справочник 21 января 2027 По состоянию на 21 января 2027

Иск о компенсации морального вреда: размеры компенсаций

Иск о компенсации морального вреда за нарушение 152-ФЗ — это требование субъекта ПДн к оператору о возмещении физических или нравственных страданий, причинённых незаконной обработкой его данных.

Суды взыскивают от 1 000 до 50 000 ₽ на одного субъекта; при утечке медицинских данных практика доходит до 100 000 ₽. Ответчик — оператор ПДн, который не обеспечил законность обработки.

Если вы юрист и оцениваете риски исков от субъектов ПДн — разберите ключевые понятия 152-ФЗ, размеры компенсаций и судебную практику 2025–2026 годов. →

С 30.05.2025 оборотные штрафы по ст. 13.11 КоАП достигают 500 млн ₽, но параллельный канал ответственности — гражданские иски субъектов — остаётся недооценённым. Одна утечка с 10 000 пострадавших при взыскании 5 000 ₽ на человека означает 50 млн ₽ только по гражданским делам. Этот справочник раскрывает понятийную базу 152-ФЗ, необходимую для оценки оснований иска, и актуальные размеры компенсаций по судебной практике.

Что такое оператор ПДн и субъект ПДн по ст. 3 152-ФЗ?

Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки, состав ПДн и совершаемые с ними действия (ст. 3 ФЗ-152). Именно оператор несёт ответственность по гражданскому иску субъекта.

Субъект ПДн — физическое лицо, которое прямо или косвенно определяется через обрабатываемые персональные данные. Субъект вправе требовать компенсацию морального вреда, если оператор нарушил его права при обработке данных.

Обработка ПДн охватывает любое действие с данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Для иска о моральном вреде достаточно одного незаконного действия из этого перечня.

«Ст. 3 ФЗ-152 — оператор: лицо, организующее и (или) осуществляющее обработку ПДн и определяющее цели, состав данных и совершаемые с ними действия.»

Трансграничная передача ПДн — передача данных на территорию иностранного государства или иностранным организациям (ст. 3 ФЗ-152). При передаче в страны без адекватной защиты — обязательное уведомление РКН (ст. 12 ФЗ-152). Нарушение трансграничных ограничений служит основанием иска наряду с нарушением локализации по ч. 5 ст. 18 ФЗ-152.

Какие принципы обработки ПДн нарушают чаще всего и почему это ведёт к иску?

Ст. 5 ФЗ-152 закрепляет семь принципов обработки ПДн. Нарушение любого из них — достаточное основание для иска о моральном вреде.

Принцип законности и справедливости: обработка допустима только на законных основаниях, которые исчерпывающе перечислены в ст. 6 ФЗ-152. Обработка без правового основания — нарушение, влекущее ответственность по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица) и гражданский иск субъекта.

Принцип соответствия объёма данных целям: нельзя собирать больше данных, чем нужно для заявленной цели (ст. 5 ФЗ-152). Избыточный сбор — один из наиболее частых поводов для претензий субъектов в судах общей юрисдикции.

Принцип хранения не дольше необходимого: данные уничтожаются или обезличиваются, как только цель обработки достигнута. Хранение данных после закрытия договора без законного основания — нарушение ст. 5 и ст. 21 ФЗ-152.

«Ст. 5 ФЗ-152 — семь принципов обработки ПДн: законность, конкретные цели, недопустимость объединения несовместимых баз, соответствие объёма целям, точность, срочность, уничтожение при достижении цели.»

Что проверить перед оценкой оснований иска

Наличие правового основания по ст. 6 ФЗ-152 для каждой цели обработки
Соответствие состава согласия требованиям ст. 9 ФЗ-152 (в редакции с 01.09.2025)
Соблюдение принципов ст. 5: объём, срок хранения, цели
Наличие оператора в реестре РКН (ст. 22 ФЗ-152)
Факт уведомления РКН об утечке в 24 часа (ч. 3.1 ст. 21 ФЗ-152) при инциденте

На основании чего оператор вправе обрабатывать ПДн без согласия субъекта?

Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований обработки ПДн. Согласие субъекта (п. 1) — лишь одно из них. Суды при рассмотрении иска о моральном вреде в первую очередь проверяют, было ли у оператора законное основание.

Договорное основание (п. 5 ст. 6 ФЗ-152): оператор вправе обрабатывать ПДн без согласия, если это необходимо для исполнения договора, стороной которого является субъект, либо для заключения договора по его инициативе. Это наиболее часто применяемое основание в e-commerce и сервисах.

Законное основание (п. 2 ст. 6 ФЗ-152): обработка допустима для исполнения возложенных на оператора обязанностей по федеральному закону. HR-обработка данных работников — типичный пример.

Согласие субъекта (п. 1 ст. 6, ст. 9 ФЗ-152): с 01.09.2025 согласие оформляется отдельным документом и не объединяется с договором, офертой или политикой конфиденциальности (ФЗ-156 от 24.06.2025). Согласие без обязательных реквизитов по ст. 9 ФЗ-152 недействительно, что открывает основание для иска по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽) и гражданского иска субъекта.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025) — согласие на обработку ПДн оформляется отдельным документом; содержит ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Если вы юрист и оцениваете риски гражданских исков от субъектов ПДн — проверьте, соответствует ли ОРД компании требованиям ст. 6 и ст. 9 ФЗ-152 в редакции с 01.09.2025. Несоответствующие согласия создают основание для иска и штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Подключить DPO-аутсорс

Каковы размеры компенсации морального вреда за нарушение 152-ФЗ в 2025–2026 годах?

Размер компенсации морального вреда определяется судом по правилам ст. 151 и ст. 1101 ГК РФ с учётом характера и степени нравственных страданий, вины оператора и требований разумности. Суды при этом применяют нормы 152-ФЗ для квалификации самого нарушения.

Практика судов общей юрисдикции по делам, связанным с нарушением 152-ФЗ, складывается следующим образом. При утечке контактных данных (имя, телефон, адрес) суды взыскивают от 1 000 до 10 000 ₽ на одного истца. При утечке финансовых данных или данных о покупках — от 5 000 до 30 000 ₽. Утечка специальных категорий ПДн (здоровье, диагнозы — ст. 10 ФЗ-152) влечёт взыскание от 20 000 до 100 000 ₽ и выше.

Кейс Яндекс.Еды (2022) показал: мировой суд назначил компании штраф 60 000 ₽ по административному делу, однако по иску пользователя Санкт-Петербургский городской суд в апелляции взыскал с оператора 5 000 ₽ компенсации морального вреда в пользу одного субъекта. При масштабе утечки в сотни тысяч субъектов совокупные гражданские взыскания многократно превышают административный штраф.

Аналогичная картина в деле с утечкой медицинских данных лаборатории (Гемотест, 2022): суды общей юрисдикции рассматривали иски о компенсации морального вреда за разглашение специальных категорий ПДн по ст. 10 ФЗ-152. Обработка таких данных по общему правилу запрещена, исключения — закрытый перечень п. 2 ст. 10 ФЗ-152.

Ваш клиент получил иск о компенсации морального вреда за утечку ПДн?

Для юриста, сопровождающего ответчика-оператора, критичны два аспекта: правовое основание обработки (ст. 6 ФЗ-152) и наличие полного пакета ОРД. Отсутствие хотя бы одного из 38 обязательных документов снижает шансы на защиту в суде. Специалисты DATUM проведут аудит ОРД и выявят уязвимые основания обработки до судебного разбирательства.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое категории ПДн и как они влияют на размер компенсации?

Общие категории ПДн — стандартные персональные данные: ФИО, дата рождения, адрес, телефон, email, данные о покупках. Их обработка допустима на основаниях ст. 6 ФЗ-152. Нарушение правил обработки общих категорий влечёт штраф по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) и умеренные компенсации морального вреда.

Специальные категории ПДн (ст. 10 ФЗ-152) — данные о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимости. Обработка по общему правилу запрещена; допустима только в случаях п. 2 ст. 10 ФЗ-152. Утечка специальных категорий кратно увеличивает размер взысканий.

Биометрические ПДн (ст. 11 ФЗ-152) — изображение лица, голос, отпечатки, радужка оболочки глаза. Обработка — только с письменного согласия субъекта (исключения в п. 2 ст. 11 ФЗ-152). Утечка биометрии квалифицируется по ч. 17 ст. 13.11 КоАП — штраф для юрлица 15–20 млн ₽.

«Ст. 10 ФЗ-152 — специальные категории ПДн (здоровье, судимость, взгляды и др.) обрабатываются только в случаях, прямо предусмотренных п. 2 ст. 10.»

Для иска о моральном вреде категория данных — ключевой фактор при определении судом размера компенсации. Суды мотивируют более высокие суммы именно тем, что утечка специальных или биометрических категорий причиняет субъекту более глубокие нравственные страдания.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка ПДн — это любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение. Достаточно одного действия, чтобы лицо, его совершающее, стало оператором ПДн со всеми вытекающими обязанностями.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение федерального закона (п. 2), исполнение договора с субъектом (п. 5). С 01.09.2025 согласие оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Обработка без законного основания — нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица) и основание гражданского иска субъекта.

3. Что грозит за нарушение 152-ФЗ?

Ответственность трёхуровневая. Административная — по ст. 13.11 КоАП (18 частей в редакции с 30.05.2025): от 30 000 ₽ за непубликацию политики (ч. 3) до оборотного штрафа 1–3% годовой выручки (не менее 20 млн ₽, не более 500 млн ₽) за повторную утечку (ч. 15). Гражданская — компенсация морального вреда субъекту по ст. 151 и ст. 1101 ГК РФ. Уголовная — по ст. 272.1 УК РФ (действует с 11.12.2024), максимальное наказание по ч. 5 — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу?

Да. Обязанность уведомить РКН до начала обработки ПДн распространяется на всех операторов, включая малый и микробизнес (ст. 22 ФЗ-152). Исключения — закрытый перечень ч. 2 ст. 22 (например, обработка данных только работников оператора). Неуведомление или несвоевременное уведомление о намерении обрабатывать данные — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽ для юрлица).

5. С какого возраста нужно согласие на ПДн?

Согласие на обработку ПДн дееспособный субъект предоставляет самостоятельно. Для лиц в возрасте до 18 лет (несовершеннолетних) согласие дают законные представители — родители или опекуны. Конкретный возраст, с которого несовершеннолетний вправе самостоятельно давать согласие при обработке для оказания ему напрямую информационных услуг, определяется оператором с учётом гражданского законодательства. При обработке ПДн несовершеннолетних применяются повышенные требования к обоснованию цели и объёма.

Итог

Иски о компенсации морального вреда за нарушение 152-ФЗ — самостоятельный и нарастающий канал риска для оператора ПДн. Размер взысканий зависит от категории данных, масштаба утечки и доказанности вины оператора: от 1 000–5 000 ₽ на субъекта при утечке контактов до 50 000–100 000 ₽ при утечке медицинских или биометрических данных. При тысячах пострадавших совокупная сумма перекрывает административный штраф.

DATUM сопровождает операторов на этапе оценки оснований обработки, формирования ОРД и защиты в судебных разбирательствах по ст. 13.11 КоАП и гражданским искам субъектов ПДн. Практика — с 2014 года.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований обработки и ОРД по 38 пунктам
Комплект ОРД под ключ — политика, согласия, приказы, регламенты
DPO-аутсорсинг — ответственный за обработку ПДн на абонементе

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

21 января 2027 года