Даже небольшая ошибка может привести к штрафам в миллионы рублей. Ниже рассматриваем, как это работает на практике, на примерах реальных утечек за последние годы.1. Утечка 3,3 млн записей из «СберКлиник» (2022)Что произошло: Медицинские карты пациентов с ФИО, номерами телефонов и диагнозами оказались в открытом доступе.Ранее: 300 тыс. руб.Сейчас: Поскольку утекли специальные категории данных, такие как информация о здоровье, и объем превысил 1 миллион записей, применяется: — часть 16 статьи 13.11: от 10 до 15 миллионов рублей — часть 14 статьи 13.11: от 10 до 15 миллионов рублей за масштаб2. Утечка 6,7 млн клиентов «Ситимобил» (2021)Что произошло: Утекли номера телефонов и история поездок пользователей.Ранее: 150 тыс. руб.Сейчас: Поскольку речь идет об общих персональных данных, применяется часть 14 статьи 13.11. За утечку более 6 миллионов записей — штраф от 10 до 15 миллионов рублей.3. Утечка 17,5 млн записей из «ДомКлика» (2020)Что произошло: Паспортные данные, контакты и финансовая информация клиентов.Ранее: 1 млн руб.Сейчас: Даже если утекли банковские реквизиты, это не является специальной категорией. Следовательно, применяется часть 14 статьи 13.11. За такой объем — штраф от 10 до 15 миллионов рублей.4. Утечка 40 млн номеров «Билайн» (2022)Что произошло: Через уязвимость API были слиты десятки миллионов мобильных номеров.Ранее: 500 тыс. руб.Сейчас: Согласно части 14 статьи 13.11, при утечке такого масштаба — штраф от 10 до 15 миллионов рублей.5. Утечка 800 тыс. клиентов «Альфа-Банка» (2023)Что произошло: Инсайдер пытался продать кредитные истории клиентов.Ранее: 2 млн руб.Сейчас: Применяются сразу две части статьи: — часть 14: за объем более 800 тысяч записей — от 10 до 15 миллионов рублей — часть 18: за инсайдерскую утечку — от 10 до 20 миллионов рублей
С 30 мая 2025 года в России вступили в силу поправки к КоАП, которые ужесточили наказания за утечки персональных данных. Закон обновил статью 13.11 КоАП РФ, теперь штраф зависит от категории данных, масштаба утечки и характера источника (например, если это инсайдер).
Даже небольшая ошибка может привести к штрафам в миллионы рублей. Ниже рассматриваем, как это работает на практике, на примерах реальных утечек за последние годы.
1. Утечка 3,3 млн записей из «СберКлиник» (2022)
Что произошло: Медицинские карты пациентов с ФИО, номерами телефонов и диагнозами оказались в открытом доступе.
Ранее: 300 тыс. руб.
Сейчас: Поскольку утекли специальные категории данных, такие как информация о здоровье, и объем превысил 1 миллион записей, применяется: — часть 16 статьи 13.11: от 10 до 15 миллионов рублей — часть 14 статьи 13.11: от 10 до 15 миллионов рублей за масштаб
2. Утечка 6,7 млн клиентов «Ситимобил» (2021)
Что произошло: Утекли номера телефонов и история поездок пользователей.
Ранее: 150 тыс. руб.
Сейчас: Поскольку речь идет об общих персональных данных, применяется часть 14 статьи 13.11. За утечку более 6 миллионов записей — штраф от 10 до 15 миллионов рублей.
3. Утечка 17,5 млн записей из «ДомКлика» (2020)
Что произошло: Паспортные данные, контакты и финансовая информация клиентов.
Ранее: 1 млн руб.
Сейчас: Даже если утекли банковские реквизиты, это не является специальной категорией. Следовательно, применяется часть 14 статьи 13.11. За такой объем — штраф от 10 до 15 миллионов рублей.
4. Утечка 40 млн номеров «Билайн» (2022)
Что произошло: Через уязвимость API были слиты десятки миллионов мобильных номеров.
Ранее: 500 тыс. руб.
Сейчас: Согласно части 14 статьи 13.11, при утечке такого масштаба — штраф от 10 до 15 миллионов рублей.
5. Утечка 800 тыс. клиентов «Альфа-Банка» (2023)
Что произошло: Инсайдер пытался продать кредитные истории клиентов.
Ранее: 2 млн руб.
Сейчас: Применяются сразу две части статьи: — часть 14: за объем более 800 тысяч записей — от 10 до 15 миллионов рублей — часть 18: за инсайдерскую утечку — от 10 до 20 миллионов рублей
Новая шкала штрафов в 2025 году
Нарушение
Ранее
Сейчас (для юр. лиц)
Утечка общих данных (ФИО, телефоны и др.)Базовые данные (ФИО, телефон)
До 500 тыс. рублей
10–15 млн рублей (часть 14)
Утечка спецкатегорий
До 1 млн рублей
10–15 млн рублей (часть 16)
Утечка биометрии
Не выделялась отдельно
15–20 млн рублей (часть 17)
Массовая утечка (более 1 млн записей)
До 2 млн рублей
Повышение штрафа согласно объему
Инсайдерская утечка
Не выделялась отдельно
10–20 млн рублей (часть 18)
📌 Повторные нарушения теперь наказываются двойным штрафом.
Что делать бизнесу уже сейчас
Новые штрафы уже работают, а значит — откладывать защиту данных больше нельзя. Чтобы снизить риски, нужно:
- Провести аудит хранилищ и процессов обработки данных
- Внедрить DLP-систему и контроль доступа
- Настроить двухфакторную аутентификацию
- Шифровать базы и чувствительную информацию
- Проводить регулярное обучение сотрудников
Вывод
Теперь даже небольшая утечка — не «бумажка от Роскомнадзора», а полноценный удар по бюджету. Новые правила требуют от компаний не формального соответствия, а реальной работы по защите данных.
Проверьте свою инфраструктуру — и убедитесь, что одна ошибка не обернется штрафом в миллионы.
