Каждая восьмая компания, обвиняемая в утечке персональных данных, не получала штраф за нее, при этом в среднем с 2022 г. российские суды рас сматривали от 50 до 60 таких дел в год. По словам юристов, это доказывает, что если организация готова к последствиям утечки с точки зрения комплаенса, то штраф можно не получить.
В минувшую пятницу, 5 декабря, во время панельной дискуссии "Экономика доверия: киберустойчивость, данные и биометрия" на форуме "Пульс цифровизации. Форум лидеров цифрового развития" управляющий партнер ООО "Комплай" (Comply) Артем Дмитриев рассказал, что российские суды в среднем рассматривают ежегодно от 50 до 60 дел, связанных с утечками персональных данных. При этом, согласно наблюдениям компании, каждая восьмая организация не получает штраф за утечку персональных данных.
"По моим наблюдениям, цифры выглядят вполне реалистично. Не каждое дело об утечке заканчивается штрафом. Причины могут быть разные: как связанные с действиями бизнеса - отсутствие вины (все документы по защите данных приняты в компании, все меры реализуются и соблюдаются), минимизация последствий утечки, действия строго в соответствии с законом после выявления утечки. Так и связанные с нарушениями со стороны регулятора - нарушения формальных процедур проверки. Но стоит отметить, что скорее было не так много реальных утечек, поэтому и не так много дел. Если дело доходит до суда, то в большинстве случаев штрафа избежать не удастся", - рассказал адвокат, руководитель практики интеллектуальной собственности адвокатского бюро "Шварц и партнеры" Татьяна Овчинникова.
С ней согласился советник, руководитель практики IP/IT ООО "ЛЧ Лигал" (LCH.LEGAL) Кирилл Ляхманов. По его словам, оценка в примерно 10% компаний, не получающих штраф, выглядит достоверно. Он отметил, что суд оценивает не сам факт утечки, а добросовестность действия организации - например, была ли выстроена система защиты, назначены ответственные лица, работали ли внутренние процедуры и т.д. Если компания способна доказать, что предпринимала разумные меры и выполняла требования закона, суд может прийти к выводу, что оснований для штрафа нет.
По словам Артема Дмитриева, если обвиняемая в утечке компания готова с точки зрения комплаенса, то штрафа можно избежать. Он отметил, что для этого нужна подготовка документов, которые убедят Роскомнадзор в том, что в компании есть все необходимые рабочие процедуры.
"С помощью бумажных доказательств мы сумели помочь клиенту избежать ответственности за утечку. У вендора - подрядчика клиента была компрометация учетной записи. Мы показали Роскомнадзору, что клиент проверил подрядчика, который заполнял специальные чек-листы, показывавшие, что он выполняет требования по защите персональных данных. С таким доказательством нам удалось убедить Роскомнадзор, что в утечке нет вины компании-клиента. Такими простыми доказательствами являются одностраничные документы, которые доказывают, что реальная процедура в компании есть, не огромные регламенты или гайды, а реальные процедуры по комплаенсу. Инспектор может поддержать либо снижение штрафа, либо замену его предупреждением, и компания штраф может не получить", - рассказал он.
Коллега Артема Дмитриева старший юрист Comply Мария Пономарева рассказала, что многие компании недооценивают критичность последствий утечек персональных данных. Она отметила, что штрафы в действующей судебной практике пока небольшие и многим кажется, что утечки задевают только большие компании.
"Реальный объем негативных последствий не всегда выходит в публичное поле, а такие последствия могут включать внеплановые проверки, выявление иных нарушений, жалобы субъектов, репутационные риски, отток пользователей. Также подготовка к утечке более прозрачна в части безопасности, а комплаенс-подготовка часто воспринимается как понимание формы и сроков подачи уведомлений и включение базовых оговорок об утечках в договоры с контрагентами. Фактически подготовка состоит из набора блоков, в том числе контроль новых процессов, выстраивание работы с контрагентами, обучение сотрудников, минимизация обрабатываемых данных и текущих рисков работы с данными. Иногда даже после утечки видим, что компании формально подходят к подаче уведомлений, не понимая, как каждый из тезисов может повлиять на итоги дальнейшего разбирательства, внеплановую проверку, позицию Роскомнадзора и суда", - рассказала она.
По словам Марии Пономаревой, подготовиться к утечкам непросто из-за того, что многие компании воспринимают прайваси-комплаенс как набор документов. Такая подготовка требует вовлечения крупных ресурсов и работу команд юристов, информационной безопасности ИТ и др. Ее сложность - главная причина, почему многие компании откладывают и недооценивают эту работу. Она отметила, что для предварительной подготовки в случае наступления утечки необходимо выполнить целый ряд процедур, документируя каждую из них.
"Не можем сделать общий вывод по рынку, но по нашему опыту, к сожалению, подготовленность никак не выросла за последние полгода. Компании точно намного больше говорят об утечках, где-то стараются выделить бюджет на общие прайваси- и ИБ-аудиты, разработать план мер, но общая картина от этого не меняется. Возможно, все ожидают появления кейсов с ужасающими штрафами, чтобы после этого приоритизировать подготовку к утечкам", - сказала Мария Пономарева.
Из общей юрисдикции в арбитраж
Артем Дмитриев отметил, что суды пока не назначали новые штрафы компаниям. Главная причина - их ввели всего полгода назад, но уже есть дела, по которым компании могут их получить. В том, что это случится, у него нет никаких сомнений. По его словам, федеральный бюджет на 2026 г. дефицитный, и на уровне законодательства предусмотрено финансирование ряда проектов и инициатив, включая национальный проект "Экономика данных", в том числе за счет средств, взысканных государством с бизнеса в виде штрафов за нарушения федерального закона №152-ФЗ "О персональных данных".
"Но надо помнить, что помимо новых штрафов теперь дела об утечках рассматривает не суд общей юрисдикции, а арбитражный суд. Это дает бизнесу уверенность, что аргументы, которые у него есть, будут услышаны судом, в отличие от судов общей юрисдикции, где судопроизводство несколько более драматично и менее развито, чем в арбитражных судах", - отметил он.
По мнению Кирилла Ляхманова, перевод дел об утечках данных в арбитражные суды повысит качество и предсказуемость рассмотрения, ведь последние чаще работают с вопросами комплаенса и корпоративными регламентами. Они способны глубже оценить, насколько компания действительно внедрила требуемый режим защиты персональных данных. Но он отметил, что переход повышает нагрузку на суды и потребует от малого бизнеса, допустившего утечку, повышать стандарт подготовки к процессу.
"Рассмотрение в арбитражных судах скорее плюс для бизнеса. Практика формируется более предсказуемо, судьи в арбитраже ориентированы на сложные экономические споры, и больше шансов, что они будут погружены в ИТ-специфику не только в суде кассационной инстанции, но и в суде первой инстанции. Процесс доказывания и обмена документами с судом проще для бизнеса, да и для юристов", - заключила Татьяна Овчинникова.
Источник: https://www.comnews.ru/content/242787/2025-12-08/2025-w50/1008/khoroshiy-komplaens-spaset-shtrafa-za-utechku
"По моим наблюдениям, цифры выглядят вполне реалистично. Не каждое дело об утечке заканчивается штрафом. Причины могут быть разные: как связанные с действиями бизнеса - отсутствие вины (все документы по защите данных приняты в компании, все меры реализуются и соблюдаются), минимизация последствий утечки, действия строго в соответствии с законом после выявления утечки. Так и связанные с нарушениями со стороны регулятора - нарушения формальных процедур проверки. Но стоит отметить, что скорее было не так много реальных утечек, поэтому и не так много дел. Если дело доходит до суда, то в большинстве случаев штрафа избежать не удастся", - рассказал адвокат, руководитель практики интеллектуальной собственности адвокатского бюро "Шварц и партнеры" Татьяна Овчинникова.
С ней согласился советник, руководитель практики IP/IT ООО "ЛЧ Лигал" (LCH.LEGAL) Кирилл Ляхманов. По его словам, оценка в примерно 10% компаний, не получающих штраф, выглядит достоверно. Он отметил, что суд оценивает не сам факт утечки, а добросовестность действия организации - например, была ли выстроена система защиты, назначены ответственные лица, работали ли внутренние процедуры и т.д. Если компания способна доказать, что предпринимала разумные меры и выполняла требования закона, суд может прийти к выводу, что оснований для штрафа нет.
По словам Артема Дмитриева, если обвиняемая в утечке компания готова с точки зрения комплаенса, то штрафа можно избежать. Он отметил, что для этого нужна подготовка документов, которые убедят Роскомнадзор в том, что в компании есть все необходимые рабочие процедуры.
"С помощью бумажных доказательств мы сумели помочь клиенту избежать ответственности за утечку. У вендора - подрядчика клиента была компрометация учетной записи. Мы показали Роскомнадзору, что клиент проверил подрядчика, который заполнял специальные чек-листы, показывавшие, что он выполняет требования по защите персональных данных. С таким доказательством нам удалось убедить Роскомнадзор, что в утечке нет вины компании-клиента. Такими простыми доказательствами являются одностраничные документы, которые доказывают, что реальная процедура в компании есть, не огромные регламенты или гайды, а реальные процедуры по комплаенсу. Инспектор может поддержать либо снижение штрафа, либо замену его предупреждением, и компания штраф может не получить", - рассказал он.
Коллега Артема Дмитриева старший юрист Comply Мария Пономарева рассказала, что многие компании недооценивают критичность последствий утечек персональных данных. Она отметила, что штрафы в действующей судебной практике пока небольшие и многим кажется, что утечки задевают только большие компании.
"Реальный объем негативных последствий не всегда выходит в публичное поле, а такие последствия могут включать внеплановые проверки, выявление иных нарушений, жалобы субъектов, репутационные риски, отток пользователей. Также подготовка к утечке более прозрачна в части безопасности, а комплаенс-подготовка часто воспринимается как понимание формы и сроков подачи уведомлений и включение базовых оговорок об утечках в договоры с контрагентами. Фактически подготовка состоит из набора блоков, в том числе контроль новых процессов, выстраивание работы с контрагентами, обучение сотрудников, минимизация обрабатываемых данных и текущих рисков работы с данными. Иногда даже после утечки видим, что компании формально подходят к подаче уведомлений, не понимая, как каждый из тезисов может повлиять на итоги дальнейшего разбирательства, внеплановую проверку, позицию Роскомнадзора и суда", - рассказала она.
По словам Марии Пономаревой, подготовиться к утечкам непросто из-за того, что многие компании воспринимают прайваси-комплаенс как набор документов. Такая подготовка требует вовлечения крупных ресурсов и работу команд юристов, информационной безопасности ИТ и др. Ее сложность - главная причина, почему многие компании откладывают и недооценивают эту работу. Она отметила, что для предварительной подготовки в случае наступления утечки необходимо выполнить целый ряд процедур, документируя каждую из них.
"Не можем сделать общий вывод по рынку, но по нашему опыту, к сожалению, подготовленность никак не выросла за последние полгода. Компании точно намного больше говорят об утечках, где-то стараются выделить бюджет на общие прайваси- и ИБ-аудиты, разработать план мер, но общая картина от этого не меняется. Возможно, все ожидают появления кейсов с ужасающими штрафами, чтобы после этого приоритизировать подготовку к утечкам", - сказала Мария Пономарева.
Из общей юрисдикции в арбитраж
Артем Дмитриев отметил, что суды пока не назначали новые штрафы компаниям. Главная причина - их ввели всего полгода назад, но уже есть дела, по которым компании могут их получить. В том, что это случится, у него нет никаких сомнений. По его словам, федеральный бюджет на 2026 г. дефицитный, и на уровне законодательства предусмотрено финансирование ряда проектов и инициатив, включая национальный проект "Экономика данных", в том числе за счет средств, взысканных государством с бизнеса в виде штрафов за нарушения федерального закона №152-ФЗ "О персональных данных".
"Но надо помнить, что помимо новых штрафов теперь дела об утечках рассматривает не суд общей юрисдикции, а арбитражный суд. Это дает бизнесу уверенность, что аргументы, которые у него есть, будут услышаны судом, в отличие от судов общей юрисдикции, где судопроизводство несколько более драматично и менее развито, чем в арбитражных судах", - отметил он.
По мнению Кирилла Ляхманова, перевод дел об утечках данных в арбитражные суды повысит качество и предсказуемость рассмотрения, ведь последние чаще работают с вопросами комплаенса и корпоративными регламентами. Они способны глубже оценить, насколько компания действительно внедрила требуемый режим защиты персональных данных. Но он отметил, что переход повышает нагрузку на суды и потребует от малого бизнеса, допустившего утечку, повышать стандарт подготовки к процессу.
"Рассмотрение в арбитражных судах скорее плюс для бизнеса. Практика формируется более предсказуемо, судьи в арбитраже ориентированы на сложные экономические споры, и больше шансов, что они будут погружены в ИТ-специфику не только в суде кассационной инстанции, но и в суде первой инстанции. Процесс доказывания и обмена документами с судом проще для бизнеса, да и для юристов", - заключила Татьяна Овчинникова.
Источник: https://www.comnews.ru/content/242787/2025-12-08/2025-w50/1008/khoroshiy-komplaens-spaset-shtrafa-za-utechku