Утечка персональных данных — это не просто инцидент, а чрезвычайная ситуация, требующая немедленных действий. С 30 мая 2025 года сокрытие утечки грозит штрафом до 1 миллиона рублей, а неправильное уведомление — до 500 тысяч рублей. Разберем новый порядок действий.
Реальный пример: Интернет-магазин скрыл факт утеки базы 10 000 клиентов. Когда информация стала публичной, Роскомнадзор оштрафовал компанию на 800 000 рублей — 500 000 за утечку и 300 000 за ее сокрытие.
Что считается утечкой по 152-ФЗ?
Любое неправомерное или случайное распространение персональных данных:
-
Взлом сайта и кража баз данных
-
Отправка данных не тому адресату
-
Утеря ноутбука или флешки с данными
-
Публикация данных по ошибке
-
Доступ к данным бывших сотрудников
Новый порядок действий при утечке:
1. Обнаружение утечки (в течение 24 часов)
-
Зафиксировать факт утечки
-
Определить объем и категории данных
-
Выявить причину инцидента
2. Уведомление Роскомнадзора (в течение 24 часов)
-
Подать уведомление по установленной форме
-
Приложить все доказательства
-
Указать принятые меры
3. Уведомление субъектов ПДн (в течение 72 часов)
-
Сообщить о факте утечки
-
Разъяснить возможные риски
-
Предложить меры защиты
Образец уведомления в Роскомнадзор:
"ООО «Компания» уведомляет о неправомерном распространении персональных данных, произошедшем [дата].
Характер инцидента: несанкционированный доступ к базе данных клиентов
Объем данных: 1 500 записей
Категории данных: ФИО, контактные телефоны, адреса электронной почтыПринятые меры:
Блокировка доступа к системе
Смена паролей доступа
Усиление мер защиты
Прилагаются: акт о инциденте, результаты внутреннего расследования"
Таблица сроков уведомления:
| Событие | Срок уведомления | Ответственный |
|---|---|---|
| Обнаружение утечки | 24 часа | Ответственный за ПДн |
| Уведомление РКН | 24 часа с момента обнаружения | Руководитель организации |
| Уведомление субъектов | 72 часа | Служба безопасности |
| Уведомление правоохранительных органов | 24 часа (при необходимости) | Юридический отдел |
Чек-лист действий при утечке:
-
Создать рабочую группу по расследованию
-
Заблокировать источник утечки
-
Оценить масштабы инцидента
-
Подготовить уведомление в РКН
-
Уведомить субъектов ПДн
-
Принять меры по недопущению повторения
-
Документально оформить все действия
Кейс: Правильные действия при утечке в медицинском центре
Ситуация: Сотрудник отправил файл с данными 200 пациентов не тому адресату
Действия:
-
Через 2 часа — обнаружение ошибки
-
Через 6 часов — уведомление Роскомнадзора
-
Через 12 часов — уведомление всех пациентов
-
Через 24 часа — внедрение системы проверки адресов
Результат: Минимизация репутационных потерь, отсутствие штрафов.
FAQ по уведомлениям об утечке:
Вопрос: Нужно ли уведомлять о любой утечке, даже незначительной?
Ответ: Да, о любом неправомерном распространении данных, даже если затронут один человек.
Вопрос: Что будет, если не успеть уведомить за 24 часа?
Ответ: Штраф за несвоевременное уведомление — до 300 000 рублей для юрлиц.
Вопрос: Кто должен подписывать уведомление в РКН?
Ответ: Руководитель организации или уполномоченное лицо.
Наша услуга "Разработка регламента по утечкам" включает:
-
Создание пошаговой инструкции для сотрудников
-
Разработку шаблонов всех уведомлений
-
Проведение тренировок по отработке инцидентов
-
Юридическое сопровождение при реальных утечках