В минувшую пятницу, 5 декабря 2025 г., во время панельной дискуссии "Экономика доверия: киберустойчивость, данные и биометрия" на форуме "Пульс цифровизации. Форум лидеров цифрового развития" управляющий партнер ООО "Комплай" (Comply) Артем Дмитриев рассказал, что российские суды в среднем рассматривают от 50 до 60 дел, связанных с утечками персональных данных. При этом, согласно наблюдениям компании, каждая восьмая организация не получает штраф за утечку персональных данных.

https://www.comnews.ru/content/242764/2025-12-04/2025-w49/1009/komitet-gosdumy-podderzhal-proekt-o-kontrole-za-peredachey-lichnykh-dannykh

"По моим наблюдениям, цифры выглядят вполне реалистично. Не каждое дело об утечке заканчивается штрафом. Причины могут быть разными: связанные с действиями бизнеса - отсутствие вины (все документы по защите данных приняты в компании, все меры реализуются и соблюдаются), минимизация последствий утечки, действия строго в соответствии с законом после выявления утечки, так и связанные с нарушениями со стороны регулятора - нарушения формальных процедур проверки. Но стоит отметить, что скорее было не так много реальных утечек, поэтому и не так много дел. Если дело доходит до суда, то в большинстве случаев штраф избежать не удастся", - рассказал адвокат, руководитель практики интеллектуальной собственности адвокатского бюро "Шварц и партнеры" Татьяна Овчинникова.

С ней согласился советник, руководитель практики IP/IT ООО "ЛЧ Лигал" (LCH.LEGAL) Кирилл Ляхманов. По его словам, оценка в примерно 10% компаний, не получающих штраф, выглядит достоверно. Он отметил, что суд оценивает не сам факт утечки, а добросовестность действия организации, например была ли выстроена система защиты, назначены ответственные лица, работали ли внутренние процедуры и так далее. Если компания способна доказать, что предпринимала разумные меры и выполняла требования закона, суд может прийти к выводу, что оснований для штрафа нет.

По словам Артема Дмитриева, если обвиняемая в утечке компания готова с точки зрения комплаенса, то штрафа можно избежать. Он отметил, что для этого нужна подготовка документов, которые убедят Роскомнадзор в том, что в компании есть все необходимые рабочие процедуры.

"С помощью бумажных доказательств мы сумели помочь клиенту избежать ответственности за утечку. У вендора-подрядчика клиента была компрометация учетной записи. Мы показали Роскомнадзору, что клиент проверил подрядчика, который заполнял специальные чек-листы, показывавшие, что он выполняет требования по защите персональных данных. С таким доказательством нам удалось убедить Роскомнадзор, что в утечке нет вины компании-клиента. Такими простыми доказательствами являются одностраничные документы, которые доказывают что реальная процедура в компании есть, не огромные регламенты или гайды, реальные процедуры по комплаенсу. Инспектор может поддержать либо снижение штрафа, либо замену его предупреждением, и компания штраф может не получить", - рассказал он.

https://www.comnews.ru/content/242692/2025-12-01/2025-w49/1009/trend-lico-rossii-rezko-vyros-spros-platezhi-pomoschyu-biometrii

Коллега Артема Дмитриева, старший юрист Comply Мария Пономарева рассказала, что многие компании недооценивают критичность последствий утечек персональных данных. Она отметила, что штрафы в действующей судебной практике пока небольшие и многим кажется, что утечки задевают только большие компании.

"Реальный объем негативных последствий не всегда выходит в публичное поле, а такие последствия могут включать внеплановые проверки, выявление иных нарушений, жалобы субъектов, репутационные риски, отток пользователей. Также подготовка к утечке более прозрачна в части безопасности, а комплаенс-подготовка часто воспринимается как понимание формы и сроков подачи уведомлений и включение базовых оговорок об утечках в договоры с контрагентами. Фактически подготовка состоит из набора блоков, в том числе контроль новых процессов, выстраивание работы с контрагентами, обучение сотрудников, минимизация обрабатываемых данных и текущих рисков работы с данными. Иногда даже после утечки видим, что компании формально подходят к подаче уведомлений, не понимая, как каждый из тезисов может повлиять на итоги дальнейшего разбирательства, внеплановую проверку, позицию Роскомнадзора и суда", - рассказала она.

https://www.comnews.ru/content/242442/2025-11-20/2025-w47/1008/vkhodyat-tarif-ib-uslugi-stali-konkurentnym-preimuschestvom-u-operatorov-svyazi

По словам Марии Пономаревой, подготовится к утечкам непросто из-за того, что многие компании воспринимают прайваси комплаенс как набор документов. Такая подготовка требует вовлечения крупных ресурсов и работу команд юристов, информационной безопасности ИТ и других. Ее сложность - главная причина, почему многие компании откладывают и недооценивают эту работу. Она отметила, что для предварительной подготовки в случае наступления утечки необходимо выполнить целый ряд процедур, документируя каждую из них.

"Не можем сделать общий вывод по рынку, но по нашему опыту, к сожалению, подготовленность никак не выросла за последние полгода. Компании точно намного больше говорят об утечках, где-то стараются выделить бюджет на общие прайваси и ИБ-аудиты, разработать план мер, но общая картина от этого не меняется. Возможно, все ожидают появления кейсов с ужасающими штрафами, чтобы после этого приоритизировать подготовку к утечкам", - сказала Мария Пономарева.

https://www.comnews.ru/content/242572/2025-11-26/2025-w48/1008/de-yure-bankroty-de-fakto-esche-posmotrim-sud-otlozhil-rassmotrenie-apellyacii-sr-space-o-bankrotstve-kompanii

Из общей юрисдикции в арбитраж

Артем Дмитриев отметил, что суды пока не назначали новые штрафы компаниям. Главная причина - их ввели всего полгода назад, но уже есть дела, по которым компании могут их получить. В том, что это случится, у него нет никаких сомнений. По его словам, федеральный бюджет на 2026 г. дефицитный, и на уровне законодательства предусмотрено финансирование ряда проектов и инициатив, включая национальный проект "Экономика данных", в том числе за счет средств взысканных государством с бизнеса в виде штрафов за нарушения федерального закона №152-ФЗ "О персональных данных".

"Но, надо помнить, что помимо новых штрафов теперь дела об утечках рассматривает не суд общей юрисдикции, а арбитражный суд. Это дает бизнесу уверенность, что те аргументы, которые у него есть, будут услышаны судом, в отличии от судов общей юрисдикции, где судопроизводство несколько более драматично и менее развито, чем в арбитражных судах" - отметил он.

https://www.comnews.ru/content/242078/2025-10-29/2025-w44/1009/sud-prodlil-proceduru-bankrotstva-rossiyskoy-dochki-google-do-aprelya-2026-goda

По мнению Кирилла Ляхманова, перевод дел об утечках данных в арбитражные суды повысит качество и предсказуемость рассмотрения, ведь последние чаще работают с вопросами комплаенса и корпоративными регламентами. Они способны глубже оценить, насколько компания действительно внедрила требуемый режим защиты персональных данных. Но он отметил, что переход повышает нагрузку на суды и потребует от малого бизнеса, допустившего утечку, повышать стандарт подготовки к процессу.

"Рассмотрение в арбитражных судах скорее плюс для бизнеса. Практика формируется более предсказуемо, судьи в арбитраже ориентированы на сложные экономические споры и больше шансов, что они будут погружены в ИТ-специфику не только в суде кассационной инстанции, но и в суде первой инстанции. Процесс доказывания и обмена документами с судом проще для бизнеса, да и для юристов", - заключила Татьяна Овчинникова.

https://www.comnews.ru/content/242276/2025-11-12/2025-w46/1007/podmoskovnye-svyazisty-proigrali-kassacii-protiv-fas