​​В России назначены первые штрафы за крупные утечки персональных данных С 30 мая прошлого года серьезно ужесточили административную ответственность за утечки персональных данных (ПДн): новые чч. 13, 14 и 15 ст. 13.11 КоАП РФ предполагают миллионные штрафы для организаций за масштабные утечки персданных, вплоть до оборотных штрафов (Решение АС г. Москвы от 5 марта 2026 г. по делу № А40-351064/2025), (Решение АС г. Санкт-Петербурга и Ленинградской области от 10 марта 2026 г. по делу № А56-4733/2026) . Первые административные дела об утечках, которые произошли после 30 мая 2025 года, только недавно "добрались" до суда. Однако пока суд очень лояльно относится к операторам-нарушителям. Так, в июне прошлого года из информационной системы персональных данных (ИСПДн) популярной онлайн-школы утекло около полумиллиона строк, содержащих персональные данные клиентов (в том числе фамилия, имя, номер телефона, адрес электронный почты), а также соответствующие комментарии (например, "бесплатный курс", "завершен", "выполнено" и иные обозначения статусов взаимодействия с клиентами), а также корпоративные адреса электронных почт с данными сотрудников самой онлайн-школы (эта ИСПДн предоставлена подрядчиком, и некоторые публикации в отраслевых каналах указывают на уязвимости именно подрядчика). Эти данные были незаконно размещены в телеграм-канале злоумышленников, Роскомнадзор подтвердил, что скомпрометированная база данных принадлежит онлайн-школе, следовательно, налицо факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных клиентов и исполнителей оператора ПДн, а именно более 300 000 субъектов персональных данных, путем их размещения на сайте в сети Интернет. Ввиду наличия в скомпрометированной базе данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, указанные действия, по мнению регулятора, образуют состав административного правонарушения по ч. 14 ст. 13.11 КоАП РФ. Арбитражный суд согласился с квалификацией, однако наказание основательно смягчил: оснований для замены административного штрафа на предупреждение суд не усмотрел, отметив, что именно наказание в виде штрафа будет отвечать целям наказания, но учел, что оператор ПДн является микропредприятием, при назначении микропредприятиям административного штрафа этот штраф назначается в размере, предусмотренном для ИП. и хотя минимальный и максимальный размеры штрафа по для организаций составляют, соответственно, 10 млн и 15 млн руб, суд счел, что половиной минимального размера штрафа в данном случае будет сумма в 400 000 руб. Еще более мягкое воздействие суд применил к цифровой платформе инвестпроектов – у нее после хакерской атаки утекли персональные данные 70 000 субъектов персональных данных клиентов и сотрудников (ФИО, должность, служебный адрес электронной почты, служебный номер телефона). Роскомнадзор провел административное расследование и установил факт неправомерного доступа к ИСПДн оператора с распространением неограниченному кругу лиц персональных данных 70 000 субъектов персональных данных, путем их размещения в сети Интернет на нескольких интернет-страницах с нарушением в чем усматриваются признаки правонарушения, предусмотренного ч. 13 ст. 13.11 КоАП РФ Суд согласился с квалификацией, но штрафовать платформу инвестпроектов отказался: согласно ст. 4.1.1 КоАП РФ за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей КоАП РФ, административное наказание в виде штрафа подлежит замене на предупреждение; учитывая, что административное правонарушение совершено впервые (доказательств обратного материалы дела не содержат), суд считает возможным назначить оператору административно