Нарушение | Штраф для юрлиц и ИП (первое нарушение) | Повторное нарушение |
Нет уведомления Роскомнадзора о начале обработки ПДн | 100–300 тыс. ₽ | 300–500 тыс. ₽ |
Не сообщили об утечке в течение 24 ч | 1–3 млн ₽ | до 15 млн ₽ или 1–3 % оборота |
Утечка ПДн ≥ 1 000 человек | 3–5 млн ₽ | 1–3 % оборота |
Утечка биометрических данных | 15–20 млн ₽ | — |
Трансграничная передача ПДн без разрешения | 60–100 тыс. ₽ | 100–300 тыс. ₽ |
№ | Как РКН получает сигнал | Что происходит дальше |
1. Обязательное само-уведомление за 24 ч | Закон с 30 мая 2025: оператор должен сообщить о любой утечке ≤ 24 ч. Пропустил срок — отдельный штраф до 3 млн ₽ (ч. 11 ст. 13.11 КоАП) | Данные сразу попадают в единую базу инцидентов РКН; начинается проверка |
2. Жалобы клиентов | Любой человек подаёт обращение на портале pd.rkn.gov.ru; запрос уходит оператору за 3 дня => протокол/суд | РКН инициирует внеплановую проверку |
3. Мониторинг СМИ и Telegram/даркнета | Ведомство официально «сканирует публичные и полузакрытые площадки»; если видит базу с пометкой “leak”, открывает дело | Янв-июнь 2025: 35 утечек, 39 млн записей выявлены именно так |
4. Публикации журналистов / “хакерских” блогов | Достаточно заметки на Хабре или РБК — РКН запускает проверку (пример — утечка МТС-Банк, подтверждена после статьи СМИ) | Проверка → протокол → штраф |
5. Несостыковки в реестре операторов | Робот РКН сравнивает данные сайта с уведомлением. ≥3 расхождений — автоматическая проверка (Приказ 480) | Часто вскрываются “тихие” утечки, тк база уже гуляет в сети |
6. Доносы подрядчиков/сотрудников | Уволенный dev или подрядчик сообщает об инциденте, чтобы не отвечать самому → жалоба в РКН | Ряд штрафов 2024-25 г. вынесен именно по таким сигналам (есть в открытом реестре дел) |
7. Совместные рейды с силовыми ведомствами | ФСБ/МВД расследуют мошенничество, находят “пробитую” БД, передают РКН | По итогам I кв-2025 заведено несколько протоколов, часть уже в судах |