Коротко и ясно с Трудовой практикой. HR & DIGITAL (№ 31)

10 апреля 2025

Напоминаем о скором ужесточении административной ответственности за утечки и незаконную обработку персональных данных («ПДн»)


Уже 30 мая 2025 г. вступит в силу Федеральный закон от 30.11.2024 № 420-ФЗ, вносящий изменения в КоАП РФ и ужесточающий ответственность за нарушения в сфере обработки ПДн, в том числе за:

  • утечки ПДн (штраф до 15 млн руб. при первом нарушении, при повторном – до 3% выручки за соответствующий год);
  • неуведомления Роскомнадзора об утечке ПДн (до 3 млн руб.), о намерении осуществлять обработку ПДн (до 300 000 руб.).

Подробнее о данных изменениях и рекомендациях – в нашем материале здесь.

Уже есть практика, согласно которой нарушения, связанные с утечками и неуведомлением Роскомнадзора, признаются длящимися. В этой связи нельзя исключить риски, что компании, допустившие утечки или не уведомившие об утечке до 30 мая 2025 г., могут быть оштрафованы за эти и иные нарушения после 30 мая по новым правилам.

Предлагаем ознакомиться с Решением Савеловского районного суда г. Москвы от 23.11.2023 по делу № 12-4119/23 для понимания, в каких случаях нарушение может быть признано длящимся.

Обстоятельства дела


Управление Роскомнадзора по ЦФО в ходе мониторинга интернет-ресурсов обнаружило в открытом доступе базу данных оператора, содержащую ПДн клиентов: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания уведомила Роскомнадзор об этой утечке 2 и 4 июня 2023 г., отметив, что информация в базе актуальна на 2006 г. и была скомпрометирована неустановленными третьими лицами.

Роскомнадзор квалифицировал этот инцидент как повторное нарушение и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ – за утечку ПДн.

Представитель компании заявил, что отсутствуют признаки повторности, а срок давности привлечения к административной ответственности истёк, так как база данных была размещена в Интернете ещё в 2006 г. Он также подчеркнул, что направление уведомления об утечке не является признанием вины, а лишь исполнением обязанности, предусмотренной законом.

Суд признал нарушение длящимся, установив, что датой обнаружения правонарушения является 1 июня 2023 г. – день, когда в сети появилась информация об утечке, что подтверждалось уведомлениями компании и скриншотами.

Суд отклонил довод компании о том, что уведомление об утечке не может быть основанием для возбуждения дела. Он отметил, что добровольное сообщение об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Тем не менее, это обстоятельство было учтено как смягчающее со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные 100 000 руб.

Надеемся, предоставленная информация окажется для Вас полезной.

Если кто-то из Ваших коллег также хотел бы получать наши информационные письма, пожалуйста, направьте ему ссылку на электронную форму подписки.
Узнать больше об услугах практик:
Трудовое право
Примечание: обращаем Ваше внимание на то, что вся информация была основана на нашем анализе данных из открытых источников, а также на нашем понимании предусмотренных законодательных норм и практики правоприменения. Авторы данного письма, равно как и юридическая фирма АЛРУД, не несут ответственности за последствия, возникшие в результате принятия решений на основе этой информации.

В случае возникновения вопросов, пожалуйста, свяжитесь с нами.

Ирина Анюхина | Партнер

Ирина АнюхинаПартнер

Анастасия Петрова | Советник

Анастасия ПетроваСоветник

С уважением,
Юридическая фирма АЛРУД

ул. Лесная, д. 7, этаж 12, Москва, Россия, 125196T: +7 495 234 96 92, T: +7 495 926 16 48, info@alrud.comwww.alrud.ru