Утечка персональных данных: что делать в первые 24 часа

1. Что считается утечкой персональных данных

По определению Роскомнадзора, утечка — это «неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных, повлёкшая нарушение прав субъектов». То есть инцидентом считается не только взлом, но и:

• Хакерская атака с выгрузкой базы клиентов
• Случайно отправленное письмо с прикреплённым файлом ПД не тому адресату
• Потерянный или украденный ноутбук с незашифрованными данными
• Опубликованная по ошибке таблица с email-ами на сайте
• Доступ к базе со стороны бывшего сотрудника после увольнения
• Фишинг, в результате которого утекли учётные записи
• Открытый порт базы данных в интернете без аутентификации

Под действие 152-ФЗ попадает любой оператор персональных данных — от ИП с одним сайтом до федеральной сети. Важен не объём бизнеса, а сам факт обработки ПД.

2. 24 и 72 часа: точные сроки уведомления

Порядок взаимодействия с РКН при утечке установлен Приказом Роскомнадзора №187 от 14.11.2022 (вступил в силу 1 марта 2023). С 30 мая 2025 года несоблюдение этого порядка влечёт значительные штрафы.

Отсчёт начинается с момента обнаружения инцидента — не с момента самой утечки. Это значит, если утечка произошла месяц назад, но вы узнали о ней сегодня, у вас 24 часа с этого момента.

Уведомить нужно даже если вы не уверены в факте утечки — лучше сообщить о подозрении и потом дать дополнения, чем пропустить срок.

3. Штрафы за неуведомление и за саму утечку

С 30 мая 2025 года штрафы по ст. 13.11 КоАП РФ разделены на две категории — за саму утечку и отдельно за неуведомление о ней.

За неуведомление РКН (ч. 11 ст. 13.11 КоАП)

За саму утечку (ч. 12–14 ст. 13.11 КоАП)

Скидка 50% при быстрой уплате штрафа отменена по всем составам ст. 13.11 КоАП. ИП несут ту же ответственность, что и юридические лица.

Подробнее о всех штрафах за нарушения 152-ФЗ — в отдельной статье «Штрафы за персональные данные с 30 мая 2025: полная таблица».

4. Как подать уведомление через портал РКН

Уведомление подаётся в электронном виде через портал персональных данных Роскомнадзора. Бумажная копия не требуется.

1. Подготовьте подтверждённую учётную запись на Госуслугах для лица, уполномоченного представлять оператора
2. Перейдите на форму: pd.rkn.gov.ru/incidents/form/
3. Авторизуйтесь через ЕСИА (Госуслуги)
4. Заполните поля:
   • Сведения об операторе (ИНН, наименование)
   • Дата и время обнаружения инцидента
   • Описание инцидента (свободная форма)
   • Предположительные причины
   • Состав скомпрометированных ПД
   • Количество субъектов
   • Контакты ответственного лица
5. Отправьте форму — система зафиксирует время подачи
6. Получите квитанцию о приёме — сохраните как доказательство соблюдения срока
7. В течение 72 часов подайте дополнительное уведомление с результатами расследования через ту же форму

Если у вас нет учётной записи на Госуслугах с правом подавать заявления от имени организации — этот вопрос нужно решить заранее, не в момент инцидента.

5. Оборотные штрафы при повторной утечке

Если в течение года после первой утечки происходит повторная — применяется оборотный штраф по ч. 15 ст. 13.11 КоАП.

Пример. Компания с годовой выручкой 800 млн ₽ при повторной утечке заплатит от 8 до 24 млн ₽ (1–3% выручки). Поскольку результат укладывается в диапазон от минимума (20 млн) до максимума (500 млн), штраф будет именно расчётным — например, 16 млн.

Для банков процент берётся не от выручки, а от размера собственных средств на дату нарушения.

Снижение штрафа возможно — но требует одновременного выполнения четырёх условий: расходы на ИБ ≥ 0,1% выручки за 3 года, наличие лицензии на шифрование/защиту, документальное подтверждение мер защиты, отсутствие отягчающих обстоятельств. Минимум при снижении — 15 млн ₽.

6. Уголовная ответственность по ст. 272.1 УК РФ

Помимо административных штрафов, с 30 ноября 2024 года Уголовный кодекс дополнен ст. 272.1 УК РФ. Уголовное наказание грозит при незаконных операциях с ПД — за сбор, передачу, использование, хранение.

Утечка как таковая — это административное правонарушение. Уголовка наступает тогда, когда есть умысел: сотрудник скачал базу клиентов и продал, директор сознательно не уведомил о массовой утечке, передача данных за рубеж в обход локализации.

7. Пошаговый алгоритм действий при утечке

Алгоритм построен с привязкой к временной шкале — что делать в каждый интервал.

Час 0 — обнаружение

1. Зафиксируйте факт: что именно увидели, во сколько, какие признаки утечки
2. Сохраните логи, скриншоты, журналы — это пригодится для расследования
3. Изолируйте источник: отключите скомпрометированный аккаунт, заблокируйте порт, отозвите токены
4. Соберите команду: ИБ-специалист, юрист, ответственный за обработку ПД

Часы 1–12 — оценка

5. Определите масштаб: сколько субъектов затронуто, какие категории ПД
6. Составьте предварительный список причин (явная атака, ошибка сотрудника, уязвимость и т. д.)
7. Зафиксируйте состав утёкших данных — ФИО, контакты, паспортные данные, платёжные данные

Часы 12–24 — первичное уведомление

8. Подготовьте текст первичного уведомления
9. Отправьте через pd.rkn.gov.ru/incidents/form/
10. Сохраните квитанцию о приёме
11. При необходимости уведомьте субъектов ПД (если предусмотрено вашей политикой)

Часы 24–72 — расследование

12. Технический анализ: как именно произошла утечка (cпециалист по ИБ или внешний подрядчик)
13. Идентификация виновных лиц, если применимо
14. Внедрение временных мер защиты — патчи, смена паролей, отзыв доступов
15. Документирование всех шагов в журнале инцидентов

Часы 48–72 — дополнительное уведомление

16. Подготовьте уведомление с результатами: причины, виновные, принятые меры
17. Отправьте через тот же портал
18. Сохраните квитанцию

Дальше — устранение последствий

19. Полное устранение уязвимости (не временный обход)
20. Внутренний разбор: что не сработало, кому нужно обучение
21. Обновление политики реагирования на инциденты
22. Если был ущерб субъектам ПД — компенсация и работа с обращениями

Хронология законодательства

8. Чего нельзя делать при утечке

• Скрывать инцидент. Это отягчающее обстоятельство. Если РКН узнает о факте утечки от субъекта, журналиста или анонима — штраф будет максимальным.
• Удалять логи и доказательства. Они нужны для расследования и снижения штрафа. Удаление можно квалифицировать как препятствование.
• Тянуть с уведомлением. Каждый час сверх 24-х увеличивает риски. Лучше отправить неполное уведомление вовремя, чем подробное с опозданием.
• Отвечать на запросы РКН без юриста. Любые формулировки могут стать признанием вины. Все коммуникации — через корпоративного или внешнего юриста.
• Удалять субъектам ПД сразу при просьбе. Если они потребуют удалить данные после утечки — сначала зафиксируйте факт обращения, ответьте в установленный законом срок.
• Платить штрафы без проверки расчёта. При оборотных штрафах ошибки в расчёте выручки — частая практика. Юрист может снизить сумму.

9. Чек-лист: как подготовиться к возможной утечке

• В компании назначен ответственный за обработку ПД с актуальным приказом
• Есть подтверждённая учётная запись на Госуслугах для подачи уведомлений
• Составлен план реагирования на инциденты (incident response plan)
• Определены контакты внешних специалистов: ИБ-аудитор, юрист, форензик
• Все сотрудники знают, кому сообщать о подозрении на утечку
• Логи систем хранятся минимум 6 месяцев, защищены от изменений
• Базы ПД зашифрованы, доступы по принципу минимальных привилегий
• Регулярные пентесты и аудиты безопасности (минимум раз в год)
• Политика обработки ПД и политика конфиденциальности актуальны
• Сайт проверен на уязвимости и нарушения 152-ФЗ

10. Частые вопросы