Подсудность не переезжает за реформой
За последний год компетенция по делам об утечках персональных данных менялась трижды: до 30 мая 2025 года дела рассматривали мировые судьи, с 30 мая по 31 декабря 2025 года — арбитражные суды, с 1 января 2026 года — снова мировые судьи, а в отдельных случаях — районные суды. С 30 мая по 31 декабря 2025 года РКН направил в арбитражные суды массив заявлений по ст. 13.11 КоАП, и после смены правил операторы стали ходатайствовать о передаче этих дел в районные суды.
Однако важно, что процессуальный закон применяется на момент совершения процессуального действия: если на момент подачи заявления компетентным был арбитражный суд — дело подлежит рассмотрению им же, даже если категория позднее выведена из его компетенции. Большинство таких ходатайств арбитражные суды отклоняют, а единичное определение о передаче в суд общей юрисдикции было отменено в апелляции.
Как итог, дела, поданные регулятором в арбитражный суд до 1 января, оттуда не уйдут, и стратегию защиты нужно строить под арбитражно-процессуальный регламент.
Дела все чаще рассматриваются за закрытыми дверями
Прозрачность арбитражных информационных систем превращается для оператора в риск: материалы дела могут содержать сведения о системе киберзащиты, ее уязвимостях, действиях оператора до и после инцидента, использованном ПО, объеме скомпрометированных данных и привлеченных подрядчиках. Все эти данные могут быть использованы для последующих кибератак.
Отсюда самостоятельный тренд — операторы ходатайствуют о закрытом порядке рассмотрения дела. Обоснования стандартные: режим коммерческой тайны (состав и условия доступа к IT-инфраструктуре, логины, пароли) и материалы проверки ФСТЭК с грифом «Для служебного пользования».
В деле № А33-31137/2025 АС Красноярского края указал, что материалы ФСТЭК содержат сведения о системе противодействия киберугрозам и ее потенциальных уязвимостях, попадание которых в открытый доступ позволит взломать систему и получить доступ к персональным данным. Тенденция объяснима, но имеет и обратную сторону: повсеместная закрытость затруднит выработку единообразной практики.
Приложение усилий vs строгая ответственность
В практике наблюдаются два подхода. Первый — «приложение усилий»: оператор не отвечает за утечку, если принял все зависящие от него меры защиты (ч. 2 ст. 2.1 КоАП). Второй — «строгая ответственность» за саму утечку. В пользу второго говорят формулировки частей 12, 13, 14, 16 ст. 13.11 КоАП и ч. 3.4-2 ст. 4.1 КоАП: соблюдение требований защиты данных смягчает, но не освобождает от ответственности и только при повторной утечке (части 15, 18 ст. 13.11 КоАП).
Основной массив послереформенных дел еще не разрешен, но уловима тенденция, где арбитражные суды склоняются к подходу «приложения усилий». Так, в деле № А74-10378/2025 суд предложил управлению РКН описать меры, которые оператор должен был принять, а оператору — указать реально принятые. Нормативный стандарт защиты обосновывает регулятор, что отступает от логики строгой ответственности. В деле № А19-25808/2025 суд оценил внесудебный отчет оператора и зафиксировал «крайне пренебрежительное» отношение к информационной безопасности: несменяемые пароли, активные учетные записи уволенных сотрудников, ПО с критическими уязвимостями.
Выходит, суды все чаще не подходят к оценке вины формально, делая акцент на конкретных действиях и мерах оператора.
Без эксперта в утечке не разобраться
До середины прошлого года технические экспертизы в спорах об утечках почти не встречались, поскольку дорогие исследования не имели смысла при небольших штрафах. С 30 мая 2025 года минимальный штраф вырос до 3 млн руб., появились оборотные штрафы (от 25 до 500 млн руб.). Поэтому операторы вынуждены оспаривать все элементы состава вменяемого нарушения, а предмет доказывания включает технические обстоятельства, которые суду без специалиста оценить сложно.
Решений, прямо основанных на заключениях специалистов, пока нет, но активное привлечение специалистов судом и ходатайства операторов о судебной экспертизе уже видны. Показательно дело № А19-25808/2025: внесудебный отчет, представленный самим оператором, дополнительно подтвердил его виновность.
Техническая экспертиза становится центром дела, а инициатива в ее организации — процессуальным преимуществом. Тот, кто первым представит профессиональное заключение о состоянии ИБ-инфраструктуры на момент инцидента, задает рамку оценки. Привлечение экспертов становится обязательной частью доказательственной работы в таких спорах.
Рекордные штрафы пока на бумаге: разрыв между нормой и практикой
Ранее в практике судов общей юрисдикции в 75% случаев назначали минимальный штраф (60 000 руб.) и в 8% — предупреждение. После 30 мая 2025 года картина обратная: в арбитражной практике преобладает именно предупреждение. Ключевые факторы — своевременное уведомление РКН, незначительный объем утечки, статус оператора в реестре МСП и доказательства принятых мер защиты, а вот обращение оператора в правоохранительные органы существенной роли пока не играет.
Минимальные и символические штрафы встречаются при сопоставимо небольших объемах:
штраф 30 000 руб. при 81 записях — дело № А40-360975/25;
60 000 руб. при 36 записи — дело № А40-347593/2025.
Даже значимые утечки не всегда влекут максимальные санкции:
предупреждения вынесены при объемах в 849 и 70 000 записей — дела № А56-91242/2025, № А56-4733/2026;
штраф 400 000 руб. — при объеме более 300 000 записей — дело № А40-351064/2025.
Есть и победы операторов по существу. В деле № А40-263206/2025 РЖД (утечка данных 17 млн пользователей) удалось добиться отказа в привлечении к административной ответственности.
Промежуточные выводы
Акцент в спорах смещается с факта утечки на доказуемость должного и достаточного поведения оператора до и после инцидента.
Декларируемая жесткость санкций пока не подтверждена статистикой. Разрыв между нормой и практикой — сигнал для государства, регуляторная политика подступает к точке выбора: либо законодатель (или высшая судебная инстанция в своих разъяснениях) сузит усмотрение суда, приближаясь к строгой ответственности по факту утечки, либо закрепит сценарий со снижением штрафной нагрузки на операторов при выполнении ими «должного» стандарта поведения.
С 2026 года ключевая интрига: воспримут ли мировые и районные суды заданные арбитражными судами ориентиры (подход «приложения усилий», закрытый режим, распределение бремени доказывания) или сформируют собственную линию. Без разъяснений расхождение практики едва ли удастся избежать.
Следующая волна споров будет, вероятно, о методиках оценки «достаточности мер» оператора.
