Как снизить оборотный штраф за утечку данных: условия

12 мин
оборотный штрафутечка данныхдолжная осмотрительность152-фз420-фз
Как снизить оборотный штраф за утечку данных, обложка статьи sitelaw

Оборотный штраф за утечку часто воспринимают как неотвратимый приговор: процент от годовой выручки, минимум в десятки миллионов, и спорить вроде бы не о чем. На деле всё устроено иначе. Санкция задана вилкой, а размер внутри неё орган определяет с учётом обстоятельств. И часть этих обстоятельств оператор готовит заранее, по тому, как он относился к защите ещё до инцидента. Дальше разберём, как снизить оборотный штраф за утечку данных: при каких условиях санкцию назначают ближе к нижней границе, что закон и практика понимают под должной осмотрительностью оператора и почему документированный порядок на сайте оказывается первым шагом защиты.

Когда вообще включается оборотный процент

Сначала уберём частый страх. Оборотный штраф, то есть санкция в процентах от выручки, а не фиксированной суммой, наступает не за любую утечку. По части 15 статьи 13.11 КоАП РФ процент от оборота применяют к юридическому лицу, которое уже было наказано за утечку по соответствующим составам и допустило её повторно. Первая утечка наказывается фиксированным штрафом, размер которого зависит от числа пострадавших субъектов и затронутых идентификаторов.

Это меняет всю логику защиты. Оборотный штраф не сваливается с неба за единичный сбой. Между первым инцидентом и оборотной санкцией есть время, а ещё есть наказание-предупреждение. Оно прямо говорит оператору: устрани причины, иначе следующая утечка будет считаться от выручки. Поэтому смягчение оборотного штрафа во многом сводится к тому, что оператор сделал в этом промежутке и как вёл себя до первого инцидента.

Сам диапазон оборотной санкции для юридического лица закон описывает так: от 1 до 3 процентов совокупной выручки за предшествующий календарный год, но не менее 20 миллионов и не более 500 миллионов рублей. Это вилка по КоАП, не юридическое заключение: конкретный размер внутри неё определяет орган с учётом обстоятельств, и именно на эти обстоятельства оператор может влиять.

Как снижается оборотный штраф: от чего зависит размер

Оборотный штраф по части 15 статьи 13.11 КоАП задан не одним числом, а диапазоном: от 1 до 3 процентов выручки, с нижней и верхней границами в рублях. Конкретную сумму внутри этого диапазона определяет орган, и определяет он её с учётом обстоятельств дела. Вот где у оператора появляется пространство для влияния.

КоАП в общих правилах прямо велит учитывать обстоятельства, которые смягчают ответственность. К ним относится, в частности, добровольное устранение последствий нарушения и принятие мер по их предотвращению. Для утечки данных это значит простое: орган смотрит, что оператор делал для защиты. Вкладывался в безопасность системно или просто собирал данные и не охранял их? Чем убедительнее выглядит картина ответственного оператора, тем больше оснований назначить санкцию ближе к нижней границе вилки, а не к верхней.

Здесь нужна честная оговорка, важная именно для темы санкций. В публичном пространстве гуляет тезис про отдельную «формулу сниженного оборотного штрафа», привязанную к доле расходов на информационную безопасность. Мы намеренно не называем такой конкретный процент или порог: норма в действующей редакции говорит про вилку и про роль смягчающих обстоятельств. Никакой арифметической формулы скидки в ней нет. Если по вашему случаю кто-то называет точную цифру снижения, это повод свериться с действующей редакцией и юристом, а не верить на слово.

Что остаётся устойчивым независимо от частных формулировок: размер санкции внутри вилки оценочный, на эту оценку влияет осмотрительность оператора, и работает она только тогда, когда её можно доказать. Смягчение получает тот, кто способен предъявить документы, а не тот, кто хорошо защищался на словах. Цену имеет зафиксированный порядок, а не разовая покупка средства защиты.

У этого эффекта есть накопительная природа, и про неё часто забывают. Оператор, который вёл порядок годами, к моменту инцидента уже держит наготове доказательную базу. Тот, кто спохватился после первой утечки, собирает её с нуля и в худших условиях: под надзором, в сжатые сроки и задним числом. Так что к инвестициям в защиту разумнее относиться как к страховке, которую покупают до события, а не как к ходатайству, которое пишут уже после.

Покажу разницу на двух операторах с одинаковой по объёму утечкой. Первый собирал на форме только нужные поля, держал политику актуальной, годами вёл журнал проверок сайта и при инциденте сразу уведомил Роскомнадзор в установленные сроки. Второй хранил паспортные данные, которыми не пользовался, политику не обновлял два года, а про сроки уведомления узнал уже в момент утечки. Состав нарушения у них один, а вот картина для органа разная: первому есть что предъявить документами, второму предъявлять нечего. Эта разница и толкает санкцию первого ближе к нижней границе вилки, а второго к верхней. Объём утёкших данных совпал, расходятся они только в том, что сделали и зафиксировали заранее.

Должная осмотрительность оператора: из чего она складывается

Должная осмотрительность оператора ПДн это не юридический термин из одной статьи, а набор действий, по которым видно, что к чужим данным относились ответственно. При оценке санкции и в споре именно эти действия отделяют «не повезло, хотя делали всё разумное» от «собирали данные и не охраняли их».

Складывается осмотрительность из нескольких слоёв, и каждый оставляет следы, которые потом можно предъявить.

  1. Минимизация данных. Оператор собирает только те персональные данные, которые реально нужны для заявленной цели. Чем меньше хранится, тем меньше масштаб возможной утечки и тем ниже сам состав по числу субъектов.
  2. Законные основания и документы. На каждый сбор есть основание из закона, опубликована политика обработки, а согласие там, где оно требуется, оформлено корректно. Это базовый уровень, без него про осмотрительность говорить рано.
  3. Технические меры защиты. Шифрование, разграничение доступа, защищённое хранение, контроль за внешними сервисами, которым уходят данные. Меры должны отвечать реальным рискам, а не висеть на бумаге.
  4. Регулярность и документирование. Меры применяются постоянно, а не один раз перед проверкой, и факт применения зафиксирован: даты, ответственные, проведённые проверки и исправления.
  5. Готовность к инциденту. Оператор знает, что при утечке обязан уведомить Роскомнадзор в течение 24 часов о самом инциденте и в течение 72 часов о результатах внутреннего расследования. Эти сроки заданы частью 3.1 статьи 21 закона о персональных данных, и пропуск уведомления это отдельное нарушение поверх самой утечки.

Ни один из этих слоёв сам по себе штраф не отменяет. Но вместе они складываются в картину осмотрительного оператора, и именно эта картина работает на смягчение, когда дело доходит до размера санкции.

Разницу удобнее всего увидеть так: один и тот же слой выглядит у осмотрительного и неосмотрительного оператора по-разному, и проверяющий судит по этому видимому следу, а не по намерениям.

Слой осмотрительностиЧто делает осмотрительный операторКакой след остаётсяЧто видит проверяющий у неосмотрительного
Минимизация данныхСобирает только нужные для цели поляКороткая форма, обоснованный состав полейПаспорт в форме обратной связи «на всякий случай»
Основания и документыОпубликована политика, согласие там, где требуетсяАктуальная политика, ссылка у каждой формыПолитика спрятана или устарела, у формы нет ссылки
Технические мерыШифрование, разграничение доступа под реальные рискиНастройки и регламенты доступаМеры «на бумаге», доступ у всех ко всему
РегулярностьПроверяет и исправляет постоянно, фиксирует датыЖурнал проверок и исправленийРазовая правка перед проверкой, следов нет
Готовность к инцидентуЗнает сроки и порядок уведомления РоскомнадзораГотовый сценарий уведомленияУзнаёт про 24 и 72 часа в момент утечки

Полезно взглянуть на эти слои глазами проверяющего. Он не видит ваших намерений, он видит сайт и документы. Просят на форме заказа паспортные данные, которые для доставки не нужны? Это сигнал, что минимизацией никто не занимался. Политика опубликована, но устарела и не описывает реально работающие на сайте сервисы? Это расхождение между бумагой и фактом. Аналитический скрипт грузится до получения согласия, а в перечне передач этого сервиса нет? Осмотрительность под вопросом, и неважно, насколько хорошо защищена база на сервере. Вот почему самопроверку логично вести именно по тем точкам, которые видны снаружи: формы, документы, внешние сервисы. Это та часть осмотрительности, которую оператор контролирует полностью и может привести в порядок без больших затрат.

Почему документ важнее намерения

Вся разница лежит между «мы заботились о безопасности» и «вот документы, которые это подтверждают». Смягчение и должная осмотрительность это категории доказывания. Орган и суд смотрят на то, что оператор может показать документами, а устные заверения тут не весят ничего.

Поэтому условия снижения штрафа за утечку упираются в один принцип: защита должна быть не только сделана, но и зафиксирована. Регулярные проверки сайта и инфраструктуры, журнал исправлений, актуальная политика, корректные согласия, перечень внешних сервисов и оснований передачи им данных, доказательства того, что аналитика и сторонние скрипты подключены законно. Всё это и превращает абстрактную заботу в предъявляемый факт.

Для малого оператора и самозанятого это хорошая новость. Выстроить и задокументировать порядок на небольшом сайте проще и дешевле, чем кажется на фоне миллионных цифр. И начинается он с простого: понять, где у сайта расхождения с законом прямо сейчас. Дорогие средства защиты вторичны.

Как проверить свой сайт как первый шаг осмотрительности

Доказанная осмотрительность начинается с инвентаризации: что собираем, на каком основании, куда это уходит и чем прикрыто. Пройти весь путь руками вполне можно, и порядок самопроверки выглядит так.

  1. Откройте каждую страницу с формой и проверьте, есть ли рядом ссылка на политику и согласие там, где оно требуется.
  2. Проверьте подвал сайта: видна ли политика обработки персональных данных и открывается ли она без регистрации.
  3. Выпишите все внешние сервисы, которым уходят данные посетителей: аналитика, чаты, виджеты, платёжные и почтовые сервисы.
  4. По каждому сервису ответьте, на каком основании ему передаются данные и не нарушает ли передача требований закона.
  5. Проверьте, минимален ли набор собираемых полей и нет ли лишних данных, которые вы храните «на всякий случай».

Этот обход и есть начало документированного порядка: вы фиксируете, что проверили и что нашли. Только увидеть расхождения по всему сайту разом удобнее автоматически, чем обходить каждую страницу вручную. На странице проверки сайта по 152-ФЗ сканер находит формы и внешние сервисы и показывает, где рядом с формой нет согласия или ссылки на политику, какие сервисы передают данные и где это создаёт риск. Индивидуальный случай и точную правовую оценку он не заменит, но подскажет, с чего начинать наводить порядок, который потом можно предъявить как доказательство осмотрительности.

Как исправить найденное

Результат проверки это список конкретных расхождений, и закрывать их стоит по тому же принципу: исправил и зафиксировал.

  1. Сократите сбор данных до необходимого. Уберите поля, которые цели формы не служат. Меньше данных это меньший масштаб любой утечки.
  2. Приведите в порядок документы. Опубликуйте политику обработки персональных данных, дайте на неё ссылку в подвале и у каждой формы, а согласие там, где оно требуется, оформите отдельно.
  3. Закройте основания передачи внешним сервисам. По каждому сервису зафиксируйте основание, а от тех, что создают непропорциональный риск, при необходимости откажитесь.
  4. Заведите ритм проверок. Регулярная проверка сайта плюс журнал исправлений с датами это и есть доказуемая регулярность, на которую опирается смягчение.
  5. Подготовьте сценарий на случай утечки. Знайте заранее, кто и как уведомляет Роскомнадзор в сроки 24 и 72 часа, чтобы пропуск уведомления не стал вторым нарушением.

Что именно должно быть в политике, подробно разобрано в материале о содержании политики конфиденциальности. Как оформляется согласие после изменений 2025 года, мы разбирали в статье о согласии на обработку персональных данных. А сам механизм оборотных штрафов и то, для кого он реален, разобран в материале об оборотных штрафах за утечку.

Честная граница: автоматическая проверка и наведение порядка снижают риск и создают доказательную базу осмотрительности, но не заменяют юриста там, где нужна оценка конкретного инцидента или защита в споре. Сервис показывает, где у сайта проблемы, чтобы вы успели их закрыть до того, как они станут поводом для санкции.

Частые вопросы

Можно ли снизить оборотный штраф уже после утечки? Размер санкции внутри законной вилки определяет орган с учётом обстоятельств, и осмотрительность оператора на эту оценку влияет. Но рычаг смягчения закладывается заранее, регулярными и задокументированными мерами защиты. Доказать то, чего не делали, задним числом нельзя, так что действия уже после инцидента дают мало.

Касается ли оборотный штраф самозанятого или маленького сайта? Оборотный процент от выручки по части 15 статьи 13.11 КоАП адресован юридическому лицу и применяется за повторную утечку. Для малого оператора и самозанятого практический фокус другой: закрыть базовые требования, законные основания, политику, минимум данных, и не отвлекаться на пугающие проценты. Это и снижает риск самого состава, и формирует осмотрительность.

Что считается достаточной инвестицией в защиту? Закона с точным порогом расходов на безопасность нет, и мы намеренно не называем конкретный процент: орган оценивает осмотрительность по совокупности обстоятельств, а не по одной цифре в бюджете. Принцип устойчив: меры должны быть реальными, постоянными и подтверждёнными документами. А разовая покупка средства защиты перед проверкой осмотрительностью не считается.

Что грозит, если не уведомить Роскомнадзор об утечке? Обязанность уведомить в сроки 24 и 72 часа установлена частью 3.1 статьи 21 закона о персональных данных. Пропуск уведомления это самостоятельное нарушение, которое накладывается на ответственность за саму утечку, поэтому готовый сценарий уведомления входит в осмотрительность оператора.

Коротко

Оборотный штраф за утечку, то есть процент от выручки, по части 15 статьи 13.11 КоАП наступает за повторную утечку у юридического лица, а не за любой первый инцидент. Сама санкция задана вилкой, и размер внутри неё орган определяет с учётом смягчающих обстоятельств, среди которых осмотрительность оператора и принятые им меры защиты. Рычаг снижения закладывается заранее: должная осмотрительность это минимизация данных, законные основания, технические меры, регулярность и готовность уведомить Роскомнадзор в сроки 24 и 72 часа, причём всё это должно быть зафиксировано, а не заявлено на словах. Первый практический шаг доступен и малому оператору: проверить сайт, увидеть расхождения с законом и начать вести документированный порядок, который потом работает в пользу оператора при оценке санкции.

Нормативная база

  • КоАП РФ, статья 13.11 часть 15: повторная утечка персональных данных лицом, ранее наказанным по частям 12-14, 16-18, влечёт для юридического лица оборотный штраф от 1 до 3 процентов совокупной выручки за предшествующий календарный год, но не менее 20 млн и не более 500 млн рублей (введена Федеральным законом от 30.11.2024 № 420-ФЗ, в силе с 30.05.2025).
  • КоАП РФ, статья 13.11 части 12-14: утечка персональных данных в зависимости от числа пострадавших субъектов и идентификаторов влечёт фиксированный штраф для юридического лица (диапазоны по объёму утечки; введены Федеральным законом от 30.11.2024 № 420-ФЗ).
  • КоАП РФ, статья 4.2: обстоятельствами, смягчающими административную ответственность, признаются в том числе предотвращение лицом вредных последствий правонарушения и добровольное возмещение или устранение причинённого вреда (пункты 5 и 6 части 1); судья, орган или должностное лицо, рассматривающие дело, могут признать смягчающими и иные обстоятельства (часть 2).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 21 часть 3.1: при установлении факта неправомерной или случайной передачи персональных данных оператор обязан уведомить Роскомнадзор в течение 24 часов о самом инциденте и в течение 72 часов о результатах внутреннего расследования (введена Федеральным законом от 14.07.2022 № 266-ФЗ).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 18.1 часть 2: оператор, собирающий персональные данные через интернет, обязан опубликовать на страницах сайта документ о политике обработки персональных данных и сведения о реализуемых требованиях к защите.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также