С 30 мая 2025 года в 152-ФЗ включена ст. 21 ч. 3.1: при утечке персональных данных оператор обязан уведомить РКН в течение 24 часов, а результаты внутреннего расследования — в течение 72 часов. Разбираем что считается утечкой, куда сообщать и что грозит если промолчать.

Что считается утечкой

Инцидент — любое событие приведшее (или потенциально приведшее) к:

  • Неправомерному доступу к ПДн третьих лиц
  • Копированию, распространению или публикации ПДн без согласия
  • Уничтожению, модификации данных без разрешения оператора
  • Компрометации учётных записей сотрудников с доступом к ПДн

Примеры:

  • Взлом сайта или базы данных (даже если данные не выкачаны, но были доступны)
  • Утеря ноутбука сотрудника с базой клиентов
  • Ошибочная рассылка (all в CC вместо BCC — штрафы)
  • Публикация файла с ПДн на общедоступном URL
  • Инсайдер — сотрудник скопировал базу и продал
  • Фишинг с успешным входом в CRM

24 часа — первое уведомление

Куда

Форма на pd.rkn.gov.ru/incidents/ — специальный сервис РКН для приёма инцидентов. Работает 24/7.

Что писать

Минимально требуемая информация:

  1. Полное наименование оператора, ИНН, ОГРН
  2. ФИО и контакт ответственного за обработку ПДн
  3. Предполагаемая дата и время инцидента
  4. Категории затронутых субъектов (клиенты, сотрудники, партнёры)
  5. Категории затронутых данных (ФИО, email, паспортные, платёжные и т.п.)
  6. Примерное количество затронутых субъектов
  7. Обстоятельства и причины (насколько известно на момент подачи)
  8. Меры уже принятые (закрыт доступ, изменены пароли и т.п.)

Что если ещё не знаете деталей

Ставите «уточняется» — главное подать в срок. Далее в 72-часовом уведомлении дополните.

72 часа — результаты расследования

Отдельное уведомление на той же форме РКН, ссылка на первое.

Обязательно приложить:

  • Точное количество затронутых субъектов (или уточнение если было «примерно»)
  • Итоговые причины (техническая уязвимость, инсайдер, ошибка сотрудника и т.п.)
  • Меры по устранению последствий
  • Меры по предотвращению повторения
  • Уведомлены ли субъекты и как

Уведомление субъектов

Если утечка затронула их права — обязательно уведомить каждого затронутого клиента/сотрудника. Способ: email, SMS, публикация в личном кабинете. Указать:

  • Факт утечки и когда
  • Какие данные могли быть скомпрометированы
  • Что вы предприняли
  • Что делать субъекту (сменить пароль, отслеживать выписку и т.п.)

Внутренний регламент реагирования

По ст. 22.1 обязателен. Что должно быть:

1. Роли и ответственные

  • Ответственный за ПДн — центр принятия решений (см. приказ)
  • IT/техотдел — блокировка доступа, восстановление
  • Юрист — уведомления РКН и субъектов
  • Руководитель — эскалация, коммуникация с прессой

2. Каналы обнаружения

  • Мониторинг систем (SIEM, аудит логов)
  • Регламент запросов субъектов — часто утечки всплывают через жалобу клиента «мои данные попали к третьим лицам»
  • Bug bounty (если есть)
  • Оповещения от подрядчиков-обработчиков

3. Классификация инцидентов

По масштабу:

  • Мелкий — до 100 субъектов, только контактные данные
  • Средний — до 10 000, включая паспортные/платёжные
  • Крупный — свыше 10 000 ИЛИ спецкатегории (здоровье, биометрия, дети)
  • Критический — свыше 100 000 ИЛИ вся клиентская база

Для средних и выше — уведомление РКН обязательно всегда. Для мелких — по решению ответственного (риск-ориентированно).

4. Первые 4 часа — что делать

  1. Зафиксировать факт (screenshot, лог)
  2. Изолировать источник (отключить систему, поменять пароль)
  3. Собрать команду инцидента
  4. Начать сбор доказательств для 72-часового отчёта

5. Первые 24 часа

  1. Уведомить РКН через форму
  2. Определить круг субъектов
  3. Начать расследование причин

6. 24-72 часа

  1. Расследование
  2. Уведомление субъектов
  3. Устранение уязвимости
  4. Второе уведомление в РКН

Штрафы за нарушения

За неуведомление в 24ч (ст. 13.11 КоАП, ч. 6):

  • Юрлица: до 6 млн ₽
  • Должностные лица: до 100 000 ₽

За неуведомление в 72ч:

  • Юрлица: до 3 млн ₽

За саму утечку (ч. 8 ст. 13.11):

  • До 100 субъектов: 3-5 млн ₽
  • До 10 000: 5-10 млн ₽
  • До 100 000: 10-15 млн ₽
  • Свыше 100 000: 15-20 млн ₽
  • Спецкатегория (биометрия, здоровье): +50%

Оборотный штраф за повторную утечку (ч. 8.2): 1-3% годовой выручки, min 20 млн, max 500 млн.

Уголовная ответственность (ст. 272.1 УК): до 10 лет лишения свободы при отягчающих (передача группой лиц, из корыстных побуждений, для военных объектов).

Реальные кейсы штрафов за утечки 2025-2026 показывают: чаще всего штрафуют не за саму утечку, а за неуведомление в 24ч. Потому что о факте узнают всё равно (через жалобы или мониторинг РКН), а промедление рассматривается как отягчающее.

Что делать сейчас

  1. Оформите приказ о назначении ответственного.
  2. Напишите внутренний регламент реагирования на инциденты (шаблон в структуре выше).
  3. Проведите тренинг команды — все ключевые сотрудники должны знать что делать в первые 4 часа.
  4. Обновите политику конфиденциальности: раздел «Действия при инциденте» + email для запросов субъектов.
  5. Проверьте наличие технических мер: логирование доступа, шифрование БД, mfa для админов.

Связанные материалы