Llexenia-ai.ru ← Блог
Персданные

13 июля 2026 · Голубева Ксения · юрист, СПб

Утечка персональных данных: 24 часа на уведомление и оборотные штрафы

Утечка звучит как история про хакеров и корпорации, но в практике малого бизнеса она выглядит буднично: менеджер отправил файл с клиентской базой не в тот чат, подрядчик выложил бэкап в открытый доступ, взломали почту, к которой привязана CRM. С точки зрения закона всё это инциденты с персональными данными, и у оператора с этого момента тикают часы.

Что требует закон: 24 и 72 часа

С момента обнаружения инцидента оператор обязан уведомить Роскомнадзор в течение 24 часов: что произошло, какие данные и какого количества субъектов затронуты, предполагаемые причины и вред, принятые меры и контактное лицо. В течение 72 часов направляется второе уведомление: результаты внутреннего расследования и сведения о виновных, если они установлены.

Сутки это очень мало. За это время нужно понять масштаб, остановить утечку, собрать факты и корректно заполнить уведомление. Компании, которые слышат о 24 часах впервые в момент инцидента, тратят их на панику.

Цена молчания выросла

С 2025 года за утечки действуют серьёзно повышенные штрафы: фиксированные суммы исчисляются миллионами и зависят от объёма утёкших данных, а при повторной утечке штраф становится оборотным: до трёх процентов годовой выручки. Отдельно наказывается само неуведомление РКН. Логика законодателя прозрачна: скрывать инцидент теперь дороже, чем честно о нём сообщить.

Первые 24 часа по шагам

  1. Зафиксируйте время обнаружения: от него считаются все сроки. Скриншоты, письма, логи.
  2. Остановите утечку: закройте доступ, смените пароли, отзовите ссылки, изолируйте взломанный сервис.
  3. Оцените масштаб: какие категории данных, сколько людей, был ли доступ третьих лиц реальным или только возможным.
  4. Подайте уведомление в РКН через форму на портале. Лучше неполное, но в срок: детали доедут во втором уведомлении.
  5. Начните внутреннее расследование и документируйте каждый шаг: это основа уведомления на 72-м часу и ваша защита при разбирательстве.

Что сделать до инцидента

Подготовка занимает день, а экономит миллионы. Назначьте ответственного за инциденты и запасного на время отпусков. Напишите короткий регламент на одну страницу: кто кому звонит, кто считает масштаб, кто подаёт уведомление. Проверьте, у кого физически есть доступы к базам и CRM: чем короче список, тем меньше сценариев утечки. И держите под рукой шаблон уведомления: заполнять его в панике с нуля то ещё удовольствие.

Частые вопросы

Письмо с данными одного клиента ушло не тому адресату. Это тоже утечка?

Формально да: произошло неправомерное распространение персональных данных. Оценивайте по существу: масштаб, чувствительность данных, возможный вред. Практика подачи уведомлений по единичным инцидентам разная, но фиксировать инцидент и меры внутри компании нужно всегда.

Утекли данные из облачной CRM. Отвечает сервис или я?

Перед субъектами и РКН отвечает оператор, то есть вы. С сервисом у вас должно быть поручение на обработку, и убытки можно перекладывать на него в порядке регресса, если договор это позволяет. Ещё один повод проверить договор с CRM до инцидента.

Если никто не пожаловался, можно не уведомлять?

Обязанность уведомить не зависит от жалоб. РКН узнаёт об утечках из мониторинга, публикаций и продающихся баз, и неуведомление к тому моменту становится отдельным нарушением.

Подготовлю вас к инцидентам заранее

Регламент реагирования на одну страницу, шаблон уведомления РКН, проверка договоров с CRM и подрядчиками. Спокойствие стоит дешевле оборотного штрафа.

Персональные данные и РКН →