Утечка персональных данных: ответственность оператора, штрафы и порядок действий
Ежегодно в России фиксируются сотни утечек ПДн. Они случаются как у небольших интернет-магазинов, так и у крупных банков и государственных структур. За каждым таким инцидентом стоит не только репутационный ущерб, но и серьезные меры ответственности оператора, которая с 2025 года существенно возросла.
Когда утечка происходит, время работает против оператора, так как закон отводит всего 24 часа на первичное уведомление регулятора. В статье разбираем, как правильно составить такое уведомление и что делать для минимизации рисков утечки.
Содержание
Что такое утечка персональных данных
Утечкой ПДн является неправомерная или случайная передача, распространение или предоставление доступа к ПДн лицам, которые не имеют права их получать.
В 152-ФЗ не используется термин «утечка» напрямую, однако ст. 21 устанавливает четкие обязательства оператора при выявлении факта неправомерной или случайной передачи ПДн. При этом неважно, как именно данные оказались у посторонних: в результате взлома, случайной отправки файла не тому адресату или действий недобросовестного сотрудника. Правовые последствия для оператора наступают в каждом из этих случаев.
Категория утекших данных напрямую влияет на размер ответственности. Даже утечка базовых ПДн (ФИО, телефона, email) грозит оператору существенными штрафами, однако утечка специальных или биометрических данных влечет ещё большие санкции для оператора и реальный вред для субъекта вплоть до оформления займов на его имя или кражи личности.
Как происходят утечки ПДн
Причиной утечки ПДн не всегда является целенаправленная атака извне. В значительной части случаев инцидент происходит внутри самой компании. Перечислим самые распространенные причины утечек:
- Внешние кибератаки. Наиболее очевидный, но не единственный вектор. Злоумышленники используют фишинг, взлом уязвимостей в CRM-системах и облачных хранилищах, атаки на открытые порты баз данных. Целью таких действий является получение доступа к массивам ПДн для их дальнейшей продажи или использования в мошеннических схемах.
- Инсайдеры. Нередко причиной инцидентов являются сотрудники компании. Это может быть намеренный слив базы клиентов уволенным менеджером, продажа данных конкурентам или просто халатность: общий доступ к папке с ПДн, пересылка файлов через личную почту.
- Технические ошибки. Неправильно настроенное облачное хранилище, открытая база данных без авторизации, непринятие достаточных мер для защиты данных, ошибка при обновлении системы — все это приводит к тому, что ПДн оказываются в открытом доступе без какого-либо умысла со стороны оператора.
Что обязан сделать оператор при утечке ПДн
При выявлении факта неправомерной или случайной передачи ПДн оператор обязан действовать по четкому алгоритму, установленному ст. 21 №152-ФЗ. Промедление на любом из этапов является самостоятельным нарушением и влечет дополнительную ответственность.
Шаг 1. Зафиксировать инцидент. Факт утечки фиксируется внутренним документом с указанием даты и времени обнаружения, предполагаемого объема скомпрометированных данных и их категории.
Шаг 2. Уведомить Роскомнадзор в течение 24 часов. В течение 24 часов с момента обнаружения инцидента оператор обязан направить в РКН первичное уведомление. В нем указываются предполагаемые причины утечки и вред для субъектов ПДн, принятые меры по устранению последствий и контактное лицо для взаимодействия с регулятором. Уведомление Роскомнадзора об утечке ПДн подается через портал pd.rkn.gov.ru.
Шаг 3. Провести внутреннее расследование. Параллельно с уведомлением регулятора запускается внутреннее расследование, в ходе которого устанавливается вектор компрометации, круг лиц, имевших доступ к ПДн, и объем затронутых записей.
Шаг 4. Уведомить Роскомнадзор в течение 72 часов. По итогам расследования в течение 72 часов с момента обнаружения инцидента направляется второе уведомление в РКН. В нем указываются результаты расследования и сведения о лицах, действия которых стали причиной утечки, если оператор смог выявить таковых.
Профилактика: как избежать утечки ПДн в будущем
Выстроенная система защиты ПДн обходится значительно дешевле, чем устранение последствий утечки. Минимальный набор мер включает разграничение прав доступа к базам данных, внедрение DLP-систем для контроля передачи информации, регулярный инструктаж сотрудников и актуальную политику обработки ПДн.
Однако техническими мерами задача не исчерпывается. Важно помнить, что утечка ПДн может произойти даже там, где не используются средства автоматизации. Если в компании в систематизированном виде хранятся бумажные носители: картотеки личных дел, архивы и трудовые договоры, они также требуют защиты. Сейфы, шкафы с ключами и ограниченный доступ к архивам являются такими же обязательными мерами, как и защита цифровой инфраструктуры.
Кроме того, стоит учитывать, что проверка РКн, инициированная в связи с фактом утечки, редко ограничивается только ее расследованием. Роскомнадзор нередко попутно выявляет и другие нарушения в сфере обработки ПДн — отсутствие уведомления об обработке, некорректно оформленные согласия, устаревшую политику конфиденциальности. Каждое из них влечет самостоятельную ответственность, а значит, один инцидент может обернуться сразу несколькими штрафами.
Штрафы за утечку ПДН
Ответственность за утечку ПДн регулируется ст. 13.11 КоАП РФ. С 30 мая 2025 года размеры штрафов кратно возросли, а сама статья существенно расширилась. Размер штрафа зависит от объема скомпрометированных данных.
Административная ответственность
| Тип нарушения | Размер штрафа для ЮЛ |
| Неподача уведомления об утечке в РКН | от 1 до 3 млн руб. (ч.11 ст. 13.11 КоАП РФ) |
| Утечка ПДн от 1000 до 10 000 субъектов | от 3 до 5 млн руб. (ч.12 ст. 13.11 КоАП РФ) |
| Утечка ПДн от 10 000 до 100 000 субъектов | от 5 до 10 млн руб. (ч.13 ст. 13.11 КоАП РФ) |
| Утечка ПДн более 100 000 субъектов | от 10 до 15 млн рублей (ч.14. ст. 13.11 КоАП РФ) |
| Повторная утечка ПДн | от 1 до 3% годовой выручки (ч.15. ст. 13.11 КоАП РФ) |
| Утечка спец. категорий ПДн | от 10 до 15 млн руб. (ч.16. ст. 13.11 КоАП РФ) |
| Утечка биометрических ПДн | от 15 до 20 млн руб. (ч.17. ст. 13.11 КоАП РФ) |
| Повторная утечка спец. категорий или биометрических ПДн | от 1% до 3% годовой выручки (ч.18. ст. 13.11 КоАП РФ) |
Уголовная ответственность
За незаконные использование, передачу, сбор или хранение ПДн наступает уголовная ответственность по ст. 272.1 УК РФ. При отягчающих обстоятельствах максимальное наказание может составить до 10 лет лишения свободы со штрафом до 3 миллионов рублей. Ответственность несут как внешние злоумышленники, так и сотрудники компании, имевшие доступ к ПДн.
Заключение
Масштаб финансовых последствий утечки ПДн не стоит недооценивать: штрафы за сам инцидент, отдельные санкции за нарушение срока уведомления и оборотные штрафы при повторном нарушении могут исчисляться десятками миллионов рублей. Выстроенные процессы обработки ПДн, регулярный правовой аудит и соблюдение требований закона при инциденте способны существенно снизить риски. Даже если утечка уже произошла, обратитесь к юристам: грамотные действия на этом этапе РКН и суд учтут при назначении мер ответственности.
Ответы на вопросы
-
Что считается утечкой ПДн по закону?
Напрямую определение понятия «утечка ПДн» в законе не закреплено. Однако, исходя из толкования 152-ФЗ, можно заключить, что утечкой ПДн является неправомерная или случайная передача, распространение или предоставление доступа к ПДн лицам, не имеющим права их получать.
-
Какой штраф за утечку ПДн грозит компании?
Размер штрафа зависит от объема скомпрометированных данных. За утечку от 1 000 до 10 000 записей он составит от 3 до 5 миллионов рублей, от 10 000 до 100 000 субъектов — от 5 до 10 миллионов рублей, свыше 100 000 субъектов — от 10 до 15 миллионов рублей. При повторном нарушении применяются оборотные штрафы: от 1 до 3% годовой выручки.
-
В течение какого срока оператор обязан уведомить РКН об утечке?
Закон устанавливает два срока. Первичное уведомление с описанием инцидента и принятых мер (то есть о самом факте утечки) направляется в течение 24 часов с момента обнаружения утечки. Итоговое уведомление с результатами внутреннего расследования — в течение 72 часов. Нарушение срока уведомления об утечке является самостоятельным составом нарушения и влечет отдельный административный штраф.
-
Куда жаловаться на утечку персональных данных?
Жалобу на утечку ПДн следует направить в Роскомнадзор. Сделать это можно через портал pd.rkn.gov.ru или по почте в территориальное управление ведомства. Если утечка повлекла финансовый ущерб или стала основанием для мошеннических действий в отношении субъекта ПДн, дополнительно можно обратиться в полицию или прокуратуру.
-
Что считается утечкой ПДн по закону?
Напрямую определение понятия «утечка ПДн» в законе не закреплено. Однако, исходя из толкования 152-ФЗ, можно заключить, что утечкой ПДн является неправомерная или случайная передача, распространение или предоставление доступа к ПДн лицам, не имеющим права их получать.
-
Какой штраф за утечку ПДн грозит компании?
Размер штрафа зависит от объема скомпрометированных данных. За утечку от 1 000 до 10 000 записей он составит от 3 до 5 миллионов рублей, от 10 000 до 100 000 субъектов — от 5 до 10 миллионов рублей, свыше 100 000 субъектов — от 10 до 15 миллионов рублей. При повторном нарушении применяются оборотные штрафы: от 1 до 3% годовой выручки.
-
В течение какого срока оператор обязан уведомить РКН об утечке?
Закон устанавливает два срока. Первичное уведомление с описанием инцидента и принятых мер (то есть о самом факте утечки) направляется в течение 24 часов с момента обнаружения утечки. Итоговое уведомление с результатами внутреннего расследования — в течение 72 часов. Нарушение срока уведомления об утечке является самостоятельным составом нарушения и влечет отдельный административный штраф.
-
Куда жаловаться на утечку персональных данных?
Жалобу на утечку ПДн следует направить в Роскомнадзор. Сделать это можно через портал pd.rkn.gov.ru или по почте в территориальное управление ведомства. Если утечка повлекла финансовый ущерб или стала основанием для мошеннических действий в отношении субъекта ПДн, дополнительно можно обратиться в полицию или прокуратуру.
Руководитель юридического отдела
8 лет опыта
более 300 выигранных дел
Комментарии