Утечка персональных данных: что делать и как уведомить РКН

Утечка данных — кошмар любого бизнеса. С 2022 года компании обязаны уведомлять Роскомнадзор об утечке в течение 24 часов. С 2025 года действуют оборотные штрафы. Рассказываем, что делать, если утечка произошла.

Сроки: 24 часа + 72 часа

Закон устанавливает жёсткие сроки реагирования:

• 24 часа — уведомить Роскомнадзор о факте утечки
• 72 часа — направить результаты внутреннего расследования

Важно: Отсчёт идёт с момента, когда вы узнали об утечке. Не с момента, когда утечка произошла.

Пошаговый алгоритм

Час 0–2: Остановите утечку

1. Определите источник утечки (взлом, инсайдер, ошибка сотрудника)
2. Заблокируйте скомпрометированный доступ
3. Изолируйте затронутые системы
4. Зафиксируйте все действия (логи, скриншоты, акты)

Час 2–24: Уведомите РКН

Подайте уведомление через портал pd.rkn.gov.ru. В уведомлении укажите:

• Дата и время обнаружения инцидента
• Предполагаемая причина
• Категории и примерный объём затронутых данных
• Предпринятые меры
• Контактное лицо для связи

Час 24–72: Расследование

Проведите внутреннее расследование и подготовьте отчёт:

• Точный вектор атаки или причина утечки
• Объём скомпрометированных данных (количество субъектов)
• Перечень принятых мер по устранению
• План мероприятий по предотвращению повторения

После 72 часов: Уведомление субъектов

Если утечка может нанести вред субъектам ПДн (а это почти всегда), вы обязаны уведомить пострадавших. Способ — тот, который позволит достоверно уведомить (email, SMS, публикация на сайте).

Штрафы за утечку (ст. 13.11 КоАП РФ в редакции от 30.05.2025)

С 30 мая 2025 года вступил в силу Федеральный закон №420-ФЗ от 30.11.2024 — он ввёл дифференциацию штрафов по масштабу утечки и оборотные штрафы. Объём считается по числу субъектов ПДн ИЛИ по числу уникальных идентификаторов (логины, телефоны, email) — берётся тот критерий, что превышен.

Штрафы за первичную утечку

Штрафы за повторную утечку — оборотные

При повторной утечке (когда компания уже была наказана по ч. 12–14, 16–18) применяется оборотный штраф:

• 1–3% совокупного годового оборота за календарный год до года нарушения
• Минимум 20 000 000 ₽, максимум 500 000 000 ₽
• Для повторов спец. категорий и биометрии (ч. 18) — минимум 25 000 000 ₽

Важно для банков: база оборотного штрафа считается не от выручки, а от размера собственных средств (капитала) на дату нарушения.

Также с 30.05.2025: по всем составам ст. 13.11 КоАП отменена 50% скидка за быструю оплату.

Самые частые причины утечек

По данным InfoWatch за 2024 год:

1. Инсайдеры (68%) — текущие и бывшие сотрудники. Копируют базы на флешки, пересылают на личную почту
2. Внешние атаки (22%) — хакеры, фишинг, эксплуатация уязвимостей
3. Ошибки конфигурации (7%) — открытые базы данных, незакрытые API
4. Утеря носителей (3%) — потерянные ноутбуки, телефоны, флешки

Как предотвратить утечку

Организационные меры

• Разграничьте доступ к данным по ролям (не все менеджеры видят всю базу)
• Запретите массовый экспорт данных из CRM
• Проводите инструктаж при приёме и увольнении
• Включите пункт об ответственности за ПДн в трудовой договор

Технические меры

• Логируйте все действия с персональными данными
• Заблокируйте USB-порты на рабочих станциях с ПДн
• Настройте DLP-систему (контроль утечек)
• Регулярно обновляйте ПО и устраняйте уязвимости
• Используйте двухфакторную аутентификацию

При увольнении сотрудника

• Заблокируйте доступ ко всем системам в день увольнения
• Смените общие пароли, если они использовались
• Проверьте, не было ли массового экспорта данных перед увольнением

Что делать, если утечка уже произошла

Если вы обнаружили утечку — не паникуйте, но действуйте быстро:

1. Зафиксируйте факт утечки (акт, логи, скриншоты)
2. Уведомите РКН в течение 24 часов
3. Проведите расследование
4. Уведомите пострадавших субъектов
5. Примите меры по предотвращению повторения
6. Подготовьтесь к возможной проверке РКН

---

Произошла утечка? Свяжитесь с нами — поможем правильно уведомить РКН и минимизировать последствия.