В 2025 году по всему миру было наложено 208 штрафов за разглашение персональных данных, причем на российские организации пришлось шесть из них. Наибольший размер взыскания для отечественных компаний достиг 150 тысяч рублей. Эти данные содержатся в исследовании «Штрафы за утечки персональных данных в 2025 году», подготовленном экспертно-аналитическим центром (ЭАЦ) InfoWatch. Информацией с CNews поделились представители ГК InfoWatch.
Примерно треть мировых штрафов была назначена за непреднамеренные нарушения. Специалисты отмечают, что реальный масштаб проблемы утечек ПДн значительно шире, и не исключают дальнейшего роста числа штрафных санкций как в России, так и в других странах.
В своем отчете ЭАЦ InfoWatch изучил сведения о финансовых взысканиях за утечки персональных данных, наложенных регуляторами различных государств на коммерческие и государственные структуры. Случаи, завершившиеся предупреждениями, в анализ не включались. Как показало исследование, лидерами по количеству наложенных санкций стали страны Европейского Союза, где было вынесено абсолютное большинство штрафов. Первое место по числу наказаний занимает Испания: местный регулятор оштрафовал 48 организаций за нарушения в области защиты ПДн. За ней следуют Румыния (45 штрафов) и США (25 штрафов).
Согласно данным ЭАЦ InfoWatch, в России зафиксировано шесть административных штрафов, назначенных судами по обращениям Роскомнадзора (РКН). За нарушения в сфере обработки персональных данных (ст. 13.11 КоАП РФ) штрафы по 150 тыс. руб. были назначены РЖД и «Почте России». ООО «Изумруд» и «Медквадрат» получили взыскания по 75 тыс. руб. Штрафы на сумму 60 тыс. руб. каждое были выписаны коллекторскому агентству «Интер-Прайм» и микрофинансовой организации «К.».
«В 2025 году наиболее распространенным последствием за нарушение законодательства о персональных данных оставалось предупреждение, поэтому множество инцидентов не вошло в данную статистику. Суды заменяли штраф предупреждением для операторов (часто из реестра МСП), впервые допустивших нарушение и самостоятельно сообщивших о нем в РКН. В 2026 году стоит ожидать увеличения размеров взысканий. Во-первых, дела по ст. 13.11 вновь переданы в суды общей юрисдикции, которые традиционно подходят к нарушениям в цифровой сфере более формально и строго. Во-вторых, с момента обновления штрафных сумм прошло достаточно времени, и операторы уже не смогут ссылаться на то, что инцидент произошел до их повышения, как это было в случае с “Почтой России”», – прокомментировал Илья Башкиров, юрист по информационной безопасности ГК InfoWatch.
По оценкам авторов исследования, размеры штрафов в России значительно уступают мировым. В среднем глобальная сумма взыскания за разглашение персональных данных достигла примерно $4,26 млн. Однако важно отметить, что значительная доля этой суммы обусловлена рекордным штрафом по правилам GDPR, наложенным на европейское подразделение TikTok, который составил 530 млн евро (около $620 млн). Если исключить этот случай, средний мировой штраф в 2025 году равнялся $1,16 млн.
«В Российской Федерации штрафы за утрату персональных данных невелики, а их количество за год исчисляется единицами. Это говорит о том, что меры регуляторов пока не носят массовый характер и, видимо, направлены в первую очередь на акцентирование внимания к вопросу защиты сведений о гражданах. Проблема носит более серьёзный характер, чем может показаться. Различные нарушения при хранении, обработке и передаче информации способны привести к утечкам, а каждая похищенная или утраченная запись с персональными данными может быть использована злоумышленниками. Ключевое значение имеет не величина штрафа, а фокусировка на самой проблеме несанкционированного раскрытия информации. Операторам данных важно делать правильные выводы, систематически проверять свои инфраструктуры и своевременно усиливать защиту информации при необходимости», – отметил Андрей Арсентьев, руководитель направления аналитики и спецпроектов ЭАЦ ГК InfoWatch.
Вероятно, изменения могут произойти уже в 2026 году. Как указывают авторы отчёта, с 30 мая 2025 года действует закон об обороте штрафов, и даже его точечное применение способно серьёзно повлиять на операторов персональных данных. В 2024-2025 годах многие страны, включая Россию, приняли новые нормативные акты, существенно ужесточающие наказание за разглашение персональных данных. Правоприменительная практика в этой сфере будет расширяться, что может привести к значительному росту числа штрафов в ближайшей перспективе.
«Мы считаем, что в России, как и в западных странах, наиболее строгие санкции будут применяться к операторам за незаконную передачу данных через границу, утечки обширных массивов персональных данных, а также раскрытие особо чувствительных категорий информации – медицинской, финансовой и подобных. Особый контроль регуляторы будут уделять компаниям, допустившим нарушения повторно», – добавил Андрей Арсентьев.
