Утечка данных клиентов: интернет-магазин из Петербурга заплатил 500 000

Санкт-Петербург, 2025 год. Интернет-магазин товаров для дома. 47 000 клиентов. В феврале 2025 года хакер (предположительно бывший сотрудник) выгрузил базу данных и разместил её на форуме. Имена, телефоны, адреса доставки, история заказов, хэши паролей.

Через 3 дня журналисты написали о базе. Роскомнадзор инициировал проверку. Итог: штраф 500 000 рублей, предписание уведомить всех 47 000 пострадавших клиентов и отчитаться о принятых мерах защиты.

Что говорит закон об утечках

С сентября 2022 года операторы персональных данных обязаны:

• Уведомить Роскомнадзор об инциденте в течение 24 часов с момента обнаружения
• В течение 72 часов — провести расследование и сообщить его результаты
• Уведомить пострадавших субъектов ПД о факте утечки

Магазин уведомил РКН только через 5 дней — когда выбора уже не было. Это отягчающее обстоятельство.

Какие меры защиты требует закон

152-ФЗ и приказы ФСТЭК устанавливают обязательные меры защиты для операторов ПД:

• Шифрование персональных данных в базе
• Разграничение доступа: сотрудник видит только те данные, которые нужны для его работы
• Журналирование действий с ПД (кто, что, когда)
• Регулярные бэкапы с защитой от несанкционированного доступа
• Двухфакторная аутентификация для доступа к административной панели

Что изменилось в 2025 году

С мая 2025 года штрафы за утечку данных резко выросли: для юрлиц — до 15 миллионов рублей при первой утечке, до 500 миллионов при повторной — в зависимости от количества пострадавших. 500 000 рублей в этом деле — ещё по старым нормам.