Татьяна Новикова
генеральный директор ООО «АУДИТ НТ», эксперт в налоговом консультировании, судебной экспертизе и внедрении управленческого учёта
Татьяна Новикова, генеральный директор ООО «АУДИТ НТ», эксперт по налоговому консультированию, судебной экспертизе и управленческому учёту, журналу RUБЕЖ прокомментировала новые штрафы за утечку персональных данных, которые вступили в силу с 30 мая 2025 года. По её словам, финансовый сектор оказался в зоне наибольшего риска: число инцидентов выросло в полтора раза, а оборотные штрафы за повторные утечки могут достигать 500 млн рублей. Эксперт подчеркнула, что основная финансовая нагрузка ляжет на акционеров компаний, тогда как клиенты пока получают символические компенсации, а страховой рынок только формируется.
Новые штрафы за утечку персональных данных: от 3 до 500 миллионов рублей
С 30 мая 2025 года российское законодательство в сфере персональных данных претерпело кардинальные изменения. Если раньше максимальный штраф за утечку для компании мог составлять всего 60 тысяч рублей, то теперь суммы исчисляются десятками и сотнями миллионов. За первую утечку, затронувшую от тысячи до десяти тысяч граждан, организацию могут оштрафовать на 3–5 миллионов рублей. Если пострадало более 100 тысяч человек, штраф вырастает до 10–15 миллионов, а за утечку биометрических данных до 20 миллионов. Но самые серьёзные последствия наступают за повторный инцидент: для компаний вводятся оборотные штрафы в размере от 1 до 3 процентов годовой выручки, но не менее 25 миллионов и не более 500 миллионов рублей. Для банков штраф рассчитывается как процент от размера собственных средств, но нижняя и верхняя планки те же.
Финансовый сектор в эпицентре: рост инцидентов и внутренние нарушители
Финансовый сектор оказался в зоне самого высокого риска. В 2025 году произошло 44 инцидента утечки данных из российских финансовых организаций, что в полтора раза больше, чем годом ранее. Основными источниками данных для чёрного рынка остаются банки и микрофинансовые организации. При этом доля инцидентов из-за внутренних нарушителей в России значительно выше, чем в среднем в мире. Особенно тревожная ситуация складывается в страховом секторе: за январь–октябрь 2025 года доля страховых компаний в утечках из финансового сектора превысила 20 процентов, показав максимум за последние четыре года. Причём в 100 процентах случаев из страховых организаций утекали именно персональные данные. Такой рост связан в первую очередь с утечками в небольших микрофинансовых организациях и страховых компаниях, где вопросам информационной безопасности уделяется недостаточно внимания.
Кто платит по счетам за утечку персональных данных: акционеры, клиенты или страховщики?
Вопрос о том, кто в конечном счёте платит за эти инциденты, имеет несколько уровней. Штрафы, налагаемые государством, ложатся непосредственно на организацию, а значит, в конечном счёте на её акционеров, поскольку снижают прибыль и, соответственно, дивиденды. Для банков это удар и по капиталу, и по репутации. Но помимо прямых штрафов, компания несёт и дополнительные затраты: внедрение систем предотвращения утечек, работу с сотрудниками, компьютерную криминалистику и аудит.
Что касается клиентов, их положение остаётся сложным. Формально они могут подать в суд на банк за разглашение данных и потребовать компенсацию морального вреда. Судебная практика показывает, что такие иски действительно рассматриваются, однако суммы компенсаций, как правило, невелики. В одном из дел клиент требовал 5 тысяч рублей, в другом речь шла о взыскании компенсации морального вреда с Сбербанка. Встречаются и более серьёзные прецеденты, когда утечка данных приводила к тому, что третьи лица завладевали денежными средствами клиента. Но в целом массовой практики крупных выплат в пользу клиентов пока нет.
Рынок страховых услуг в этой сфере только формируется. Предлагается ввести механизм страховых выплат пострадавшим, размер которых будет зависеть от категории утерянных данных и тяжести последствий. Для самих операторов планируется установить страховые суммы исходя из объёма хранимых данных: от 5 миллионов рублей для небольших организаций до 1 миллиарда для тех, кто обрабатывает более миллиона записей. Однако пока этот механизм находится в стадии обсуждения, и массовых выплат пострадавшим от утечек не производится.
Таким образом, главным плательщиком по новым штрафам становятся акционеры и сама компания за счёт своей прибыли. Клиенты пока остаются в стороне от финансовых потоков штрафов, и их возможности получить компенсацию напрямую от банка ограничены. Страховой рынок только начинает подстраиваться под новые реалии. Но для банков, страховых компаний и МФО наступила новая реальность, где безопасность данных стала не просто вопросом репутации, а прямым финансовым риском, сопоставимым с кредитными. Игнорировать новые требования теперь невозможно, особенно учитывая, что более половины опрошенных компаний уже начали усиливать защиту данных.

