Первые штрафы за крупные утечки персданных по новым частям ст. 13.11 КоАП РФ 📄Решение АС г. Москвы от 5 марта 2026 г. по делу N А40-351064/2025 С 30 мая прошлого года серьезно ужесточили административную ответственность за утечки персональных данных (ПДн): новые чч. 13, 14 и 15 ст. 13.11 КоАП РФ предполагают миллионные штрафы для организаций за масштабные утечки персданных, вплоть до оборотных штрафов. Первые административные дела об утечках, которые произошли после 30.05.2025, только недавно "добрались" до суда. Так, в июне прошлого года из информационной системы персональных данных (ИСПДн) популярной онлайн-школы утекло около полумиллиона строк, содержащих персональные данные клиентов (в том числе фамилия, имя, номер телефона, адрес электронный почты), а также соответствующие комментарии (например, "бесплатный курс", "завершен", "выполнено" и иные обозначения статусов взаимодействия с клиентами), а также корпоративные адреса электронных почт с данными сотрудников самой онлайн-школы (эта ИСПДн предоставлена подрядчиком, и некоторые публикации в отраслевых каналах указывают на уязвимости именно подрядчика). Эти данные были незаконно размещены в телеграм-канале злоумышленников, Роскомнадзор подтвердил, что скомпрометированная база данных принадлежит онлайн-школе, следовательно, налицо факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных клиентов и исполнителей оператора ПДн, а именно более 300 000 субъектов персональных данных, путем их размещения на сайте в сети Интернет. Ввиду наличия в скомпрометированной базе данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, указанные действия, по мнению регулятора, образуют состав административного правонарушения по ч. 14 ст. 13.11 КоАП РФ (штраф для организаций составляет от 10 млн до 15 млн руб.). Арбитражный суд согласился с квалификацией, однако наказание основательно смягчил: ❤️ оснований для замены административного штрафа на предупреждение суд не усмотрел, отметив, что именно наказание в виде штрафа будет отвечать целям наказания, ❤️ но учел, что оператор ПДн является микропредприятием, а согласно ч. 1 ст. 4.1.2 КоАП РФ при назначении микропредприятиям административного штрафа этот штраф назначается в размере, предусмотренном для ИП. Поскольку ч. 14 ст. 13.11 КоАП РФ не предусматривает специального штрафа для ИП, то размер штрафа нужно исчислять по правилам ч. 2 ст. 4.1.2 КоАП РФ, а именно в размере от половины минимального размера до половины максимального размера штрафа, предусмотренного для юридического лица, ❤️ и хотя минимальный и максимальный размеры штрафа по ч. 14 ст. 13.11 КоАП РФ для организаций составляют, соответственно, 10 млн и 15 млн руб, суд счел, что половиной минимального размера штрафа в данном случае будет сумма в 400 000 руб. 👉Еще более мягкое воздействие суд применил к цифровой платформе инвестпроектов - у нее после хакерской атаки утекли персональные данные 70 000 субъектов персональных данных клиентов и сотрудников (ФИО, должность, служебный адрес электронной почты, служебный номер телефона)👉о решении суда читайте в материале ГАРАНТа. #интересное_с_гарантом #гарант_юристу