SEO-корпус
Что делать при утечке персональных данных пошаговый план
Первые часы после обнаружения утечки решают всё. Именно в это время оператор либо берёт инцидент под контроль и укладывается в сроки, либо теряет время и собирает на себя сразу два штрафа, за саму утечку и за молчание. Закон 152-ФЗ и статья 13.11 КоАП РФ в редакции, действующей в 2026 году, не оставляют пространства для раскачки. Часть 3.1 статьи 21 закона даёт двадцать четыре часа на первое сообщение и семьдесят два часа на результаты расследования. Часть 12 статьи 13.11 КоАП за утечку базы от одной тысячи субъектов грозит организации штрафом от трёх до пяти миллионов рублей. Этот план описывает действия по шагам, от обнаружения до закрытия инцидента.
Шаг первый · зафиксировать момент выявления
С момента выявления инцидента запускаются оба срока уведомления. Поэтому первое, что нужно сделать, это точно зафиксировать дату и время обнаружения. По части 3.1 статьи 21 выявить инцидент может сам оператор, уполномоченный орган или иное заинтересованное лицо, и любой из этих моментов запускает отсчёт. Зафиксированное время выявления это точка, от которой строится весь дальнейший график. Двадцать четыре часа на первое уведомление и семьдесят два часа на отчёт о расследовании отсчитываются именно отсюда, а не от первого письма регулятору.
Шаг второй · локализовать и остановить утечку
До того как писать уведомления, нужно остановить продолжающийся доступ. Скомпрометированные учётные записи блокируются, уязвимый сервис изолируется, утекающий канал перекрывается. Эти действия имеют не только техническое, но и юридическое значение. По пункту 1 части 3.1 статьи 21 в первое уведомление включаются сведения о принятых мерах по устранению последствий инцидента. Чем раньше приняты меры, тем содержательнее будет первое сообщение и тем лучше позиция оператора при оценке регулятором.
Шаг третий · оценить масштаб
От масштаба напрямую зависит размер ответственности. Части 12, 13 и 14 статьи 13.11 КоАП разделяют утечку по количеству пострадавших. Часть 12 это от одной тысячи до десяти тысяч субъектов и от десяти тысяч до ста тысяч идентификаторов, штраф для организации от трёх до пяти миллионов рублей. Часть 13 это от десяти тысяч до ста тысяч субъектов, до десяти миллионов. Часть 14 это более ста тысяч субъектов или более миллиона идентификаторов, до пятнадцати миллионов. Отдельно стоят утечки специальной категории данных по части 16 и биометрии по части 17 с санкциями до пятнадцати и до двадцати миллионов соответственно. Поэтому на третьем шаге нужно понять, сколько субъектов затронуто и какие категории данных утекли. Эта оценка определит и формулировки уведомления, и реальную цену инцидента.
Шаг четвёртый · первое уведомление в двадцать четыре часа
В течение суток с момента выявления оператор направляет Роскомнадзору первое уведомление. По пункту 1 части 3.1 статьи 21 в него входят описание произошедшего инцидента, предполагаемые причины, повлёкшие нарушение прав субъектов, предполагаемый вред их правам, принятые меры по устранению последствий и сведения о лице, уполномоченном на взаимодействие с регулятором по этому инциденту. Слово «предполагаемые» снимает требование к точности. В первые сутки достаточно версии о причинах и о возможном вреде. Главное это не пропустить окно. Заранее подготовленный шаблон и заранее назначенное контактное лицо позволяют отправить уведомление за минуты, а не искать ответственного в разгар кризиса.
Шаг пятый · внутреннее расследование и отчёт в семьдесят два часа
Параллельно с реагированием идёт внутреннее расследование. В течение семидесяти двух часов от момента выявления оператор по пункту 2 части 3.1 статьи 21 направляет регулятору результаты этого расследования и сведения о лицах, действия которых стали причиной инцидента, при их наличии. Это уже содержательный отчёт с установленной причиной. Если за трое суток виновных установить не удалось, отчёт всё равно направляется в срок, а сведения о лицах указываются по мере установления. Пропуск этого окна так же опасен, как и пропуск первого.
Шаг шестой · уведомить субъектов и устранить нарушение
Если утечка связана с неправомерной обработкой, работают и общие обязанности статьи 21. По части 3 этой статьи при выявлении неправомерной обработки оператор в срок не более трёх рабочих дней обязан её прекратить, а если обеспечить правомерность невозможно, в срок не более десяти рабочих дней уничтожить данные. Об устранении нарушений или уничтожении данных оператор уведомляет субъекта, а если запрос шёл через уполномоченный орган, то и этот орган. Эти действия закрывают инцидент с точки зрения прав конкретных людей.
На что смотрит суд и регулятор
При оценке инцидента смотрят на своевременность обоих уведомлений, на полноту их содержания, на наличие уполномоченного контактного лица и на принятые меры. Несвоевременное уведомление об установленном факте утечки образует самостоятельный состав по части 11 статьи 13.11 КоАП со штрафом для организации от одного до трёх миллионов рублей, который складывается со штрафом за саму утечку. По примечанию 5 к статье 13.11 при назначении наказания за оборотные составы частей 15 и 18 учитывается, считалось ли лицо ранее подвергнутым наказанию по частям 1 11 этой статьи. Поэтому грамотное прохождение инцидента сегодня снижает тяжесть наказания за возможный рецидив завтра.
Частые ошибки
Первая ошибка это пауза перед уведомлением ради сбора полной картины. Первое окно требует лишь предполагаемых причин и вреда. Вторая ошибка это отсчёт семидесяти двух часов от первого письма, тогда как оба срока идут от момента выявления. Третья ошибка это игнор уведомления субъектов и общих сроков прекращения неправомерной обработки по частям 3 5 статьи 21, из-за чего к утечке добавляются составы по частям 3 5 статьи 13.11 КоАП.
Частые вопросы
Вопрос. Нужно ли уведомлять Роскомнадзор, если утечка коснулась менее тысячи человек. Ответ. Обязанность по части 3.1 статьи 21 возникает при установлении факта неправомерной передачи данных, повлёкшей нарушение прав субъектов, и не привязана к порогу в тысячу. Порог в тысячу относится к градации штрафа по части 12 статьи 13.11 КоАП, а не к обязанности уведомлять.
Вопрос. Что делать, если виновного за трое суток не нашли. Ответ. Отчёт о результатах расследования направляется в срок, сведения о лицах указываются при их наличии. Незавершённость поиска не повод пропускать второе окно.
Вопрос. Можно ли подготовиться заранее. Ответ. Да, и это лучшая защита. Готовый регламент реагирования, шаблоны двух уведомлений и назначенное контактное лицо превращают хаос первых часов в управляемую процедуру. Построить такой регламент поможет юридическая помощь по персональным данным, а обсудить конкретный инцидент можно через контакты.