Новости / декабрь 2025
Суды

Хороший комплаенс спасет от штрафа за утечку

На фото в центре: управляющий партнер ООО "Комплай" (Comply) Артем Дмитриев
Каждая восьмая компания, обвиняемая в утечке персональных данных, не получала штраф за нее, при этом в среднем с 2022 г. российские суды рассматривали от 50 до 60 таких дел в год. По словам юристов, это доказывает, что если организация готова к последствиям утечки с точки зрения комплаенса, то штраф можно не получить.
Иван
Иванов
© ComNews
08.12.2025

В минувшую пятницу, 5 декабря, во время панельной дискуссии "Экономика доверия: киберустойчивость, данные и биометрия" на форуме "Пульс цифровизации. Форум лидеров цифрового развития" управляющий партнер ООО "Комплай" (Comply) Артем Дмитриев рассказал, что российские суды в среднем рассматривают ежегодно от 50 до 60 дел, связанных с утечками персональных данных. При этом, согласно наблюдениям компании, каждая восьмая организация не получает штраф за утечку персональных данных.

https://www.comnews.ru/content/242764/2025-12-04/2025-w49/1009/komitet-…

"По моим наблюдениям, цифры выглядят вполне реалистично. Не каждое дело об утечке заканчивается штрафом. Причины могут быть разные: как связанные с действиями бизнеса - отсутствие вины (все документы по защите данных приняты в компании, все меры реализуются и соблюдаются), минимизация последствий утечки, действия строго в соответствии с законом после выявления утечки. Так и связанные с нарушениями со стороны регулятора - нарушения формальных процедур проверки. Но стоит отметить, что скорее было не так много реальных утечек, поэтому и не так много дел. Если дело доходит до суда, то в большинстве случаев штрафа избежать не удастся", - рассказал адвокат, руководитель практики интеллектуальной собственности адвокатского бюро "Шварц и партнеры" Татьяна Овчинникова.

С ней согласился советник, руководитель практики IP/IT ООО "ЛЧ Лигал" (LCH.LEGAL) Кирилл Ляхманов. По его словам, оценка в примерно 10% компаний, не получающих штраф, выглядит достоверно. Он отметил, что суд оценивает не сам факт утечки, а добросовестность действия организации - например, была ли выстроена система защиты, назначены ответственные лица, работали ли внутренние процедуры и т.д. Если компания способна доказать, что предпринимала разумные меры и выполняла требования закона, суд может прийти к выводу, что оснований для штрафа нет.

По словам Артема Дмитриева, если обвиняемая в утечке компания готова с точки зрения комплаенса, то штрафа можно избежать. Он отметил, что для этого нужна подготовка документов, которые убедят Роскомнадзор в том, что в компании есть все необходимые рабочие процедуры.

"С помощью бумажных доказательств мы сумели помочь клиенту избежать ответственности за утечку. У вендора - подрядчика клиента была компрометация учетной записи. Мы показали Роскомнадзору, что клиент проверил подрядчика, который заполнял специальные чек-листы, показывавшие, что он выполняет требования по защите персональных данных. С таким доказательством нам удалось убедить Роскомнадзор, что в утечке нет вины компании-клиента. Такими простыми доказательствами являются одностраничные документы, которые доказывают, что реальная процедура в компании есть, не огромные регламенты или гайды, а реальные процедуры по комплаенсу. Инспектор может поддержать либо снижение штрафа, либо замену его предупреждением, и компания штраф может не получить", - рассказал он.

https://www.comnews.ru/content/242692/2025-12-01/2025-w49/1009/trend-li…

Коллега Артема Дмитриева старший юрист Comply Мария Пономарева рассказала, что многие компании недооценивают критичность последствий утечек персональных данных. Она отметила, что штрафы в действующей судебной практике пока небольшие и многим кажется, что утечки задевают только большие компании.

"Реальный объем негативных последствий не всегда выходит в публичное поле, а такие последствия могут включать внеплановые проверки, выявление иных нарушений, жалобы субъектов, репутационные риски, отток пользователей. Также подготовка к утечке более прозрачна в части безопасности, а комплаенс-подготовка часто воспринимается как понимание формы и сроков подачи уведомлений и включение базовых оговорок об утечках в договоры с контрагентами. Фактически подготовка состоит из набора блоков, в том числе контроль новых процессов, выстраивание работы с контрагентами, обучение сотрудников, минимизация обрабатываемых данных и текущих рисков работы с данными. Иногда даже после утечки видим, что компании формально подходят к подаче уведомлений, не понимая, как каждый из тезисов может повлиять на итоги дальнейшего разбирательства, внеплановую проверку, позицию Роскомнадзора и суда", - рассказала она.

https://www.comnews.ru/content/242442/2025-11-20/2025-w47/1008/vkhodyat…

По словам Марии Пономаревой, подготовиться к утечкам непросто из-за того, что многие компании воспринимают прайваси-комплаенс как набор документов. Такая подготовка требует вовлечения крупных ресурсов и работу команд юристов, информационной безопасности ИТ и др. Ее сложность - главная причина, почему многие компании откладывают и недооценивают эту работу. Она отметила, что для предварительной подготовки в случае наступления утечки необходимо выполнить целый ряд процедур, документируя каждую из них.

"Не можем сделать общий вывод по рынку, но по нашему опыту, к сожалению, подготовленность никак не выросла за последние полгода. Компании точно намного больше говорят об утечках, где-то стараются выделить бюджет на общие прайваси- и ИБ-аудиты, разработать план мер, но общая картина от этого не меняется. Возможно, все ожидают появления кейсов с ужасающими штрафами, чтобы после этого приоритизировать подготовку к утечкам", - сказала Мария Пономарева.

https://www.comnews.ru/content/242572/2025-11-26/2025-w48/1008/de-yure-…

Из общей юрисдикции в арбитраж

Артем Дмитриев отметил, что суды пока не назначали новые штрафы компаниям. Главная причина - их ввели всего полгода назад, но уже есть дела, по которым компании могут их получить. В том, что это случится, у него нет никаких сомнений. По его словам, федеральный бюджет на 2026 г. дефицитный, и на уровне законодательства предусмотрено финансирование ряда проектов и инициатив, включая национальный проект "Экономика данных", в том числе за счет средств, взысканных государством с бизнеса в виде штрафов за нарушения федерального закона №152-ФЗ "О персональных данных".

"Но надо помнить, что помимо новых штрафов теперь дела об утечках рассматривает не суд общей юрисдикции, а арбитражный суд. Это дает бизнесу уверенность, что аргументы, которые у него есть, будут услышаны судом, в отличие от судов общей юрисдикции, где судопроизводство несколько более драматично и менее развито, чем в арбитражных судах", - отметил он.

https://www.comnews.ru/content/242078/2025-10-29/2025-w44/1009/sud-prod…

По мнению Кирилла Ляхманова, перевод дел об утечках данных в арбитражные суды повысит качество и предсказуемость рассмотрения, ведь последние чаще работают с вопросами комплаенса и корпоративными регламентами. Они способны глубже оценить, насколько компания действительно внедрила требуемый режим защиты персональных данных. Но он отметил, что переход повышает нагрузку на суды и потребует от малого бизнеса, допустившего утечку, повышать стандарт подготовки к процессу.

"Рассмотрение в арбитражных судах скорее плюс для бизнеса. Практика формируется более предсказуемо, судьи в арбитраже ориентированы на сложные экономические споры, и больше шансов, что они будут погружены в ИТ-специфику не только в суде кассационной инстанции, но и в суде первой инстанции. Процесс доказывания и обмена документами с судом проще для бизнеса, да и для юристов", - заключила Татьяна Овчинникова.

https://www.comnews.ru/content/242276/2025-11-12/2025-w46/1007/podmosko…

Новости из связанных рубрик