Россия на 8-м месте в мире по штрафам за утечки персональных данных

В мире продолжают считать деньги за утечки персональных данных — и Россия на этом фоне выглядит довольно скромно. По подсчётам экспертно-аналитического центра InfoWatch, в 2025 году регуляторы по всему миру вынесли 208 штрафов за утечки ПДн. На российские компании из них пришлось всего шесть, а максимальный штраф для отечественного бизнеса составил 150 тысяч рублей.

Отчёт InfoWatch приурочен к Международному дню защиты персональных данных и охватывает только реальные штрафы — дела, завершившиеся предупреждениями, в статистику не вошли.

При этом аналитики отмечают любопытную деталь: примерно треть всех штрафов в мире была назначена за случайные нарушения, а не за умышленные действия.

Абсолютными лидерами по числу наказаний стали страны Евросоюза. Больше всего штрафов выписали в Испании (48 случаев), на втором месте Румыния (45), на третьем — США (25). Россия в этом списке заняла восьмое место, но с большим отрывом от лидеров.

Внутри страны картина выглядит так: суды по заявлениям Роскомнадзора назначили шесть административных штрафов по статье 13.11 КоАП РФ. РЖД и «Почта России» получили по 150 тыс. рублей, компании «Изумруд» и «Медквадрат» — по 75 тыс., а коллекторская компания «Интер-Прайм» и микрофинансовая организация «К.» — по 60 тыс. рублей.

Юрист по информационной безопасности ГК InfoWatch Илья Башкиров поясняет, что в 2025 году самым распространённым «наказанием» за утечки были вовсе не штрафы, а предупреждения. Особенно это касалось компаний из реестра МСП, которые допустили нарушение впервые и сами уведомили регулятора. Но в 2026 году, по его словам, ситуация может измениться: дела вернулись в суды общей юрисдикции, а обновлённые размеры штрафов действуют уже достаточно давно — сослаться на «старые правила» больше не получится.

Если сравнивать с мировой практикой, российские санкции выглядят почти символическими. Средний штраф за утечку ПДн в мире в 2025 году составил около $4,26 млн. Правда, статистику сильно «перекосил» рекордный штраф в 530 млн евро для европейского подразделения TikTok. Без него средний мировой показатель снижается до $1,16 млн — всё равно несоизмеримо больше российских сумм.

По словам Андрея Арсентьева, руководителя направления аналитики и спецпроектов ЭАЦ InfoWatch, дело не только и не столько в размере штрафов. Утечки персональных данных остаются массовой и системной проблемой, а каждая потерянная запись может стать инструментом в руках мошенников. Именно поэтому регуляторы стараются «подсветить» проблему и подтолкнуть операторов данных к регулярным аудитам и усилению защиты.

При этом эксперты не исключают, что уже в ближайшее время ситуация изменится. С 30 мая 2025 года в России действует закон об оборотных штрафах, и даже его точечное применение может серьёзно ударить по бизнесу. В 2024–2025 годах многие страны, включая Россию, существенно ужесточили ответственность за утечки ПДн — и правоприменительная практика только начинает набирать обороты.

По прогнозам InfoWatch, наиболее жёстко будут наказываться случаи незаконной трансграничной передачи данных, утечки крупных баз ПДн, а также компрометация особо чувствительной информации — медицинской, финансовой и другой. В зоне повышенного внимания окажутся и компании-рецидивисты, допустившие повторные нарушения.

Так что нынешние «скромные» цифры вполне могут оказаться затишьем перед более серьёзной волной штрафов — и для бизнеса это хороший момент, чтобы заняться защитой данных до того, как за неё возьмётся регулятор.