Утечка персональных данных что делать

Утечка персональных данных что делать — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Персональные данные (расширение).

ФЗ-152ФЗ-149

Утечка персональных данных что делать

Статья подготовлена для представителей бизнеса и руководителей, ответственных за обработку ПДн, а также для граждан, столкнувшихся с инцидентом защиты информации. В материале раскрыты правовые последствия утечки, алгоритмы реагирования и обязанности по уведомлению регулятора согласно актуальному законодательству РФ.

1. Признаки инцидента

Под утечкой понимается несанкционированное уничтожение, изменение, блокирование или копирование персональных данных (ПДн), доступ к которым получил субъект без законных оснований либо неограниченный круг лиц. Для работодателя признаком считается получение доступа к сведениям о зарплате, отпускных и стаже сотрудников третьими лицами.

В случае технической утечки фиксируется нарушение конфиденциальности при соблюдении целостности информации. Если произошла кража серверов или флешек с носителями — речь идёт о физической утрате контроля над ПДн (ст. 13.11 КоАП РФ). Согласно ч. 6 ст. 13 ФЗ-152, оператор обязан немедленно принять меры по пресечению неправомерного доступа к ПДн и уведомить Роскомнадзор в течение суток с момента обнаружения инцидента.

2. Уведомление регулятора

По закону, при выявлении утечки оператор должен направить в Роскомнадзор уведомление о факте инцидента (ст. 13.1 ФЗ-152). В уведомлении указываются дата и время обнаружения, категория ПДн, перечень нарушенных мер защиты и предполагаемые последствия.

На практике срок для направления извещения — не позднее 24 часов с момента фиксации события. С 2023 года действует обновлённая форма уведомления; отсутствие сведений о характере утечки вносится как нарушение (ч. 1 ст. 19.7 КоАП РФ). За непредоставление информации штраф на должностных лиц составляет до 50 тыс. руб., на юрлицо — до 500 тыс. руб.

3. Обязанности работодателя при выявлении утечки ПДн

Если из состава работников стало известно о неправомерной передаче сведений, организация обязана:

  1. Изолировать доступ к информации (блокировка доступа, смена паролей) в течение часа с момента фиксации.
  2. Провести внутреннее расследование: зафиксировать действия причастных сотрудников и причины сбоя по внутренним документам.
  3. Уведомить Роскомнадзор — срок направления не позднее суток, форма — по актуальному бланку.

Нарушение порядка уведомлений грозит штрафом по ч. 1 ст. 19.7.2 КоАП РФ на сумму до 50 тыс. руб., а также риском доначисления административных штрафов за предыдущие нарушения (п. 2 ч. 3 ст. 23.1 КоАП).

4. Рекомендации по защите данных

Для минимизации рисков рекомендуется внедрить регламенты: разграничение доступа, ротацию паролей каждые 90 дней, регулярный аудит журналов событий ИБ и использование шифрования флешек (ст. 5 ФЗ-152). При обработке ПДн по умолчанию применяется принцип недискриминационности и минимизации сведений.

Если утечка произошла из-за отсутствия договора о неразглашении с контрагентом — обязанность по возмещению ущерба лежит на самом операторе, даже если данные ушли через подрядчика. В судебной практике взыскание убытков составляет 5–10% годового оборота по соответствующему направлению (ст. 236 ГК РФ).

5. Алгоритм для пострадавшего гражданина

При обнаружении утечки персональных данных в публичном доступе:

  • Зафиксируйте скриншоты или сделайте распечатку;
  • Направьте заявление оператору с требованием провести расследование и компенсировать моральный вред (согласно ст. 15 ФЗ-244);
  • Направьте жалобу в Роскомнадзор через портал «Госуслуги» либо по почте, приложив копии обращения к оператору;
  • Подайте иск о защите чести, достоинства и деловой репутации в суд.

Срок для обращения за компенсацией морального вреда — три года с момента, когда гражданин узнал об утрате контроля. Размер компенсации определяется судом исходя из степени физических/психологических страданий и соразмерен характеру нарушения (ст. 23 ФЗ-152).

Что важно запомнить

  • Оператор должен сообщить в Роскомнадзор о утечке не позднее 24 часов с момента выявления.
  • Срок уведомления — 24 часа, форма — по утверждённому образцу.
  • Нарушение уведомлений карается штрафом до 500 тыс. руб. и доначислением по предыдущим нарушениям.
  • При выявлении внутренней утечки работодатель обязан изолировать доступ и провести внутреннее расследование в течение нескольких часов/ночи.
  • Гражданин имеет право требовать компенсацию морального вреда и возмещения убытков с оператора данных, а также жаловаться на утечку в Роскомнадзор и суд.

Регулярная актуализация регламентов ИБ и своевременное информирование регулятора — ключевые условия для снижения административной и гражданско-правовой ответственности.

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — pravo.gov.ru (ИПС «Законодательство России»). Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.