С 30 мая 2025 года в 152-ФЗ включена ст. 21 ч. 3.1: при утечке персональных данных оператор обязан уведомить РКН в течение 24 часов, а результаты внутреннего расследования — в течение 72 часов. Разбираем что считается утечкой, куда сообщать и что грозит если промолчать.
Что считается утечкой
Инцидент — любое событие приведшее (или потенциально приведшее) к:
- Неправомерному доступу к ПДн третьих лиц
- Копированию, распространению или публикации ПДн без согласия
- Уничтожению, модификации данных без разрешения оператора
- Компрометации учётных записей сотрудников с доступом к ПДн
Примеры:
- Взлом сайта или базы данных (даже если данные не выкачаны, но были доступны)
- Утеря ноутбука сотрудника с базой клиентов
- Ошибочная рассылка (all в CC вместо BCC — штрафы)
- Публикация файла с ПДн на общедоступном URL
- Инсайдер — сотрудник скопировал базу и продал
- Фишинг с успешным входом в CRM
24 часа — первое уведомление
Куда
Форма на pd.rkn.gov.ru/incidents/ — специальный сервис РКН для приёма инцидентов. Работает 24/7.
Что писать
Минимально требуемая информация:
- Полное наименование оператора, ИНН, ОГРН
- ФИО и контакт ответственного за обработку ПДн
- Предполагаемая дата и время инцидента
- Категории затронутых субъектов (клиенты, сотрудники, партнёры)
- Категории затронутых данных (ФИО, email, паспортные, платёжные и т.п.)
- Примерное количество затронутых субъектов
- Обстоятельства и причины (насколько известно на момент подачи)
- Меры уже принятые (закрыт доступ, изменены пароли и т.п.)
Что если ещё не знаете деталей
Ставите «уточняется» — главное подать в срок. Далее в 72-часовом уведомлении дополните.
72 часа — результаты расследования
Отдельное уведомление на той же форме РКН, ссылка на первое.
Обязательно приложить:
- Точное количество затронутых субъектов (или уточнение если было «примерно»)
- Итоговые причины (техническая уязвимость, инсайдер, ошибка сотрудника и т.п.)
- Меры по устранению последствий
- Меры по предотвращению повторения
- Уведомлены ли субъекты и как
Уведомление субъектов
Если утечка затронула их права — обязательно уведомить каждого затронутого клиента/сотрудника. Способ: email, SMS, публикация в личном кабинете. Указать:
- Факт утечки и когда
- Какие данные могли быть скомпрометированы
- Что вы предприняли
- Что делать субъекту (сменить пароль, отслеживать выписку и т.п.)
Внутренний регламент реагирования
По ст. 22.1 обязателен. Что должно быть:
1. Роли и ответственные
- Ответственный за ПДн — центр принятия решений (см. приказ)
- IT/техотдел — блокировка доступа, восстановление
- Юрист — уведомления РКН и субъектов
- Руководитель — эскалация, коммуникация с прессой
2. Каналы обнаружения
- Мониторинг систем (SIEM, аудит логов)
- Регламент запросов субъектов — часто утечки всплывают через жалобу клиента «мои данные попали к третьим лицам»
- Bug bounty (если есть)
- Оповещения от подрядчиков-обработчиков
3. Классификация инцидентов
По масштабу:
- Мелкий — до 100 субъектов, только контактные данные
- Средний — до 10 000, включая паспортные/платёжные
- Крупный — свыше 10 000 ИЛИ спецкатегории (здоровье, биометрия, дети)
- Критический — свыше 100 000 ИЛИ вся клиентская база
Для средних и выше — уведомление РКН обязательно всегда. Для мелких — по решению ответственного (риск-ориентированно).
4. Первые 4 часа — что делать
- Зафиксировать факт (screenshot, лог)
- Изолировать источник (отключить систему, поменять пароль)
- Собрать команду инцидента
- Начать сбор доказательств для 72-часового отчёта
5. Первые 24 часа
- Уведомить РКН через форму
- Определить круг субъектов
- Начать расследование причин
6. 24-72 часа
- Расследование
- Уведомление субъектов
- Устранение уязвимости
- Второе уведомление в РКН
Штрафы за нарушения
За неуведомление в 24ч (ст. 13.11 КоАП, ч. 6):
- Юрлица: до 6 млн ₽
- Должностные лица: до 100 000 ₽
За неуведомление в 72ч:
- Юрлица: до 3 млн ₽
За саму утечку (ч. 8 ст. 13.11):
- До 100 субъектов: 3-5 млн ₽
- До 10 000: 5-10 млн ₽
- До 100 000: 10-15 млн ₽
- Свыше 100 000: 15-20 млн ₽
- Спецкатегория (биометрия, здоровье): +50%
Оборотный штраф за повторную утечку (ч. 8.2): 1-3% годовой выручки, min 20 млн, max 500 млн.
Уголовная ответственность (ст. 272.1 УК): до 10 лет лишения свободы при отягчающих (передача группой лиц, из корыстных побуждений, для военных объектов).
Реальные кейсы штрафов за утечки 2025-2026 показывают: чаще всего штрафуют не за саму утечку, а за неуведомление в 24ч. Потому что о факте узнают всё равно (через жалобы или мониторинг РКН), а промедление рассматривается как отягчающее.
Что делать сейчас
- Оформите приказ о назначении ответственного.
- Напишите внутренний регламент реагирования на инциденты (шаблон в структуре выше).
- Проведите тренинг команды — все ключевые сотрудники должны знать что делать в первые 4 часа.
- Обновите политику конфиденциальности: раздел «Действия при инциденте» + email для запросов субъектов.
- Проверьте наличие технических мер: логирование доступа, шифрование БД, mfa для админов.