70 000 субъектов — и предупреждение. Что это говорит о системе?
Арбитражный суд Санкт-Петербурга ограничился предупреждением по делу о доказанной утечке. Это не ошибка системы — это её логика.
10 марта 2026 года Арбитражный суд Санкт-Петербурга и Ленинградской области вынес решение по делу А56-4733/2026. Роскомнадзор (СЗФО) требовал привлечь ООО «ПКР Аналитика» к ответственности по ч. 13 ст. 13.11 КоАП — норме, которая появилась после того, как законодатель решил, что утечки больших массивов должны стоить дорого. Санкция — до 10 млн рублей. Суд назначил предупреждение.
Факт утечки 70 000 субъектов в деле не оспаривался. Тем показательнее исход.
Суд не оправдал компанию. Он применил дискрецию, которую ему дал законодатель, — и использовал её в полной мере.
Цифры, которые неудобно игнорировать
- 44% дел об утечках в арбитражах завершаются без штрафа
- 16% аналогичный показатель в судах общей юрисдикции (с 2023 г.)
- 42% дел по ч. 1 ст. 13.11 о «мини-утечках» обходятся без штрафа в арбитражах
Разрыв между арбитражами и мировыми судьями — не статистический шум. Это сигнал о том, что одна и та же норма читается принципиально по-разному в зависимости от судебной ветки. Арбитражные суды системно признавали статус СМП и факт первичного нарушения достаточными основаниями для замены штрафа на предупреждение. Мировые судьи такой логики пока не разделяют: в первом же деле после передачи юрисдикции компанию оштрафовали на 150 000 руб. по ч. 1, отклонив оба этих аргумента.
Смена юрисдикции: что изменилось с января 2026-го
С января 2026 года дела о нарушениях в сфере персональных данных перешли к мировым судьям. Дела, принятые арбитражами до этой даты, они завершат сами — поэтому практика арбитражной «оттепели» ещё некоторое время будет пополняться новыми решениями.
Но затем наступит пауза неопределённости: повлияет ли сложившаяся арбитражная практика на подход мировых судей — открытый вопрос. Прецедентной системы в России нет. Уважение к позиции вышестоящих и параллельных инстанций есть — но оно неформально.
Арбитражные суды vs мировые судьи — подход к утечкам
| Арбитражные суды (до января 2026) | Мировые судьи (с января 2026) |
|---|---|
| СМП + первичное нарушение → предупреждение в ~44% дел | Первое же дело: оба аргумента отклонены, штраф 150 000 руб. |
| Дискреция применялась широко, в пользу смягчения | Сигнал противоположный — дискреция в пользу наказания |
| Ответчики — юридические лица, бизнес-логика суда близка | Специализация шире, опыт именно с КоАП по ПД нарабатывается |
Параллель: как это работает в других юрисдикциях
Разрыв между формальной санкцией и реальным правоприменением — не российская особенность.
GDPR, Европа. Регламент предусматривает штрафы до 4% глобального оборота или 20 млн евро. На практике большинство первых решений в большинстве стран ЕС были символическими или предупредительными — регуляторы нарабатывали практику. Исключения — Ирландия с делами Meta и Франция с Google — скорее подтверждают правило: крупные штрафы требуют политической воли и ресурсов на многолетние расследования. Для среднего бизнеса реальная санкция в первые годы после введения GDPR была существенно ниже теоретического потолка.
CCPA/CPRA, Калифорния. Аналогичная картина: закон даёт Attorney General право взыскивать штраф до $7 500 за каждый случай. За непреднамеренное нарушение штраф может достигать $2 500. Первые правоприменительные действия были сосредоточены на уведомлениях и предписаниях, а не на максимальных штрафах. Бизнес получил время адаптироваться — это было осознанной политикой.
Вывод из сравнения. «Арбитражная оттепель» в России структурно похожа на первые годы GDPR: норма жёсткая, правоприменение мягкое, система нарабатывает прецеденты. Ключевое отличие — в России смягчение было связано с судебной веткой, а не с позицией регулятора. Это делает переход к мировым судьям более резким, чем, например, ужесточение практики DPA в Европе: там вектор менялся постепенно внутри одного института.
Что дело А56-4733/2026 говорит о стратегии защиты
Компании возражали против удовлетворения требований и заявляли ходатайство о приостановлении производства — со ссылкой на параллельное рассмотрение материалов проверки в суде общей юрисдикции. Суд в ходатайстве отказал, сославшись на то, что обстоятельства другого дела не являются преюдициальными для данного.
Это важная деталь: процессуальные манёвры сами по себе не меняют исхода, если по существу аргументов нет. Предупреждение здесь — результат не процессуальной ловкости, а применения судом смягчающих обстоятельств материального права.
Сам факт утечки не равен вине оператора. Но отсутствие доказательств надлежащей защиты — это уже вопрос к оператору, а не к хакеру.
Дело РЖД, на которое ссылается практика, показало: аргументы о сложности атаки и недружественной юрисдикции источника работают — но только если оператор может доказать, что модель угроз была разработана, соответствующие меры защиты реализованы, и атака вышла за пределы разумных ожиданий. Без первых двух компонентов третий — пустой звук.
Что ждать дальше
Арбитражная практика ещё некоторое время будет пополняться по делам, принятым до января. Затем — пауза и накопление новых решений мировых судей. Первый сигнал уже есть, и он не мягкий.
Для компаний это означает одно: окно, в котором статус СМП и «первый раз» стабильно работали как щит, закрывается. Инвестиции в документацию модели угроз, подтверждённые технические меры и процедуры реагирования на инциденты перестают быть «хорошей практикой» и становятся минимальным страховым полисом.
Источники: решение АС СПб и ЛО по делу А56-4733/2026 от 10.03.2026