16 дек., 13:12Защита персональных данных

Что делать при утечке персональных данных в 2025 году: памятка для бизнеса

Ответственность за утечку ПДн ужесточили с 30 мая 2025 года: теперь максимальный размер штрафа достигает 20 млн руб., если нарушение первичное. В интернете можно найти уйму информации о том, как организовать обработку данных, как взаимодействовать с Роскомнадзором и минимизировать риски. Но что делать, если утечка ПДн уже произошла? Разбираем подробнее.

Самое главное:

Оператор персданных обязан уведомить Роскомнадзор о факте утечки в течение 24 часов и направить расширенный отчет в течение 72 часов.
Утечки происходят не только из-за взломов, но и по вине сотрудников — важно предусмотреть технические и организационные меры.
Быстрое реагирование и внутреннее расследование помогают сократить ущерб и избежать максимальных санкций.
Чтобы снизить риски утечки, бизнесу важно наладить систему защиты, вести документацию по 152-ФЗ и регулярно проводить аудит обработки персональных данных.

Что такое утечка персональных данных и какие последствия она влечет

Закон от 27.07.2006 № 152-ФЗ «О персональных данных» обязывает операторов персональных данных применять меры по обеспечению безопасности и сохранению конфиденциальности сведений. К операторам персданных относятся практически все ИП, компании и даже самозанятые, если они взаимодействуют с личной информацией физлиц.

Термина «утечка персональных данных» в законодательстве нет. Но в ч. 3.1 ст. 21 закона 152-ФЗ, сказано, что оператор должен отправить уведомление в Роскомнадзор в течение 24 часов с момента выявления факта «неправомерной передачи, предоставления, распространения или доступа к персональной информации без согласия субъекта данных».

Эту формулировку можно считать фактическим определением утечки информации. То есть не каждый инцидент с персональными данными — нарушение закона, а только тот, при котором третьи лица завладели персональными данными случайно или умышленно и это привело к нарушению прав их владельца.

Как на практике происходит утечка данных? Обычно причиной становится кража базы данных или взлом информационной системы компании через уязвимости в ПО, слабые пароли, использование непроверенных VPN, незащищенных облаков и т. д. Иногда причина — человеческий фактор. Например, если кто-то из сотрудников потерял физический носитель (ноутбук, флешку, бумажные документы), на который записаны персданные.

С 30 мая 2025 года санкции за такие нарушения значительно выросли. В статью 13.11 КоАП внесли изменения. Теперь действуют следующие размеры штрафов:

Масштаб утечки	Штраф для граждан	Должностные лица	Компании и ИП	Пункт ст. 13.11
От 1 до 10 тыс. субъектов ПДн или 10–100 тыс. идентификаторов	100–200 тыс. руб.	200–400 тыс. руб.	3–5 млн руб.	ч. 12
Утечка от 10 до 100 тыс. субъектов или 100 тыс.–1 млн идентификаторов	200–300 тыс. руб.	300–500 тыс. руб.	5–10 млн руб.	ч. 13
Утечка более 100 тыс. субъектов или свыше 1 млн идентификаторов	300–400 тыс. руб.	400–700 тыс. руб.	10–15 млн руб.	ч. 14
Утечка специальных категорий ПДн (здоровье, убеждения и др.)	400–500 тыс. руб.	700 тыс.–1 млн руб.	10–15 млн руб.	ч. 16
Утечка биометрических данных	500–700 тыс. руб.	1-1,5 млн руб.	15–20 млн руб.	ч. 17

За повторные нарушения ответственность составляет до 500 млн руб. или 1–3% годового оборота компании (ч. 15 ст 13.11 КоАП).

Причем, исходя из судебной практики можно сказать, что суды учитывают наличие у оператора организационных и технических мер. При их недостаточности компании привлекают к ответственности.

Чтобы уверенно соблюдать все требования закона № 152-ФЗ, получите консультацию в «Центре безопасности данных». Специалисты помогут провести аудит, подготовить все необходимые документы для Роскомнадзора, создать надежную систему защиты персональных данных и обеспечат комплексное сопровождение бизнеса на всех этапах.

Получить консультацию

Обнаружена утечка персональных данных: что делать руководителю

Первые часы после обнаружения утечки персональной информации — самые важные. От того, насколько оперативно отреагирует компания или ИП, зависит, какими будут финансовые и репутационные последствия.

Действуйте последовательно. Главные организационные задачи такие:

Оставить утечку, быстро вернуть контроль.
Оценить масштаб катастрофы. Выполнить юридические обязательства, отправить уведомление в РКН.
Проинформировать всех задействованных и ответственных лиц. Желательно проинформировать и субъектов, чьи права были нарушены.

Разберем, что делать в случае утечки, пошагово.

1. Остановка распространения утечки

Первое и самое важное действие — немедленная изоляция затронутых систем. Попросите специалистов IT или службы безопасности компании немедленно отключить серверы, с которых произошла утечка, заблокировать скомпрометированные учетные записи, закрыть внешние порты. Важно также отключить подозрительные каналы передачи данных, например, VPN-доступ.

2. Информирование руководства и сбор «кризисной группы» и фиксация фактов

Угроза локализована — после этого можно оценить ее масштаб. На этом же этапе нужно обязательно поставить в известность руководство компании. Параллельно собирается так называемая «кризисная» группа. В нее, помимо генерального директора и сотрудников айти, могут входить юристы, PR-специалисты, HR (если распространились данные о своих сотрудниках), финансовый директор и другие.

Совместными усилиями они собирают подробную информацию об инциденте: какие данные попали в руки третьих лиц, когда произошло нарушение, кто его обнаружил, время инцидента, каким образом был получен доступ и т. д. Важно сохранить всю цепочку доказательств для дальнейшего расследования.

3. Привлечение экспертов

Если внутри компании нет достаточного опыта для устранения последствий, лучше пригласить стороннего подрядчика — независимую команду специалистов по кибербезопасности. Эксперты помогут оперативно выявить уязвимости, ликвидировать последствия утечки и разработать рекомендации по предотвращению повторных инцидентов.

4. Обязательное уведомление Роскомнадзора

Согласно ч. 3.1 статьи 21 закона 152-ФЗ, оператор персональных данных обязан направить уведомление в Роскомнадзор в течение 24 часов с момента обнаружения утечки. Как именно оформить этот документ, в каком порядке его предоставить, разъясняется в приказе РКН от 14.11.2022 № 187.

В уведомлении указывают:

факты инцидента;
предполагаемые причины;
предполагаемый размер вреда;
меры, принятые для ликвидации последствий;
контактное лицо, ответственное за устранение инцидента.

Своевременное информирование регулятора обязательно для всех ИП и компаний, выступающих операторами персданных. Невыполнение этого требования влечет наложение штрафа от 1 до 3 млн рублей.

Направить уведомление в электронном формате можно:

Через портал Роскомнадзора. Нужно заполнить специальную форму на официальном сайте ведомства. Для этого необходимо пройти идентификацию и аутентификацию через ЕСИА (Госуслуги) руководителя или уполномоченного руководителем лица и после заполнения формы подпишите ее и отправьте.

5. Проведение внутреннего расследования и дополнительное уведомление РКН

В течение следующих 72 часов после инцидента нужно провести детальное внутреннее расследование, выявить причины утечки, ответственных лиц и обстоятельства.

Расширенный отчет с результатами расследования и мерами по устранению уязвимостей направьте в Роскомнадзор.

6. Оповещение пострадавших

Вместе с обязательным уведомлением Роскомнадзора о факте утечки нужно оповестить пострадавших — персонал, клиентов. Важно сделать это, чтобы сохранить доверие людей и минимизировать репутационные риски.

Что сделать:

Предоставьте пострадавшим четкие инструкции, как вернуть контроль над персданными. Например, сменить пароли на всех связанных сервисах, быть внимательными к возможным фишинговым атакам и подозрительным сообщениям.
Организовать горячую линию или контактный центр для вопросов и поддержки пострадавших.

Даже при хорошей защите риск утечки данных сохраняется, поэтому важно иметь четкий план действий. Компания «Центр безопасности данных» предлагает полный комплекс услуг по защите информации и подготовке к проверкам Роскомнадзора. Наши специалисты помогают компаниям:

привести документы в соответствие с требованиями Роскомнадзора;
провести аудит обработки персональных данных;
выстроить систему защиты;
подготовиться к проверкам;
получить юридическое и техническое сопровождение.

Услуги в области персональных данных

Долгосрочные меры для предотвращения утечек: как извлечь урок из случившегося

Чтобы предотвратить утечки персональных данных в будущем, подключите превентивные меры. Проверьте, что включена и работает двухфакторная аутентификация во всех важных системах компании — так никто не сможет войти без дополнительного подтверждения.

Также стоит следить за любой подозрительной активностью и шифровать данные при их передаче, чтобы злоумышленники не могли их перехватить.

Кроме технических мер, нужно пересмотреть внутреннюю работу с персональными данными:

отказаться от сбора лишней информации (принцип минимизации);
разработать и закрепить в документах политику обработки данных;
назначить ответственных за защиту;
регулярно обучать сотрудников правилам безопасности;
предоставлять доступ к данным только тем сотрудникам, кому они действительно нужны для работы.

Читайте также:

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFHtMWWC

Центр безопасности данных

Защищаем компании от рисков с 2012 года

23 подписчика 7 постов