аналитика 28 октября 2028 По состоянию на 28 октября 2028

Кейс штрафов сотовых операторов

Сотовые операторы — крупнейшие операторы ПДн в России: абонентская база от десятков тысяч до сотен миллионов субъектов, геолокация в реальном времени, детализация звонков, платёжные данные.

С 30.05.2025 утечка данных от 10 000 субъектов влечёт штраф от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП; повторная утечка — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

→ Если вы юрист оператора связи или смежной отрасли — ниже разбор типичных нарушений, санкций и стратегий защиты.

Телекоммуникационный сектор стабильно входит в пятёрку отраслей с наибольшим числом зафиксированных утечек ПДн. По данным РКН за 2024 год, общее число случаев компрометации баз составило 135, а объём скомпрометированных записей превысил 710 млн. Согласно исследованию СёрчИнформ (июль 2025, более 100 решений), 55% уголовных дел об утечках возбуждены именно в отношении сотрудников телекома. Одновременно смежные с телекомом отрасли — управляющие компании ЖКХ, каршеринг, транспорт, медиа — воспроизводят те же нарушения. В этом материале — системный разбор: какие составы ст. 13.11 КоАП срабатывают чаще, какие нормы ФЗ-152 нарушаются и как строится защита.

Какие нарушения фиксирует РКН у операторов связи?

Типовой набор нарушений у оператора связи охватывает несколько составов одновременно. Первый — обработка ПДн сверх заявленных целей: абонент давал согласие на оказание услуги связи, а оператор использует геолокацию для таргетированной рекламы третьих лиц без отдельного основания. Это ч. 1 ст. 13.11 КоАП — штраф от 150 000 до 300 000 ₽, при повторности по ч. 1.1 — от 300 000 до 500 000 ₽.

Второй типовой состав — передача данных абонентов аффилированным структурам (банки, страховщики, маркетплейсы) без отдельного согласия по ст. 9 ФЗ-152 или без иного законного основания по ст. 6. Ст. 9 ФЗ-152 устанавливает обязательный перечень реквизитов согласия: наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом — его нельзя вмонтировать в договор об оказании услуг. Нарушение этого требования — ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта на обработку ПДн оформляется отдельным документом. Объединение согласия с договором об оказании услуг не допускается. Ч. 2 ст. 13.11 КоАП — обработка без надлежащего согласия: штраф для юрлица 300 000–700 000 ₽.»

Третий состав — нарушение локализации. Ряд операторов исторически хранил дублирующие базы абонентов на серверах за рубежом или использовал зарубежные CRM-системы как первичное хранилище. Ч. 5 ст. 18 ФЗ-152 обязывает записывать, систематизировать, накапливать, хранить, уточнять и извлекать ПДн граждан РФ исключительно в базах на территории России. С 01.07.2025 требования ужесточены ФЗ-233. Санкция — ч. 8 ст. 13.11 КоАП: от 1 000 000 до 6 000 000 ₽; повторно — ч. 9: от 6 000 000 до 18 000 000 ₽.

Получили запрос РКН или готовитесь к проверке?

Проверки РКН у операторов связи охватывают одновременно 10–15 требований ФЗ-152. Разрыв между реальной практикой обработки и содержанием уведомления в реестре — типичный повод для протокола. Чем раньше юрист проведёт аудит, тем меньше составов будет зафиксировано при выходе инспектора.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает ответственность за утечку данных абонентов?

Утечка — самостоятельный и наиболее дорогостоящий состав. Ст. 21 ч. 3.1 ФЗ-152 устанавливает: при обнаружении неправомерной или случайной передачи ПДн оператор обязан уведомить РКН в течение 24 часов. Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Пропуск 24-часового срока — ч. 11 ст. 13.11 КоАП: штраф от 1 000 000 до 3 000 000 ₽.

Параллельно действует ответственность за сам факт утечки в зависимости от масштаба: от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽; свыше 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. При повторном нарушении по ч. 12–14 включается оборотный состав ч. 15: от 1 до 3% совокупной годовой выручки за предшествующий год, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025, ФЗ-420 от 30.11.2024) — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.»

Особенность телеком-сектора — масштаб. Утечка у крупного оператора автоматически попадает в ч. 14 (свыше 100 000 субъектов). При повторности — ч. 15. Для оператора с годовой выручкой 50 млрд ₽ даже нижняя планка оборотного штрафа (1%) составит 500 млн ₽, что совпадает с установленным потолком. Для среднего регионального оператора с выручкой 2 млрд ₽ — 20–60 млн ₽.

Уголовный трек открылся с 11.12.2024: ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024) криминализировала незаконное использование, передачу, сбор и хранение компьютерной информации с ПДн. Максимальная санкция по ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. По данным СёрчИнформ, 55% возбуждённых дел по аналогичным составам приходилось на сотрудников телекома ещё до введения специальной нормы. С появлением ст. 272.1 УК давление на персонал — ИТ-специалистов, администраторов баз, сотрудников колл-центров — существенно возросло.

Чем схожи нарушения в ЖКХ, каршеринге и на транспорте?

Управляющие компании и ТСЖ обрабатывают ПДн собственников и нанимателей: ФИО, паспортные данные, сведения о составе семьи, задолженности, коммунальном потреблении. Формально УК действует как оператор по ст. 3 ФЗ-152; ТСЖ — тоже оператор, если ведёт собственную базу. Разграничение между ними в части ответственности определяется тем, кто фактически принимает решения об обработке и несёт расходы на её организацию. Типичные нарушения: отсутствие политики конфиденциальности (ч. 3 ст. 13.11 КоАП, штраф 30–60 тыс. ₽), передача данных в ГИС ЖКХ без надлежащего основания, хранение сканов паспортов сверх установленных сроков.

Каршеринговые сервисы собирают категорически широкий объём данных: ФИО, паспорт, водительское удостоверение, геолокация в режиме реального времени, история поездок, привязанные платёжные карты. Геолокация квалифицируется как ПДн по позиции РКН — она идентифицирует конкретного субъекта. Передача геолокационных данных третьим лицам (рекламным партнёрам, страховщикам) требует отдельного согласия по ст. 9 ФЗ-152. Утечка базы каршеринга с историей поездок — потенциально специальная категория: маршруты к медицинским учреждениям раскрывают состояние здоровья (ст. 10 ФЗ-152).

Если вы юрист отраслевой компании и оцениваете риски по ст. 13.11 КоАП — составы накапливаются быстро: отсутствие уведомления в реестре РКН (ч. 10), нарушение согласия (ч. 2), локализация (ч. 8). Каждый независим и суммируется. Аудит DATUM — чек-лист из 38 пунктов с приоритизированным планом устранения.

Заказать аудит 152-ФЗ

Транспортные компании и агрегаторы такси находятся в схожей позиции: паспортные данные водителей, рейтинги, маршруты пассажиров, привязанные карты. Данные пассажиров нередко передаются без уведомления в реестре РКН — ч. 10 ст. 13.11 КоАП, штраф от 100 000 до 300 000 ₽. СМИ и медиаплатформы обрабатывают ПДн читателей и авторов; распространение ПДн (публикация ФИО, фото, контактов) требует отдельного согласия по ст. 10.1 ФЗ-152. Освобождение от уведомления РКН, предусмотренное ч. 2 ст. 22 ФЗ-152 для ряда СМИ, не снимает обязанности соблюдать принципы ст. 5 и получать согласие.

Три типовых сценария из практики

Сценарий 1. Региональный оператор связи без актуального уведомления в реестре РКН. Ситуация: компания расширила линейку продуктов — добавила финансовые сервисы, партнёрские программы. Уведомление в реестре подавалось при регистрации и с тех пор не обновлялось. Реальная обработка шире заявленного: новые цели, новые получатели. Инспектор РКН при плановой проверке фиксирует расхождение. Составы: ч. 10 (неуведомление об изменениях) + ч. 1 (несовместимая обработка). Совокупный штраф — от 250 000 до 600 000 ₽. Стратегия защиты: до начала проверки подать уточнённое уведомление через pd.rkn.gov.ru, собрать доказательства фактической даты расширения обработки, заявить о добровольном устранении нарушения как смягчающем обстоятельстве по ст. 4.2 КоАП.

Сценарий 2. Утечка абонентской базы у среднего телеком-оператора. Ситуация: в результате атаки скомпрометированы данные около 80 000 абонентов — ФИО, номера телефонов, адреса. Оператор обнаружил факт через 36 часов после инцидента. 24-часовой срок уведомления РКН по ч. 3.1 ст. 21 ФЗ-152 истёк. Составы: ч. 11 (неуведомление в 24 часа) + ч. 13 (утечка 10 000–100 000 субъектов). Потенциальные санкции — от 6 до 13 млн ₽. Стратегия защиты: незамедлительное уведомление с указанием причин задержки, полный отчёт за 72 часа, документирование принятых технических мер, ходатайство о замене штрафа по ч. 11 на предупреждение по ст. 4.1.1 КоАП при первичности нарушения.

Сценарий 3. УК или ТСЖ: передача данных собственников подрядчикам. Ситуация: управляющая компания передаёт базу собственников (ФИО, телефоны, данные о задолженности) сервисным подрядчикам — аварийным службам, охранным предприятиям — без поручения на обработку по п. 3 ч. 3 ст. 6 ФЗ-152 и без уведомления субъектов. Инспектор РКН выявляет отсутствие договора поручения. Состав: ч. 1 ст. 13.11 (незаконная передача). Штраф — 150 000–300 000 ₽. Стратегия: ретроактивное оформление договоров поручения на обработку с подрядчиками, включение типового раздела в тендерную документацию, формирование журнала учёта третьих лиц — получателей ПДн.

Что подготовить юристу оператора перед проверкой РКН

Актуальное уведомление в реестре РКН с pd.rkn.gov.ru — цели, категории ПДн, получатели совпадают с реальной обработкой
Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте оператора
Отдельные согласия абонентов по ст. 9 ФЗ-152 в редакции с 01.09.2025 — не встроенные в договор оказания услуг
Договоры поручения на обработку со всеми подрядчиками, получающими ПДн (п. 3 ч. 3 ст. 6 ФЗ-152)
Регламент реагирования на инциденты с контрольным списком действий за 24 и 72 часа по Приказу РКН №187

Смягчающие обстоятельства и инструменты снижения санкций. Ст. 4.1 КоАП содержит примечание, вступившее в силу вместе с ФЗ-420: при документально подтверждённых инвестициях в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для среднего оператора это означает потенциальное снижение с 60 млн до 15 млн ₽. Документировать инвестиции в ИБ необходимо заранее — в ходе проверки или после составления протокола это сделать уже невозможно.

Для микропредприятий и субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии причинённого вреда ст. 4.1.1 КоАП допускает замену штрафа предупреждением. Исключение — оборотные составы ч. 15 и ч. 18 ст. 13.11: к ним ст. 4.1.1 не применяется. Кейс из практики: в начале 2026 года мировой суд одного из регионов заменил штраф по ч. 1 ст. 13.11 предупреждением для малого предприятия, чья база соискателей (менее 1 000 человек) была похищена в результате хакерской атаки, — компания впервые привлекалась к ответственности и приняла меры к устранению нарушения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — полная проверка обработки ПДн по 38 критериям, приоритизированный план устранений
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Кто является оператором ПДн — ТСЖ или управляющая компания?

Оператором признаётся тот, кто самостоятельно или совместно с другими лицами определяет цели и состав обработки ПДн (ст. 3 ФЗ-152). Если УК ведёт собственную базу жильцов и принимает решения о её использовании — она оператор. Если ТСЖ самостоятельно собирает данные собственников — ТСЖ тоже оператор и обязано подать уведомление по ст. 22 ФЗ-152. При совместной обработке оба субъекта могут быть признаны операторами. Разграничение ответственности закрепляется в соглашении о совместной обработке.

2. Освобождены ли СМИ от обязанности уведомлять РКН о намерении обрабатывать ПДн?

Ч. 2 ст. 22 ФЗ-152 содержит перечень случаев, когда уведомление не требуется. Редакции СМИ освобождены от уведомления при обработке ПДн исключительно в журналистских целях. Однако это освобождение не распространяется на обработку данных сотрудников, подписчиков, авторов в рамках трудовых и гражданско-правовых отношений. На практике у большинства медиакомпаний есть обработка за пределами журналистской деятельности — маркетинг, подписки, рекламные кабинеты, — которая уведомления требует.

3. Как оператор связи должен передавать данные абонентов ФСБ в рамках СОРМ?

Передача данных по законному требованию органов оперативно-разыскной деятельности является самостоятельным основанием обработки по ст. 6 ФЗ-152 (исполнение обязанностей, возложенных законодательством). Согласие абонента не требуется. При этом оператор не обязан уведомлять субъекта о факте передачи. Принципы ФЗ-152 (ст. 5) — законность, соответствие объёма целям — соблюдаются: передача осуществляется только в части данных, запрошенных по конкретному основанию. Выход за рамки запроса — нарушение.

4. Какие данные вправе собирать каршеринговый сервис и нужно ли отдельное согласие на геолокацию?

Каршеринг вправе обрабатывать ПДн, необходимые для исполнения договора аренды транспортного средства: ФИО, паспорт, водительское удостоверение (ст. 6 п. 5 ФЗ-152, достижение целей договора). Геолокация в режиме реального времени, история маршрутов и передача этих данных третьим лицам — рекламным партнёрам, страховщикам — выходят за рамки исполнения договора. Для такой обработки требуется отдельное согласие по ст. 9 ФЗ-152 в редакции с 01.09.2025. Без него передача данных образует состав ч. 2 ст. 13.11 КоАП.

5. Что именно обязана хранить управляющая компания о собственниках и в течение какого срока?

ФЗ-152 не устанавливает универсальных сроков хранения ПДн для управляющих компаний: оператор определяет их самостоятельно исходя из целей обработки (ст. 5 ФЗ-152) и отраслевого законодательства. Данные, необходимые для взыскания задолженности, хранятся в пределах срока исковой давности (3 года по ГК РФ плюс разумный резерв). Сканы паспортов хранятся только до завершения идентификации и не дольше. Избыточное хранение — нарушение принципа минимальности (ст. 5 ФЗ-152) и основание для протокола по ч. 1 ст. 13.11 КоАП.

Итог

Телекоммуникационный сектор и смежные с ним отрасли — ЖКХ, каршеринг, транспорт, медиа — воспроизводят одни и те же системные нарушения: несоответствие реальной обработки уведомлению в реестре, отсутствие отдельных согласий, передача данных подрядчикам без договора поручения. С 30.05.2025 последствия стали несоразмерно серьёзнее: утечка свыше 100 000 субъектов влечёт штраф 10–15 млн ₽ без повторности, а при повторности — оборотный штраф с потолком 500 млн ₽.

Практика DATUM по сопровождению операторов связи и отраслевых компаний в рамках ФЗ-152 включает аудит текущего состояния обработки, приведение ОРД в соответствие с нормами, подготовку к плановым и внеплановым проверкам РКН, защиту в арбитраже при составлении протоколов по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025, ст. 4.1 и ст. 4.1.1 КоАП.