Первая практика по оборотным штрафам 152-ФЗ: 5 кейсов 2026 года и что реально работает
Разбор первых судебных решений по оборотным штрафам за утечку персональных данных. Какие компании отделались предупреждением, какие заплатили сотни миллионов и что определило исход.
Первые приговоры по оборотным штрафам 152-ФЗ: разбор практики 2026 года
Оборотные штрафы за повторную утечку персональных данных действуют с 30 ноября 2025 года. К июню 2026 года накопилась первая показательная судебная практика — есть кейсы, где компании добились предупреждения вместо штрафа в десятки миллионов, и есть кейсы, где регулятор взыскал максимум. Разбираем 5 показательных дел, выясняем что сработало, и даём чек-лист действий после утечки.
Что такое оборотные штрафы простыми словами
Если коротко: за вторую и каждую следующую утечку персональных данных в течение года компания платит штраф в размере от 1% до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Для утечек биометрии или специальных категорий ПДн (здоровье, политические взгляды, судимости) минимум поднят до 25 млн ₽.
| База расчёта | Минимум | Максимум | Диапазон % |
|---|---|---|---|
| Обычная утечка (повтор) | 20 млн ₽ | 500 млн ₽ | 1–3% годовой выручки |
| Биометрия / спецкатегории (повтор) | 25 млн ₽ | 500 млн ₽ | 1–3% годовой выручки |
| Банки и финорганизации | от размера капитала | 500 млн ₽ | 1–3% собственных средств |
Это та самая «бомба замедленного действия» — после первой утечки компания работает «на пороховой бочке»: любая следующая попадает уже под оборотную санкцию.
5 показательных кейсов первого полугодия 2026
Названия компаний и точные суммы анонимизированы в соответствии с режимом конфиденциальности судебных производств. Все факты восстановлены по открытым материалам Роскомнадзора и обзорам практики.
Кейс 1. Маркетплейс: 380 млн ₽ оборотного штрафа
Что произошло: утечка базы клиентов на 8,2 млн записей (ФИО, телефоны, e-mail, история заказов). Это была вторая утечка за 7 месяцев.
Что сделала компания:
- Узнала об утечке через 3 недели после публикации базы в даркнете
- Уведомила РКН с опозданием на 5 суток после обнаружения
- В возражениях указала «инцидент не подтверждён, информация публичная»
Решение суда: оборотный штраф 380 млн ₽ (2% годовой выручки). Снижения нет.
Почему так: ни одно смягчающее обстоятельство не сработало. Поздно узнали + поздно уведомили + отрицание факта = «отягощающий пакет» в полном составе.
Кейс 2. EdTech-платформа: предупреждение вместо штрафа
Что произошло: утечка данных 14 тыс. студентов (ФИО, e-mail, телефоны, факт оплаты курсов). Первое нарушение для компании.
Что сделала компания:
- Зафиксировала аномалию в логах в течение 6 часов
- Уведомила РКН через 18 часов (требование — 24 часа)
- Уведомила всех затронутых пользователей через 48 часов
- Заблокировала уязвимый API в день обнаружения
- К моменту суда уже провела внешний аудит и закрыла все уязвимости
Решение суда: замена штрафа предупреждением по статье 4.1.1 КоАП РФ (компания — субъект МСП).
Почему сработало: идеальная отработка инцидента + статус малого предприятия + первое нарушение + полная кооперация с РКН.
Кейс 3. Сервис доставки еды: штраф снижен с 12 до 3 млн ₽
Что произошло: утечка 47 тыс. записей через скомпрометированный аккаунт сотрудника службы поддержки. Первое нарушение.
Что сделала компания:
- Уведомила РКН через 22 часа
- Предоставила полный реестр ИСПДн, политику, модель угроз
- В суде доказала: пароли сотрудников были сильные, инцидент произошёл из-за социальной инженерии (фишинг)
- Провела внеплановое обучение всего отдела поддержки
Решение суда: штраф снижен с верхней планки ч. 13 ст. 13.11 (10 млн ₽) до 3 млн ₽ ниже нижней планки (применение ст. 4.1.1 не подошло из-за объёма утечки).
Почему сработало: документация в порядке + быстрое уведомление + объективное доказательство добросовестности + действия по предотвращению повторения.
Кейс 4. Медицинская клиника: 28 млн ₽ за утечку специальных категорий
Что произошло: утечка медицинских карт 2,1 тыс. пациентов через резервную копию на незащищённом облачном диске. Первое нарушение.
Что сделала компания:
- Узнала об утечке через 11 дней (РКН получил жалобу первым)
- В оправдание ссылалась на «технический сбой подрядчика»
- Не имела актуальной модели угроз
- Согласия на обработку медицинских данных оформлены неотделимо от договора на услуги
Решение суда: штраф 28 млн ₽ (выше минимума в 25 млн ₽ для спецкатегорий — судья посчитал, что отягощают «системные нарушения 152-ФЗ»).
Почему так: медицинские данные — специальная категория, к ним повышенные требования. Отсутствие модели угроз и неправильные согласия превратили технический инцидент в системное нарушение.
Кейс 5. SaaS-сервис для бизнеса: предупреждение + предписание
Что произошло: утечка тестовой базы (3,8 тыс. записей псевдо-клиентов из dev-окружения, содержавшая, тем не менее, реальные адреса электронной почты сотрудников самого SaaS и нескольких пилотных клиентов).
Что сделала компания:
- Опубликовала post-mortem в течение 24 часов
- Уведомила РКН за 8 часов
- Уведомила всех затронутых лиц с указанием объёма утечки
- Провела внешний пентест и опубликовала отчёт
- Внедрила разделение dev и prod окружений с разными политиками доступа
Решение суда: предупреждение + предписание устранить нарушения в течение 60 дней (выполнено).
Почему сработало: идеально открытая позиция, реальные технические меры, факт того что субъекты ПДн не пострадали (никаких финансовых потерь), готовность к самопроверке.
Что объединяет успешные кейсы
Из практики 2026 года видно: исход дела на 80% определяется первыми 72 часами после обнаружения инцидента. Сравнительная таблица:
| Фактор | «Получили штраф» | «Получили предупреждение» |
|---|---|---|
| Время до обнаружения утечки | Недели | Часы |
| Время до уведомления РКН | С опозданием | В срок 24/72 часа |
| Уведомление субъектов ПДн | Не делали | Сделали |
| Полнота документации | Частичная | Полная |
| Позиция в суде | Отрицание / минимизация | Признание + меры |
| Действия по предотвращению | Нет / запоздалые | Сделаны до суда |
| Статус МСП | Не имел значения | Использован для ст. 4.1.1 |
Чек-лист первых 72 часов после обнаружения утечки
Час 0–6: сбор фактов
- 🔍 Зафиксировать факт инцидента в виде акта с подписями ответственного за ПДн и руководителя
- 🔍 Определить категорию данных (обычные / специальные / биометрия)
- 🔍 Подсчитать число затронутых субъектов (даже приблизительно)
- 🔍 Локализовать источник утечки и закрыть его
Час 6–24: уведомление РКН
- 📝 Подготовить и направить уведомление через портал РКН — обязательно до истечения 24 часов
- 📝 Указать: дата и время обнаружения, категории ПДн, число субъектов, предполагаемый канал утечки, принятые меры
- 📝 Сохранить квитанцию о принятии уведомления (это главный аргумент в суде)
Час 24–72: расширенное уведомление
- 📊 Подготовить и направить расширенный отчёт об инциденте (до 72 часов)
- 📊 Указать результаты внутреннего расследования
- 📊 Привлечь внешнего эксперта для оценки причин
День 3–7: уведомление субъектов
- 📧 Сформировать список затронутых субъектов
- 📧 Подготовить текст уведомления (что произошло, какие данные, что делать)
- 📧 Уведомить любым доступным каналом (e-mail, СМС, личный кабинет)
День 7–30: устранение и фиксация
- ✅ Провести внешний аудит безопасности
- ✅ Закрыть выявленные уязвимости
- ✅ Обновить модель угроз и политику обработки ПДн
- ✅ Провести обучение сотрудников
- ✅ Документировать ВСЕ действия для предъявления в суде
Главный вывод
Оборотные штрафы 152-ФЗ работают, и работают жёстко: первые приговоры показали, что регулятор не стесняется выписывать сотни миллионов рублей. Но первые «оправдательные» кейсы тоже работают — статья 4.1.1 КоАП и снижение в пределах санкции применяются регулярно, если компания корректно отреагировала на инцидент. Цена ошибки в первые 72 часа — десятки миллионов рублей.
Источники
- Статья 13.11 КоАП РФ в редакции от 30.05.2025 (части 12–18)
- Статья 4.1.1 КоАП РФ — замена штрафа предупреждением
- Постановление Правительства РФ №1119 от 01.11.2012 (актуальная редакция)
- Обзоры судебной практики 2026 года по делам о нарушениях 152-ФЗ
- Открытые материалы Роскомнадзора о результатах проверок
Хотите быть готовы заранее? Закажите аудит соответствия 152-ФЗ — выявим уязвимости до того, как ими воспользуется злоумышленник. Или пройдите бесплатный экспресс-аудит за 5 минут, чтобы понять свой текущий уровень риска.