интерес, в том числе потому, что несмотря на наличие огромных штрафов, отсутствовала публичная информация о том, что эти штрафы применяются. Если коротко, то кнут есть, а веры в то, что его применят, нет.
Первые дела и штрафы за утечку персональных данных по новым правилам
Однако время идёт, и уже в марте 2026 года появились первые судебные решения по делам о наложении штрафов за утечку персональных данных:
- Решение Арбитражного суда г. Санкт-Петербурга и Ленинградской области от 10 марта 2026 г. по делу N А56-4733/2026
- Решение Арбитражного суда г. Москвы от 5 марта 2026 г. по делу N А40-351064/2025.
Москва и Санкт-Петербург, самые крупные регионы по населению и концентрации бизнеса в стране. Тем интересней будет рассмотреть подходы судов к рассмотрению административных споров в области персональных данных.
Что общего в делах об утечке персональных данных
- Административные штрафы в рамках рассматриваемых дел были наложены за крупные утечки персональных данных. (утечка данных 70 000 субъектов в Санкт-Петербурге и более 100 000 субъектов в Москве).
- Что важно, ни одна из компаний не смогла предоставить доказательства того, что «были приняты все зависящие от ответчика меры по соблюдению правил и норм, за нарушение которых КоАП РФ предусмотрена административная ответственность».
При этом, Арбитражный суд «Санкт-Петербурга» даже расширил формулировку указав: «ответчик не представил доказательств невозможности соблюдения Обществом требований законодательства в силу чрезвычайных событий и обстоятельств, которые оно не могло предвидеть и предотвратить».
На основании объединяющих факторов можно сделать важный вывод. Каждая из компаний, несмотря на значительные объёмы обрабатываемых персональных данных, не уделила внимания выстраиванию работы с персональными данными в организации.
Мы не можем установить, разрабатывали ли операторы базовые пакеты документов или хотя бы покупали их шаблоны. Этих данных нет в решениях судов. Однако мы точно знаем, что ответчики не смогли доказать «соблюдение правил и норм». А это значит, что либо документов не было, либо они были для галочки и не применялись.
Всем своим клиентам мы всегда объясняем: важно не просто разработать документы и положить в папочку. Важно, чтобы документы отражали реальную специфику организации и исполнялись.
Несмотря на очевидную сложность и новизну требуемых мероприятий, наша практика показывает, что «правильные» документы можно исполнять, хотя их внедрение требует времени и сил. С дефолтными документами или документами разработанными ИИ - исполнение не возможно.
Размеры штрафов за утечку персональных данных
Арбитражный суд г. Москвы наложил штраф в 400 000 рублей на компанию по той причине, что в 2021 году, на дату создания, организация получила статус Микропредприятие. При этом по данным из открытых источников у этого «микропредприятия» за 2024 год доход был равен 1,1 млрд. рублей.
Арбитражный суд г. Санкт-Петербурга нашёл основания не штрафовать нарушителя, поскольку правонарушение совершено впервые, и вынес административное наказание в форме предупреждения. То есть официального порицания физического или юридического лица, которое действует в течение 1-го года. В случае, если юридическое лицо с действующим предупреждением снова нарушит закон, то ему назначат более строгое наказание.
Где же миллионные штрафы в сфере персональных данных?
Действительно, на первый взгляд можно подумать, что бояться миллионных штрафов не нужно. Мы имеем всего два судебных решения на несколько миллионов зарегистрированных организаций в стране. Одно из них на вид совсем «травоядное», а другое тоже не особо ужасное.
Может ошибочно показаться, что стоит применить «риск ориентированный подход», в рамках которого «дешевле нарушать», чем соблюдать закон. И весь этот шум с «миллионными штрафами» юристы придумали чтобы напугать предпринимателей и заработать на этом?
Такой ход мысли на бытовом уровне имеет место быть. Однако необходимо понимать, что причины, по которым были приняты такие не опасные на вид решения, кроятся в правоприменительной практике в России.
Исключительно в редких случаях по новым составам назначаются максимальные штрафы (наказания). В первое время всегда происходит формирование судебной практики, и решения принимаются судьями крайне осторожно и взвешенно.
Год или два для формирования судебной практики - совершенно нормальный срок. При наличии таких санкций, появление решений о многомиллионных штрафах - вопрос времени, а не факта. И для того, чтобы на суде иметь возможность защитить свои интересы и избежать такого штрафа, необходимо соблюдать предусмотренные законом нормы и правила.
Если вам нужна юридическая помощь в сфере обработки персональных данных - команда специализированных юристов Итербиум на связи! Поможем разработать документы в сфере персональных данных не только для сайта, но и в целом выстроить правовую модель обработки персональных данных под бизнес-процессы компании.
