Арбитражная «оттепель» закончилась: 44% утечек данных в России обходятся без штрафов, но мировые суды могут изменить ситуацию

Значительная часть утечек персональных данных в России не приводит к штрафам для компании. Как следует из публикации компании Comply, на утечки без штрафов приходится 44% дел за период с 2023 по 2025 годы. При этом с декабря 2025 года рассмотрением дел о нарушениях законодательства в сфере персональных данных занимаются мировые судьи, которые наказывают компании гораздо строже.

В Comply обращают внимание на дело в отношении компании «ПКР Аналитика» (SecPost писал об этом разбирательстве). В деле удалось доказать утечку персональных данных 70 тыс. человек, однако суд принял решение обойтись без штрафа для компании, вынеся предупреждение. Компании грозил штраф в размере до 10 млн руб.

«Итого получается, что во времена арбитражной оттепели success-rate (то есть утечка без штрафов) составляет 44%, тогда как в судах общей юрисдикции – только 16% (статистика с 2023 г.)», — следует из колонки, опубликованной Comply.

Отметим, что ранее SecPost писал, что накануне дочерняя компания «Орион Телекома» — «Комлайн» — избежала штрафа за утечку персональных данных 4,2 тыс. абонентов. Суд заменил наказание на предупреждение, хотя Роскомнадзор требовал до 5 млн рублей. А в феврале 2026 года апелляция отменила штраф в размере 150 тыс. руб., назначенный РЖД за утечку базы данных сотрудников компании. Объём утечки составлял 17 млн строк. 

С декабря 2025 года рассмотрение дел об утечке персональных данных перешло от арбитражных судов к мировым. В Comply отмечают, что «в постарбитражную эпоху» мировые суды рассмотрели пока лишь одно дело об утечке.

«Там компанию сразу же оштрафовали на 150 тыс. по ч. 1 ст. 13.11 КоАП. Мировой судья решительно отмёл возможность заменить штраф на предупреждение, несмотря на наличие статуса СМП, а также совершения правонарушения впервые», — пишут в Comply.

Принадлежность «Комлайна» к перечню субъектов среднего и малого предпринимательства была одним из аргументов в пользу присуждения компании предупреждения, а не штрафа.

С данными Comply соглашается управляющий партнер юридической компании «ЭНСО» Алексей Головченко. По его словам, они соответствуют общей тенденции судебной практики — значительная часть утечек обходится без реальных штрафов. Головченко отмечает, что в арбитражной практике по делам о персональных данных нередко используются предупреждения либо «максимально мягкие» санкции — даже когда нарушение подтверждено.

В мировых судах, напротив, суды чаще сразу назначают штрафы, а попытки добиться предупреждения или отказа от наказания проходят реже, отмечает Головченко. Он приводит две причины сложившейся ситуации. Первая — в специфике арбитражных судов, которые более ориентированы на бизнес-среду и учитывают добровольное устранение нарушений, отсутствие ущерба и прочее. «Другая причина — высокая мотивация регулятора добиться реального наказания в судах общей юрисдикции, где стандарты доказывания вины и подходы к ответственности уже устоялись», — отмечает Головченко.

Головченко связывает перевод дел из арбитражных судов в мировые с желанием законодателя «вернуть» споры в привычный арбитражным судам, но более жёсткий для бизнеса, мировой судейский корпус. Сказываются доводы о том, что «административные дела в сфере персональных данных ближе к обычной административке, чем к экономическим спорам», считает Головченко.

Как полагает эксперт, это может привести к тому, что в типичных утечках будет меньше шансов получить предупреждение и мягкое наказание. При этом апеллировать к судебной коллегии по экономическим спорам Верховного Суда будет сложнее, что снизит перспективы «мягких» прецедентов для бизнеса.

«Регулятор и Роскомнадзор декларируют планомерное увеличение количества дел и штрафов, — отмечает Головченко. — И в мировых судах уже есть примеры, когда судьи сразу назначают максимальные по составу штрафы, отказывая в предупреждении даже при наличии статуса СМП и первичности нарушения».

Сейчас по делам об утечках виден переходный период: формально штрафы стали намного выше, но суды далеко не всегда сразу применяют их в полном размере, говорит советник практики интеллектуальной собственности ЮК ЭБР Артем Евсеев. По его словам, во многих делах компании получают предупреждение либо штраф заметно ниже «ожидаемой» суммы – иногда на уровне нескольких сотен тысяч рублей, даже когда сам инцидент выглядит серьезным. «На мой взгляд, причина в том, что суды дают бизнесу время адаптироваться к новым правилам: перестроить процессы защиты данных, реагирования на инциденты, взаимодействия с Роскомнадзором и ИТ-подрядчиками», — подчеркивает юрист.

Евсеев уточняет, что до 30 мая 2025 года дела по нарушениям в сфере персональных данных рассматривали мировые судьи, затем до декабря 2025 их передали в арбитражные суды, а с января 2026 года снова вернули мировым судьям: «такие прыжки не дают практике нормально устояться». Не смотря на то, что первые подобные дела обходятся заниженными суммами штрафов, Евсеев не исключает риск их увеличения. По его словам, сейчас суды во многом присматриваются к новым санкциям и к тому, как компании доказывают свою добросовестность. «Когда накопится больше дел по крупным, особенно по компаниям, которые не смогут показать реальные меры защиты, практика может стать жестче — поэтому 2026 год, скорее всего, будет годом формирования умеренно жесткого подхода к наказаниям за утечки персональных данных», — заключил юрист.