Новые штрафы за утечки ПДн: оборотные штрафы до 3% выручки и дифференциация по масштабу катастрофы

2026 год стал переломным моментом в регулировании персональных данных. Федеральный закон № 420-ФЗ кардинально обновил статью 13.11 КоАП РФ, введя дифференцированную ответственность в зависимости от объёма утечки. Чем больше данных скомпрометировано — тем выше штраф.
Ключевые изменения:

• Утечка от 1 000 до 10 000 субъектов: штраф для юрлиц 3–5 млн рублей
  
• Утечка от 10 000 до 100 000 субъектов: штраф для юрлиц 5–10 млн рублей
  
• Утечка биометрических ПДн: штраф для юрлиц 15–20 млн рублей
  
• Повторная утечка (оборотный штраф): 1–3% годовой выручки, но не менее 20–25 млн рублей и не более 500 млн рублей
  

При этом Верховный Суд РФ в 2026 году закрепил позицию: оператор не может снять с себя ответственность, ссылаясь на действия подрядчиков или внешние атаки. Компания обязана доказать, что знала об угрозах и принимала реальные технические меры к их снижению.

Рекомендация ИЦРС: Пересмотрите процедуры расследования инцидентов: назначьте ответственных, зафиксируйте регламент действий в первые часы после утечки, обеспечьте сбор цифровых следов. Хаотичные действия в момент инцидента могут стоить компании миллионов рублей штрафов и репутационных потерь.