Ежегодно в России фиксируются сотни утечек ПДн. Они случаются как у небольших интернет-магазинов, так и у крупных банков и государственных структур. За каждым таким инцидентом стоит не только репутационный ущерб, но и серьезные меры ответственности оператора, которая с 2025 года существенно возросла.
Когда утечка происходит, время работает против оператора, так как закон отводит всего 24 часа на первичное уведомление регулятора.
Что такое утечка персональных данных
Утечкой ПДн является неправомерная или случайная передача, распространение или предоставление доступа к ПДн лицам, которые не имеют права их получать.
В 152-ФЗ не используется термин «утечка» напрямую, однако ст. 21 устанавливает четкие обязательства оператора при выявлении факта неправомерной или случайной передачи ПДн. При этом неважно, как именно данные оказались у посторонних: в результате взлома, случайной отправки файла не тому адресату или действий недобросовестного сотрудника. Правовые последствия для оператора наступают в каждом из этих случаев.
Категория утекших данных напрямую влияет на размер ответственности. Даже утечка базовых ПДн (ФИО, телефона, email) грозит оператору существенными штрафами, однако утечка специальных или биометрических данных влечет ещё большие санкции для оператора и реальный вред для субъекта вплоть до оформления займов на его имя или кражи личности.
Как происходят утечки ПДн
Причиной утечки ПДн не всегда является целенаправленная атака извне. В значительной части случаев инцидент происходит внутри самой компании. Перечислим самые распространенные причины утечек:
- Внешние кибератаки. Наиболее очевидный, но не единственный вектор. Злоумышленники используют фишинг, взлом уязвимостей в CRM-системах и облачных хранилищах, атаки на открытые порты баз данных. Целью таких действий является получение доступа к массивам ПДн для их дальнейшей продажи или использования в мошеннических схемах.
- Инсайдеры. Нередко причиной инцидентов являются сотрудники компании. Это может быть намеренный слив базы клиентов уволенным менеджером, продажа данных конкурентам или просто халатность: общий доступ к папке с ПДн, пересылка файлов через личную почту.
- Технические ошибки. Неправильно настроенное облачное хранилище, открытая база данных без авторизации, непринятие достаточных мер для защиты данных, ошибка при обновлении системы — все это приводит к тому, что ПДн оказываются в открытом доступе без какого-либо умысла со стороны оператора.
Важно понимать, что отсутствие умысла не освобождает оператора от ответственности. Закон одинаково строг как к намеренным, так и к случайным утечкам ПДн.
Что обязан сделать оператор при утечке ПДн
При выявлении факта неправомерной или случайной передачи ПДн оператор обязан действовать по четкому алгоритму, установленному ст. 21 №152-ФЗ. Промедление на любом из этапов является самостоятельным нарушением и влечет дополнительную ответственность.
Шаг 1. Зафиксировать инцидент. Факт утечки фиксируется внутренним документом с указанием даты и времени обнаружения, предполагаемого объема скомпрометированных данных и их категории.
Шаг 2. Уведомить Роскомнадзор в течение 24 часов. В течение 24 часов с момента обнаружения инцидента оператор обязан направить в РКН первичное уведомление. В нем указываются предполагаемые причины утечки и вред для субъектов ПДн, принятые меры по устранению последствий и контактное лицо для взаимодействия с регулятором. Уведомление Роскомнадзора об утечке ПДн подается через портал pd.rkn.gov.ru.
Шаг 3. Провести внутреннее расследование. Параллельно с уведомлением регулятора запускается внутреннее расследование, в ходе которого устанавливается вектор компрометации, круг лиц, имевших доступ к ПДн, и объем затронутых записей.
Шаг 4. Уведомить Роскомнадзор в течение 72 часов. По итогам расследования в течение 72 часов с момента обнаружения инцидента направляется второе уведомление в РКН. В нем указываются результаты расследования и сведения о лицах, действия которых стали причиной утечки, если оператор смог выявить таковых.
За неуведомление или нарушение срока уведомления об утечке предусмотрена самостоятельная административная ответственность. То есть, если проигнорировать установленную законом обязанность по уведомлению, штраф за это добавится к санкциям за саму утечку. Отдельного внимания заслуживает ситуация, когда утечка произошла в результате внешней атаки: злоумышленники нередко требуют от оператора деньги за молчание о факте взлома, зная, что за сокрытие такой информации от РКн, оператору грозит ответственность. Все эти факторы в совокупности могут серьезно подорвать финансовую устойчивость бизнеса.
Профилактика: как избежать утечки ПДн в будущем
Выстроенная система защиты ПДн обходится значительно дешевле, чем устранение последствий утечки. Минимальный набор мер включает разграничение прав доступа к базам данных, внедрение DLP-систем для контроля передачи информации, регулярный инструктаж сотрудников и актуальную политику обработки ПДн.
Однако техническими мерами задача не исчерпывается. Важно помнить, что утечка ПДн может произойти даже там, где не используются средства автоматизации. Если в компании в систематизированном виде хранятся бумажные носители: картотеки личных дел, архивы и трудовые договоры, они также требуют защиты. Сейфы, шкафы с ключами и ограниченный доступ к архивам являются такими же обязательными мерами, как и защита цифровой инфраструктуры.
Кроме того, стоит учитывать, что проверка РКн, инициированная в связи с фактом утечки, редко ограничивается только ее расследованием. Роскомнадзор нередко попутно выявляет и другие нарушения в сфере обработки ПДн — отсутствие уведомления об обработке, некорректно оформленные согласия, устаревшую политику конфиденциальности. Каждое из них влечет самостоятельную ответственность, а значит, один инцидент может обернуться сразу несколькими штрафами.
Штрафы за утечку ПДН
Ответственность за утечку ПДн регулируется ст. 13.11 КоАП РФ. С 30 мая 2025 года размеры штрафов кратно возросли, а сама статья существенно расширилась. Размер штрафа зависит от объема скомпрометированных данных.
Административная ответственность
Уголовная ответственность
За незаконные использование, передачу, сбор или хранение ПДн наступает уголовная ответственность по ст. 272.1 УК РФ. При отягчающих обстоятельствах максимальное наказание может составить до 10 лет лишения свободы со штрафом до 3 миллионов рублей. Ответственность несут как внешние злоумышленники, так и сотрудники компании, имевшие доступ к ПДн.
Заключение
Масштаб финансовых последствий утечки ПДн не стоит недооценивать: штрафы за сам инцидент, отдельные санкции за нарушение срока уведомления и оборотные штрафы при повторном нарушении могут исчисляться десятками миллионов рублей. Выстроенные процессы обработки ПДн, регулярный правовой аудит и соблюдение требований закона при инциденте способны существенно снизить риски. Даже если утечка уже произошла, обратитесь к юристам: грамотные действия на этом этапе РКН и суд учтут при назначении мер ответственности.
Данную статью вы можете прочитать у нас на сайте.