152
Инцидентыутечка данныхРоскомнадзоринциденты

Утечка персональных данных: что делать и как уведомить РКН

Пошаговая инструкция при утечке данных. Сроки уведомления Роскомнадзора, оборотные штрафы, как минимизировать последствия.

1 февраля 20263 мин. чтенияКоманда Бюро 152

Утечка персональных данных: что делать и как уведомить РКН

Утечка данных — кошмар любого бизнеса. С 2022 года компании обязаны уведомлять Роскомнадзор об утечке в течение 24 часов. С 2025 года действуют оборотные штрафы. Рассказываем, что делать, если утечка произошла.

Сроки: 24 часа + 72 часа

Закон устанавливает жёсткие сроки реагирования:

  • 24 часа — уведомить Роскомнадзор о факте утечки
  • 72 часа — направить результаты внутреннего расследования

Важно: Отсчёт идёт с момента, когда вы узнали об утечке. Не с момента, когда утечка произошла.

Пошаговый алгоритм

Час 0–2: Остановите утечку

  1. Определите источник утечки (взлом, инсайдер, ошибка сотрудника)
  2. Заблокируйте скомпрометированный доступ
  3. Изолируйте затронутые системы
  4. Зафиксируйте все действия (логи, скриншоты, акты)

Час 2–24: Уведомите РКН

Подайте уведомление через портал pd.rkn.gov.ru. В уведомлении укажите:

  • Дата и время обнаружения инцидента
  • Предполагаемая причина
  • Категории и примерный объём затронутых данных
  • Предпринятые меры
  • Контактное лицо для связи

Час 24–72: Расследование

Проведите внутреннее расследование и подготовьте отчёт:

  • Точный вектор атаки или причина утечки
  • Объём скомпрометированных данных (количество субъектов)
  • Перечень принятых мер по устранению
  • План мероприятий по предотвращению повторения

После 72 часов: Уведомление субъектов

Если утечка может нанести вред субъектам ПДн (а это почти всегда), вы обязаны уведомить пострадавших. Способ — тот, который позволит достоверно уведомить (email, SMS, публикация на сайте).

Штрафы за утечку

Масштаб утечки Штраф (первичный) Штраф (повторный)
До 1 000 субъектов 3 000 000–5 000 000 ₽ 1–3% выручки
1 000–10 000 5 000 000–10 000 000 ₽ 1–3% выручки
Более 10 000 10 000 000–15 000 000 ₽ 1–3% выручки
Специальные категории ПДн До 15 000 000 ₽ 1–3% выручки

Оборотный штраф — это процент от годовой выручки. Минимум — 15 000 000 рублей, максимум — 500 000 000 рублей.

Самые частые причины утечек

По данным InfoWatch за 2024 год:

  1. Инсайдеры (68%) — текущие и бывшие сотрудники. Копируют базы на флешки, пересылают на личную почту
  2. Внешние атаки (22%) — хакеры, фишинг, эксплуатация уязвимостей
  3. Ошибки конфигурации (7%) — открытые базы данных, незакрытые API
  4. Утеря носителей (3%) — потерянные ноутбуки, телефоны, флешки

Как предотвратить утечку

Организационные меры

  • Разграничьте доступ к данным по ролям (не все менеджеры видят всю базу)
  • Запретите массовый экспорт данных из CRM
  • Проводите инструктаж при приёме и увольнении
  • Включите пункт об ответственности за ПДн в трудовой договор

Технические меры

  • Логируйте все действия с персональными данными
  • Заблокируйте USB-порты на рабочих станциях с ПДн
  • Настройте DLP-систему (контроль утечек)
  • Регулярно обновляйте ПО и устраняйте уязвимости
  • Используйте двухфакторную аутентификацию

При увольнении сотрудника

  • Заблокируйте доступ ко всем системам в день увольнения
  • Смените общие пароли, если они использовались
  • Проверьте, не было ли массового экспорта данных перед увольнением

Что делать, если утечка уже произошла

Если вы обнаружили утечку — не паникуйте, но действуйте быстро:

  1. Зафиксируйте факт утечки (акт, логи, скриншоты)
  2. Уведомите РКН в течение 24 часов
  3. Проведите расследование
  4. Уведомите пострадавших субъектов
  5. Примите меры по предотвращению повторения
  6. Подготовьтесь к возможной проверке РКН

Произошла утечка? Свяжитесь с нами — поможем правильно уведомить РКН и минимизировать последствия.