Проверка ПДн

Утечка персональных данных: что делать прямо сейчас

Учтены изменения закона на 2025-05-30

Если данные клиентов утекли — слили базу, взломали CRM, сотрудник унёс контакты, — счёт идёт на часы. Закон даёт на уведомление Роскомнадзора 24 часа. Разбираем, что сделать по шагам и как не получить второй штраф уже за само молчание.

Что считается утечкой

Утечка — это любой неправомерный или случайный доступ к персональным данным: слив базы в сеть, взлом сайта или CRM, потеря ноутбука с данными, отправка письма не тому адресату, выгрузка контактов уволенным сотрудником. Масштаб не важен — обязанность уведомить возникает и при единичном инциденте.

Сроки: 24 и 72 часа

С момента обнаружения инцидента у оператора есть 24 часа, чтобы уведомить Роскомнадзор о факте утечки, и 72 часа — чтобы сообщить результаты внутреннего расследования (причины, виновные, принятые меры). Сроки сжатые и считаются от обнаружения, а не от самого события (ст. 21 152-ФЗ, порядок реагирования).

План на первые сутки — пошагово

  1. Зафиксируйте факт и время обнаружения.
  2. Остановите утечку: смените пароли, закройте доступ, изолируйте систему.
  3. Оцените, чьи и какие данные затронуты.
  4. Подайте уведомление в Роскомнадзор через форму на pd.rkn.gov.ru в течение 24 часов.
  5. Запустите внутреннее расследование и зафиксируйте его в журнале инцидентов.
  6. В течение 72 часов донесите в РКН результаты.

Штрафы за утечку и за молчание

Сама утечка ПДн — от 3 до 15 млн ₽ в зависимости от объёма затронутых записей. Отдельный штраф — за неуведомление об утечке (1–3 млн ₽): то есть промолчать дороже, чем сообщить. За повторную утечку вводится оборотный штраф — процент от годовой выручки. Заранее подготовленный журнал инцидентов и регламент реагирования резко снижают риск пропустить срок.

Частые вопросы

Сколько времени есть на уведомление РКН об утечке?

24 часа на уведомление о самом факте утечки и 72 часа на передачу результатов внутреннего расследования — оба срока считаются с момента обнаружения инцидента.

Нужно ли сообщать об утечке, если пострадал всего один клиент?

Да. Обязанность уведомить не зависит от масштаба: даже единичный неправомерный доступ к данным формально является инцидентом, о котором нужно сообщить.

Что грозит, если не сообщить об утечке?

Отдельный штраф за неуведомление (1–3 млн ₽) поверх штрафа за саму утечку (3–15 млн ₽). Молчание обходится дороже, а повторная утечка влечёт оборотный штраф.

Проверьте свой бизнес на 152-ФЗ

Бесплатно, 3 минуты, персональный отчёт с пробелами.

Пройти чекер

Материал носит информационный характер и не является юридической консультацией.