Давайте начистоту: утечка персональных данных — не гипотетическая угроза, а суровая реальность. Только за 2025 год Роскомнадзор зафиксировал больше сотни утечек, в результате которых было скомпрометировано 50 миллионов записей (строк в базах) с персональными данными пользователей.

Для бизнеса последствия стали еще серьезнее, чем раньше. Помимо репутационного коллапса и судебных исков, компаниям теперь может грозить и уголовная ответственность по новой статье 272.1 УК РФ: за нарушения можно получить штраф до 700 000 рублей или срок до пяти лет. А с 30 мая 2025 года в силу вступили «драконовские штрафы» по КоАП: от 1% до 3% выручки — но не менее 20 и не более 500 млн рублей.

Выходит, для компаний утечка — настоящая проверка на прочность. Представьте: одна ошибка, и данные тысяч клиентов оказываются в даркнете, или кто-то взломал сервер — и требует выкуп. Что делать? Паниковать? Нет. Действовать быстро и по инструкции.

Рассказываем, как правильно реагировать на инциденты с персональными данными. Разбираем, что считается инцидентом, кому и в какие сроки отправлять уведомления и что делать, чтобы минимизировать ущерб.

Что считать инцидентом с ПДн?

Инцидент с персональными данными — это не просто «у нас что-то пошло не так». Это конкретная ситуация, когда данные попали в чужие руки без вашего согласия или другого правового основания. 

По закону инцидентом с ПДн считается факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов этих данных. 

Важно помнить, что инциденты с персональными данными — это лишь часть более широкого понятия «инциденты информационной безопасности». Утечка информации, не относящейся к персональным данным (например, коммерческой тайны), находится за пределами рассмотрения этой статьи. Кроме того, правила, о которых мы говорим, не распространяются на предотвращенные попытки хищения данных, когда утечки фактически не произошло.

Однозначно инцидентами являются несанкционированный доступ к персональным данным (например, взлом базы данных) и нарушение процесса их обработки (например, отправка данных не тому адресату). Проще говоря, это любая ситуация, когда данные попали к тому, кто не имел на них права, без вашего ведома и законного основания.

Инцидентом может стать даже банальная потеря флешки с персональными данными или случайная публикация чувствительной информации на сайте из-за ошибки сотрудника. Если произошло что-то подобное, это инцидент с ПДн, и нужно действовать быстро.

Если данные стали доступны третьим лицам нелегитимно — перед вами инцидент. Масштаб (один человек или миллион) и причина (злой умысел или простая оплошность) не имеют значения. Важно действовать по инструкции.

Основные этапы реагирования

1. Сбор информации об инциденте

Первое, что нужно сделать после обнаружения инцидента, — разобраться, что произошло и какие персональные данные затронуты.

Если вы сами определяете, какие данные собираются и какие действия с ними совершаются, вы являетесь Оператором. Именно на Операторе лежит основная обязанность по взаимодействию с госорганами и уведомлению об инцидентах.

Если же вы предоставляете инфраструктуру для обработки персональных данных другим компаниям (хостинг или облачные услуги) — вы выступаете в роли Провайдера. В этом случае немедленно уведомите Оператора, чьи данные пострадали, и внимательно изучите условия договора об обработке персональных данных. 

Важно четко понимать, где заканчивается ответственность Провайдера и начинается ответственность Оператора.

  • Провайдер отвечает только перед Оператором в рамках договора об обработке персональных данных. Если договор отсутствует, не соответствует требованиям закона или Провайдер вовремя не сообщил об инциденте, он несет материальную ответственность перед Оператором (например, штрафные санкции по договору).

  • Оператор отвечает за утечки перед государством и субъектами ПДн. Даже если инци��ент произошел по вине Провайдера, административную или уголовную ответственность за утечку будет нести Оператор. Взаимодействие с надзорными органами также ложится на Оператора.

Если инцидент произошел в информационной системе Оператора, но с использованием внешней инфраструктуры, необходимо проверить договор с Провайдером. Договор должен четко регулировать порядок действий при инцидентах и распределение ответственности. Отсутствие такого договора или его несоответствие закону создает для Оператора дополнительные риски: в случае разбирательства все претензии, скорее всего, будут обращены к Оператору.

Какие требования к содержанию договора предъявляет закон?

В соответствии с ч. 3 ст. 6 152-ФЗ договор (поручение) на обработку ПДн между Оператором и Провайдером должен содержать:

  • перечень ПДн;

  • перечень действий (операций) с ПДн, которые будут совершаться Провайдером;

  • цели обработки ПДн;

  • обязанность Провайдера соблюдать требования закона к конфиденциальности ПДн;

  • обязанность Провайдера соблюдать требования ч. 5 ст. 18 и ст. 18.1 152-ФЗ;

  • обязанность Провайдера по запросу Оператора предоставлять сведения, подтверждающие принятие мер по защите ПДн; 

  • обязанность Провайдера обеспечивать безопасность ПДн при их обработке в соответствии со ст. 19 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных ч. 3.1 ст. 21 152-ФЗ.

Обязательно проверьте документы на информационную систему, в которой произошел инцидент. Изучите акт определения уровня защищенности персональных данных, модель угроз и другие важные документы. Это не обязательно для отправки уведомления в РКН, но поможет в дальнейшем взаимодействии с регулятором.

2. Уведомление регуляторов

В течение 24 часов с момента обнаружения инцидента Оператор обязан направить первичное уведомление о происшествии в Роскомнадзор. Это требование работает без исключений — даже если утечка произошла в пятницу вечером или в праздничный день. Не откладывайте отправку, иначе рискуете нарушить законодательство. Это требования ч. 3.1 ст. 21 и ч. 12 ст. 19 152-ФЗ, а также п. 1 Приказа Роскомнадзора № 187 и п. 2–3 Приказа ФСБ № 77.

Для отправки уведомления используйте электронную форму на сайте Роскомнадзора. В первичном уведомлении необходимо указать сведения об Операторе и подробную информацию об инциденте.

Какими данными делиться в первичном уведомлении?

Сведения об Операторе:

  • для физлиц — ФИО, адрес регистрации, ИНН, электронная почта для связи с Роскомнадзором;

  • для юрлиц — наименование организации, адрес юрлица, ИНН, электронная почта для связи с Роскомнадзором.

Сведения об инциденте:

  • дата и время выявления инцидента;

  • предполагаемые причины инцидента;

  • характеристика ПДн и содержание утекшей базы данных: количество содержащихся в ней записей, информация об их актуальности и периоде, в течение которого были собраны персональные данные;

  • результаты предварительной оценки вреда, который может быть нанесен субъектам ПДн;

  • перечень принятых Оператором организационных и технических мер по устранению последствий инцидента в соответствии со статьями 18.1 и 19 152-ФЗ;

  • контактные данные для связи с Роскомнадзором.

Даже если ущерб кажется незначительным, умалчивать об инциденте нельзя. С точки зрения законодательства все инциденты требуют обязательного уведомления независимо от их масштаба. 

После получения сообщения Роскомнадзор проанализирует данные, при необходимости запросит дополнительную информацию и далее отправит сведения в ФСБ России.

Если ваша организация имеет информационное взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) с помощью специальной инфраструктуры, в течение тех же 24 часов направьте информацию о компьютерном инциденте в ГосСОПКА. Подтверждением приема сообщения станет идентификатор, который вам направят в течение суток.

Также Оператор персональных данных может сообщить об инциденте напрямую в НКЦКИ, даже без специальных технических каналов связи. Просто выберите любой удобный контакт на сайте координационного центра.

3. Проведение внутреннего расследования

В течение 72 часов после обнаружения инцидента вы обязаны провести внутреннее расследование и отправить его результаты в Роскомнадзор. В подробном отчете необходимо указать причины инцидента, вред, причиненный субъектам персональных данных, предпринятые меры по устранению последствий, а также сведения о причастных лицах, если они известны. Полный перечень требований к содержанию отчета приводится в п.3 Приказа 187

Если вы Провайдер услуг, окажите содействие вовлеченному Оператору во внутреннем расследовании и передайте результаты расследования максимально оперативно. Помните, что у Оператора есть сроки подачи отчета в регулирующие органы. Задержка с вашей стороны может привести к тому, что Оператор не уложится в установленный 72-часовой период и получит штраф.

Для отправки полного отчета используйте электронную форму на сайте Роскомнадзора. Обязательно укажите номер и ключ первичного уведомления — это позволит регулятору связать документы и рассматривать их как единое дело.

Реагирование должно быть комплексным — технические специалисты анализируют причины утечки, а юристы готовят документы для регуляторов.

4. Обработка инцидента и предотвращение повторных утечек

После завершения расследования проанализируйте причины инцидента и разработайте меры для предотвращения подобных ситуаций в будущем.

Проведите аудит процессов обработки ПДн

Начните с детальной прове��ки того, как именно обрабатываются данные на каждом этапе. Убедитесь, что все процессы полностью соответствуют требованиям законодательства и вашим внутренним регламентам. Особое внимание уделите выявленным уязвимостям, которые привели к инциденту.

Не забудьте проверить договоры со всеми Провайдерами услуг, участвующими в обработке персональных данных. Каждый такой договор должен строго соответствовать требованиям 152-ФЗ.

Обновите локальные нормативные акты

Если в ходе расследования вы обнаружили недостатки в корпоративной документации, внесите необходимые изменения. Уточните порядок обработки персональных данных, правила доступа к информации и процедуры контроля. Если у вас нет инструкций по реагированию на утечки данных — срочно разработайте их.

Примите меры для предотвращения повторных инцидентов

Хотя процесс реагирования на инциденты — это сложная и многогранная тема, требующая отдельного рассмотрения, можно выделить несколько ключевых практик:

  • внедрите регулярный аудит доступа к ПДн;

  • настройте системы автоматического обнаружения аномалий при работе с данными;

  • проводите регулярное обучение всех сотрудников правилам безопасной работы с ПДн.

Назначьте ответственных за безопасность данных в вашей организации

В зависимости от масштаба компании и объема обрабатываемой информации это может быть один сотрудник или команда специалистов. Обязательно закрепите их полномочия и обязанности в локальных нормативных актах. Это обеспечит прозрачность процессов и позволит каждому сотруднику точно знать, к кому обращаться по вопросам защиты персональных данных.

Убедитесь, что принятые меры действительно соблюдаются

Проводите плановые и внеплановые аудиты, чтобы убедиться, что все механизмы защиты работают должным образом. Тщательно документируйте все изменения и обновления в локальных актах, процедурах обработки данных и настройках информационных систем. Эта практика поможет не только избежать проблем в будущем, но и значительно облегчит взаимодействие с регуляторами при возможных проверках.

Краткий FAQ вместо заключения

1. Кто должен уведомлять регулятора, если в инциденте участвуют несколько компаний?

Оператор обязан уведомить Роскомнадзор, а Провайдер — Оператора. Провайдеру необходимо уведомить Оператора и содействовать в расследовании, чтобы Оператор успел соблюсти все регламентированные сроки.

2. Нужно ли уведомлять клиентов об утечке?

Обязательного требования нет, но замалчивание утечки может навредить репутации компании.

3. Почему важно проверять договоры с Провайдерами?

Размещать мощности для обработки ПДн у стороннего Провайдера без договора незаконно. Договор должен содержать перечень ПДн, цели обработки, обязанности по защите данных, требования к безопасности и другие сведения, перечисленные в ч. 3 ст. 6 152-ФЗ.

4. Можно ли продлить сроки уведомления?

Нет. Сроки уведомления (24 часа) нельзя продлить или перенести. Нарушение сроков может привести к штрафу от 1 до 3 млн рублей и внеплановой проверке.

5. Можно ли получить консультацию от регулятора?

Срочную консультацию можно получить только от НКЦКИ, если у вас есть взаимодействие по специальным техническим каналам. Роскомнадзор предоставляет консультации только в письменной форме, и ответ может занять время.

6. Что делать, если не хватает данных для уведомления?

Если что-то не удается собрать в регламентированные сроки, отправьте не полностью заполненное уведомление и ждите уточняющего запроса от Роскомнадзора.

7. Как узнать, что уведомление принято?

На электронную почту придет ключ принятого уведомления. Если в течение 3 дней Роскомнадзор не запросит уточнений, значит, уведомление оформлено корректно.

8. Наш ИТ-отдел устранил последствия инцидента (закрыл уязвимость, восстановил данные). Значит ли это, что инцидент исчерпан?

Нет. Техническое устранение последствий — это только одна часть процесса. Юридически инцидент считается исчерпанным только после выполнения всех предписанных законом процедур: уведомления регуляторов, проведения внутреннего расследования, отправки отчета и реализации мер по недопущению повторения. Игнорирование этих шагов даже при решенной технической проблеме является отдельным нарушением.

PURP — Telegram-канал, где кибербезопасность раскрывается с обеих сторон баррикад

t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона