Как уведомить Роскомнадзор об утечке персональных данных за 24 часа

10 мин
персональные данныеутечкароскомнадзор152-фзкоап
Как уведомить Роскомнадзор об утечке персональных данных за 24 часа, обложка статьи sitelaw

Утечка персональных данных бывает не только взломом базы хакерами. Чаще всё куда прозаичнее. Менеджер выгрузил клиентскую базу в открытую гугл-таблицу. Бэкап оказался доступен без пароля. Письмо с приложением ушло не тому адресату. И как только вы узнали о таком факте, начинает идти отсчёт: закон даёт оператору 24 часа, чтобы уведомить Роскомнадзор о самом инциденте, и 72 часа, чтобы доложить о результатах разбирательства. Ниже разберём, как уведомить Роскомнадзор об утечке персональных данных в этот срок, что входит в каждое из двух уведомлений и какой штраф предусмотрен за молчание.

Что закон считает утечкой

Понятие «утечка» в законе шире бытового. Кража данных злоумышленником это лишь один из возможных случаев, причём далеко не самый частый. Обязанность уведомлять возникает при любой неправомерной или случайной передаче персональных данных, которая нарушила права людей: их данные стали доступны тем, кому доступны быть не должны.

Под это попадают ситуации, о которых владелец сайта обычно не думает как об инциденте:

  • база клиентов или заявок выгружена в облако или таблицу с открытым доступом по ссылке;
  • сервер, бэкап или админка остались без пароля и проиндексировались поисковиком;
  • сотрудник переслал список клиентов на личную почту или в мессенджер;
  • ошибка в рассылке: всем получателям видны адреса друг друга в поле «Кому»;
  • доступ к CRM остался у уволенного сотрудника, и он скачал данные.

Ключевой признак: данные ушли туда, куда не должны были, и это затронуло права субъектов. Масштаб при этом не первичен для самой обязанности уведомить. Один случайно опубликованный список из сотни телефонов уже повод запустить процедуру. От объёма утечки зависит размер отдельных санкций, но не сама обязанность сообщить.

Стоит понимать, кто несёт эту обязанность. Оператором закон называет любое лицо, которое организует или ведёт обработку персональных данных, без привязки к форме бизнеса. Интернет-магазин, частная клиника, онлайн-школа, самозанятый с лендингом и формой заявки: если через сайт собираются имена, телефоны и адреса, перед законом это оператор. Поблажки «я же маленький» в 152-ФЗ нет.

Срок уведомления об утечке: 24 часа и 72 часа

Это, пожалуй, главное во всей статье. При установлении факта инцидента оператор обязан уведомить Роскомнадзор двумя последовательными сообщениями.

Первое уведомление: в течение 24 часов с момента, как вы узнали об инциденте. В нём сообщаются предполагаемые причины, предполагаемый вред правам субъектов, принятые меры по устранению последствий, а также сведения о лице, уполномоченном у оператора на взаимодействие с Роскомнадзором по этому инциденту. Сутки здесь считаются календарным сроком, а не рабочим: отсчёт идёт непрерывно, выходные и ночь не останавливают его.

Второе уведомление: в течение 72 часов. К этому моменту нужно сообщить результаты внутреннего расследования инцидента и, если они установлены, сведения о лицах, действия которых стали причиной утечки.

Логика разделена намеренно. Первые сутки даются для того, чтобы зафиксировать факт и показать, что оператор отреагировал, а не для полного разбора причин. К 72 часам уже ожидается результат расследования. Поэтому самая проигрышная стратегия это отмолчаться первые сутки, пытаясь сначала во всём разобраться до конца. Пока картина прояснится, срок первого уведомления уже пройдёт.

Эта обязанность действует не первый год. Норму про 24 и 72 часа ввели поправками к 152-ФЗ ещё в 2022 году, и она работает с сентября того же года. Новое здесь другое: отдельный денежный штраф именно за неуведомление об инциденте появился позже, и о нём ниже.

Куда и как уведомить Роскомнадзор

Уведомления подаются в Роскомнадзор. Основной канал, электронное взаимодействие через систему ведомства для операторов персональных данных, размещён на портале Роскомнадзора по работе с персональными данными. Там же оператор ранее подаёт уведомление о намерении обрабатывать данные и ведёт переписку по реестру операторов.

Чтобы не терять время в момент инцидента, эти вещи стоит подготовить заранее, пока ничего не случилось:

  • доступ к личному кабинету оператора на портале Роскомнадзора (а если оператор ещё не подал базовое уведомление о намерении обрабатывать данные, этим стоит заняться отдельно и до всякой утечки);
  • заранее назначенное лицо, ответственное за взаимодействие с Роскомнадзором по инцидентам, с его контактами;
  • внутренний короткий регламент: кто и в какой последовательности действует в первые сутки.

Когда инцидент уже произошёл, разбираться с незнакомым интерфейсом под тикающие часы плохая затея. Половина нервотрёпки снимается одним: путь подачи и ответственный известны заранее.

Что грозит за молчание

За неуведомление или несвоевременное уведомление об инциденте с персональными данными предусмотрен отдельный административный штраф. Этот состав появился в КоАП относительно недавно и вступил в силу 30 мая 2025 года. До него за подобное чаще ограничивались общими мерами, теперь это самостоятельная денежная санкция.

Размер вилки по типам лиц:

Тип лицаШтраф за неуведомление об утечке (ч. 11 ст. 13.11 КоАП)
Гражданинот 50 000 до 100 000 ₽
Должностное лицоот 400 000 до 800 000 ₽
Юридическое лицоот 1 000 000 до 3 000 000 ₽

Это вилка по КоАП, а не юридическое заключение: конкретный размер в пределах диапазона определяет орган с учётом обстоятельств дела. Категория, по которой привлекут конкретного нарушителя, зависит от его статуса и характера деятельности, и в спорных случаях это вопрос квалификации.

Здесь важно развести два разных штрафа, которые легко спутать. Один штраф за то, что вы не сообщили об утечке, он в таблице выше. И отдельно есть санкции за саму утечку как таковую, и они зависят от объёма пострадавших данных: чем больше затронуто людей, тем выше суммы, а для крупных повторных нарушений в законе предусмотрен оборотный штраф, привязанный к доле годовой выручки. Эти суммы для крупных утечек измеряются миллионами рублей и выше.

Отсюда простой вывод, без запугивания. Уведомить вовремя почти всегда дешевле, чем промолчать. Своевременное уведомление и видимая реакция оператора играют ему в плюс, а не превращаются в повод для наказания. Наказывают за молчание и за саму утечку, а не за то, что оператор честно и в срок сообщил о проблеме.

Чем уведомление об утечке отличается от уведомления о намерении обрабатывать данные

Две процедуры с похожими названиями постоянно путают, и из-за этой путаницы теряют время как раз в момент инцидента.

Первая процедура называется базовым уведомлением о намерении обрабатывать персональные данные. Его оператор подаёт в Роскомнадзор один раз, до начала обработки, когда только запускает сайт с формой или начинает собирать данные клиентов. По сути это вход в реестр операторов. Прежние широкие основания не уведомлять (договор, работники, общедоступные данные) перестали действовать ещё в 2022 году, поэтому почти любой сайт с формой сегодня обязан подать это уведомление.

Вторая процедура и есть уведомление об инциденте, та самая история с 24 и 72 часами, о которой вся статья. Она разовая и срабатывает только при факте утечки.

Связь между ними сугубо практическая. Уведомление об инциденте подаётся через тот же личный кабинет оператора на портале Роскомнадзора, что и базовое. Если оператор вовсе не подал базовое уведомление и не завёл доступ к кабинету, то в момент утечки он оказывается без готового канала связи с ведомством и теряет часть из драгоценных 24 часов на регистрацию и разбирательство с доступами. Поэтому базовое уведомление служит не только самостоятельной обязанностью, но и подготовкой к худшему сценарию.

Как проверить готовность своего сайта

Уведомить за 24 часа реально только при двух условиях: вы вообще узнаете об утечке и будете готовы к подаче. Поэтому самопроверку лучше делать до инцидента, а не после него. Пройдитесь по списку глазами стороннего человека, который пытается добраться до ваших данных:

  • где физически лежат данные с форм сайта: в вашей базе, в CRM, в облачной таблице, в почтовом ящике;
  • нет ли среди этих хранилищ открытых по ссылке или без пароля;
  • кто имеет доступ к базе клиентов и остался ли доступ у бывших сотрудников;
  • подано ли базовое уведомление в Роскомнадзор о намерении обрабатывать данные и есть ли рабочий доступ в личный кабинет оператора;
  • назначен ли ответственный за взаимодействие с Роскомнадзором;
  • опубликована ли на сайте политика обработки персональных данных и открывается ли ссылка на неё без регистрации.

Последний пункт связан с темой напрямую. Если на сайте нет внятной политики и не видно, кто оператор и как с ним связаться, то и реакция на инцидент окажется хаотичной. Порядок в публичных документах это первый признак того, что у оператора вообще выстроена работа с данными.

Пройти эту проверку по всему сайту разом удобнее автоматически, чем вручную открывать каждую страницу и форму. На странице проверки сайта на 152-ФЗ сканер проходит по сайту, находит формы и внешние сервисы и показывает, где не хватает политики, согласия или информации об операторе. Это та же проверка готовности, что и список выше, только сразу и без ручного обхода страниц. Индивидуальный разбор инцидента она не заменит, зато покажет, с каких слабых мест начинать наводить порядок ещё до того, как что-то случится.

Как действовать, если утечка уже случилась

Если факт инцидента подтвердился, выручают последовательность и скорость, а не паника.

  1. Зафиксируйте момент. Запишите, когда и как вы узнали об утечке: с этого момента идёт отсчёт 24 часов.
  2. Остановите утечку технически. Закройте открытый доступ, смените пароли и ключи, отзовите лишние доступы. Это входит в «принятые меры», о которых сообщается в первом уведомлении.
  3. Оцените масштаб. Какие данные и каких людей затронуты, по возможности сколько субъектов и какие категории данных.
  4. Подайте первое уведомление в течение 24 часов: причины, предполагаемый вред, принятые меры, ответственное за взаимодействие лицо.
  5. Проведите внутреннее расследование и подайте второе уведомление в течение 72 часов: результаты и, если установлены, сведения о виновных.
  6. Сохраните доказательства своих действий: переписку, скриншоты подачи, внутренние документы. Это пригодится, чтобы подтвердить добросовестность реакции.

Если ситуация сложная или последствия серьёзные, на этом этапе разумно привлечь профильного юриста. Автоматическая проверка и эта статья помогут не упустить очевидное и не потерять первые часы, но разбор крупного инцидента с большим объёмом данных это уже работа специалиста.

Теперь о профилактике. Большинство утечек у малого бизнеса это не изощрённый взлом, а открытые таблицы, забытые доступы и пересланные базы. Закрываются они чисто организационно: ограничить круг доступа, не выгружать клиентскую базу в личные облака, убирать доступы при увольнении, держать сайт и его документы в порядке. Стоят такие меры почти ничего, а перекрывают именно те сценарии, на которых малый бизнес и горит чаще всего.

Частые вопросы

С какого момента считаются 24 часа? С момента, когда оператор установил факт инцидента, то есть узнал о неправомерной или случайной передаче данных. Срок календарный и идёт непрерывно, включая выходные и ночь.

Нужно ли уведомлять, если утекли данные всего нескольких человек? Сама обязанность уведомить привязана к факту нарушения прав субъектов, а не к числу пострадавших. От объёма зависят отдельные санкции за саму утечку, но не обязанность сообщить о ней. Безопаснее уведомить.

Чем грозит, если просто промолчать и понадеяться, что не заметят? За неуведомление об инциденте предусмотрен отдельный штраф, вилка приведена выше. Вдобавок сокрытие лишает оператора аргумента о добросовестной реакции, а сама утечка вполне может вскрыться по жалобе субъекта или из открытых источников.

Это два разных уведомления или одно? Два последовательных. Первое в течение 24 часов об инциденте, второе в течение 72 часов о результатах внутреннего расследования.

Распространяется ли это на самозанятых и небольшие сайты? Да. Обязанность лежит на операторе независимо от формы бизнеса. Если через сайт собираются персональные данные, освобождения по размеру нет.

Коротко

При утечке персональных данных у оператора есть 24 часа, чтобы уведомить Роскомнадзор об инциденте, и 72 часа, чтобы доложить о результатах внутреннего расследования. Утечка в законе это любая неправомерная или случайная передача данных, нарушившая права людей, а не только взлом: открытая таблица или забытый доступ тоже считаются. За неуведомление об инциденте предусмотрен отдельный штраф, от 50 тысяч рублей для гражданина до 3 миллионов для юридического лица, и это отдельно от санкций за саму утечку. Срок календарный и идёт непрерывно, поэтому путь подачи и ответственного лучше подготовить заранее. Проверить, в порядке ли документы и формы на сайте, можно вручную по списку выше или автоматически: профилактика всегда дешевле штрафа.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 3.1 статьи 21: при установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, оператор обязан уведомить Роскомнадзор в течение 24 часов об инциденте и в течение 72 часов о результатах внутреннего расследования.
  • КоАП РФ, часть 11 статьи 13.11: неуведомление или несвоевременное уведомление Роскомнадзора об инциденте, связанном с неправомерной передачей персональных данных; влечёт административный штраф.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1: оператор, собирающий персональные данные через интернет, обязан опубликовать на страницах сайта документ о политике обработки персональных данных и сведения о реализуемых требованиях к защите.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также