Уведомление Роскомнадзора об утечке данных: сроки, форма и штрафы в 2026 году

Уведомление Роскомнадзора об утечке данных: сроки, форма и штрафы в 2026 году

Представьте ситуацию: вы обнаружили, что база клиентов вашей компании стала доступна в интернете или сотрудник случайно отправил конфиденциальные данные не тому адресату. Что делать? Молчать и надеяться, что никто не заметит? Это была бы роковая ошибка. С мая 2025 года правила игры изменились кардинально. Теперь молчание стоит дорого - до 3 миллионов рублей для бизнеса.

Обязанность сообщить Роскомнадзору о факте неправомерной или случайной передачи персональных данных больше не является формальностью. Это строгая процедура с жесткими таймингами. Если вы пропустите окно в 24 часа, вы автоматически нарушаете закон. Давайте разберемся, как правильно подать уведомление, какие документы нужны и как избежать многомиллионных штрафов в 2026 году.

Новые реалии: почему сроки стали критичными

До недавнего времени многие операторы персональных данных относились к уведомлениям лениво. Штрафы были смешными - несколько тысяч рублей. Но с 30 мая 2025 года вступили в силу поправки Федерального закона №420-ФЗ. Они создали отдельную статью КоАП РФ (ст. 13.11 ч. 11), которая карает именно за неуведомление об утечке.

Теперь система работает по принципу «двух этапов». Вы не можете ждать, пока закончите полное расследование инцидента, чтобы сообщить государству. Закон требует оперативности:

  • Первичное уведомление: должно быть отправлено в течение 24 часов с момента обнаружения инцидента. Даже если вы знаете только половину правды.
  • Уточненное уведомление: направляется в течение 72 часов. Здесь уже должны быть результаты внутреннего расследования, точные цифры и план действий.

Если через 72 часа расследование еще не завершено, вы все равно обязаны отправить уточненную часть с теми данными, которые у вас есть на данный момент. Отсутствие информации не освобождает от обязанности сообщать.

Что считается утечкой? Границы ответственности

Не каждый сбой в работе системы является основанием для паники и звонка в регулятор. Чтобы возникла обязанность уведомлять, должны совпасть два условия:

  1. Произошел факт неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным.
  2. Это событие повлекло нарушение прав хотя бы одного субъекта персональных данных (клиента, сотрудника, партнера).

Типичные примеры, когда уведомление обязательно:

  • Ошибка в настройках облачного хранилища, из-за которой файлы с паспортными данными стали доступны всем в сети.
  • Случайная рассылка базы сотрудников на внешний email-адрес вместо внутреннего списка.
  • Взлом учетной записи сотрудника мошенниками, который привел к скачиванию клиентской базы.
  • Предоставление доступа к базе данных подрядчику без надлежащего договора и согласования.

Важный нюанс: даже если вы не нашли доказательств того, что злоумышленники реально использовали украденные данные, обязанность уведомить сохраняется. Достаточно факта потенциальной угрозы правам субъектов. Если же инцидент был внутренним, например, тестирование на обезличенных данных, где восстановить личность человека невозможно, уведомлять не нужно. Но в спорных случаях эксперты советуют перестраховаться и отправить сообщение.

Форма подачи: только электронно, только через Госуслуги

Забудьте про бумажные письма и курьеров. Уведомление об утечке подается исключительно в электронном виде через специальный сервис на портале персональных данных Роскомнадзора. Бумажные копии не требуются.

Для входа в систему вам понадобится подтвержденная учетная запись в ЕСИА (Единая система идентификации и аутентификации). Если вы действуете от имени юридического лица или ИП, профиль пользователя должен быть привязан к организации в реестре ФНС и отображаться в личном кабинете на портале Госуслуг.

Этот процесс отличается от общих уведомлений о начале обработки данных, которые можно было раньше подавать на бумаге или с усиленной квалифицированной электронной подписью (УКЭП). Для аварийных сообщений об утечке используется только авторизация через ЕСИА. Это сделано специально, чтобы ускорить реакцию компаний.

Сравнение штрафов за неуведомление об утечке ПДн (до и после 30.05.2025)
Категория нарушителя Штраф ДО 30.05.2025 (ст. 19.7 КоАП) Штраф ПОСЛЕ 30.05.2025 (ст. 13.11 ч. 11 КоАП)
Граждане (физлица) 100 - 300 руб. 50 000 - 100 000 руб.
Должностные лица 300 - 500 руб. 400 000 - 800 000 руб.
Юридические лица / ИП 3 000 - 5 000 руб. 1 000 000 - 3 000 000 руб.
Злодей в ретро-стиле крадет данные через брешь в цифровой защите

Что писать в уведомлении: пошаговый разбор

Форма на сайте Роскомнадзора содержит конкретные поля. Заполнять их нужно честно и подробно. Ложная информация может привести к дополнительным проверкам.

Первичное уведомление (в первые 24 часа)

На этом этапе ваша задача - предупредить регулятор. У вас может не быть всех деталей, поэтому допускаются оценочные данные.

  • Сведения об операторе: наименование, ОГРН/ИНН, контактное лицо, телефон и email.
  • Дата и время: точный момент, когда вы обнаружили инцидент.
  • Описание события: кратко, что произошло (например, «ошибка настройки прав доступа» или «фишинговая атака»).
  • Категории данных: какие именно данные пострадали (ФИО, адреса, номера паспортов, финансовые данные).
  • Количество субъектов: предполагаемое число затронутых людей. Можно указать диапазон (например, «от 100 до 500 человек»), если точная цифра еще неизвестна.
  • Принятые меры: что вы уже сделали прямо сейчас (блокировка доступа, смена паролей, отключение сервера).

Уточненное уведомление (в течение 72 часов)

Здесь вы предоставляете итог внутреннего расследования. Используйте номер и ключ первичного уведомления, чтобы система сопоставила сообщения.

  • Результаты расследования: точная причина инцидента, вектор атаки или описание ошибки.
  • Итоговые меры: что было внедрено для устранения уязвимости (обновления, новые политики безопасности, обучение персонала).
  • Реальные последствия: подтвержденное количество пострадавших, факты обращения граждан с жалобами.
  • План профилактики: шаги, чтобы это не повторилось (аудит, установка нового ПО, изменение регламентов).

Подготовка бизнеса: как не пропустить срок

Многие компании теряют эти 24 часа просто потому, что не знают, кто и как должен действовать. Юристы и аудиторы рекомендуют внедрить внутренний регламент реагирования заранее.

Что нужно сделать прямо сейчас:

  1. Проверьте доступы: убедитесь, что у ответственного сотрудника (обычно это руководитель IT-отдела или юрист) есть подтвержденная учетная запись на Госуслугах, привязанная к вашей организации.
  2. Назначьте ответственных: пропишите в локальных документах, кто принимает решение о подаче уведомления. Не ждите собраний совета директоров.
  3. Создайте шаблон: подготовьте черновик текста первичного уведомления, чтобы при инциденте осталось только вставить даты и цифры.
  4. Обучите сотрудников: технические специалисты часто боятся сообщать о проблемах, опасаясь наказания. Объясните им, что своевременное сообщение спасает компанию от штрафов.

Запомните: само по себе своевременное уведомление может стать смягчающим обстоятельством при оценке тяжести нарушения. Регулятор видит, что компания действует прозрачно и пытается минимизировать ущерб.

Штраф за нарушение: гигантский мешок денег уносит строгий чиновник

Частые ошибки при заполнении формы

Анализ практики показывает типичные проблемы, с которыми сталкиваются операторы:

  • Отсутствие привязки профиля: сотрудник входит в систему под своим личным профилем, но он не связан с юридическим лицом в реестре. Система не дает создать уведомление.
  • Занижение масштабов: попытка скрыть реальное количество пострадавших. При последующей проверке это расценивается как умысел и усугубляет ответственность.
  • Путаница с видами уведомлений: некоторые пытаются подать форму об изменении сведений об обработке вместо формы об инциденте. Это разные разделы портала.
  • Задержка расследования: ожидание полного отчета от внешних аудиторов более 72 часов. Закон требует промежуточного отчета даже при незавершенном процессе.

Отраслевые перспективы и выводы

Тренд очевиден: государство ужесточает контроль над цифровой безопасностью. За 14 лет действия закона №152-ФЗ требования эволюционировали от простых деклараций к жесткому комплаенсу. Введение штрафов до 3 миллионов рублей за одно лишь отсутствие уведомления сигнализирует о том, что тема защиты персональных данных стала вопросом финансовой устойчивости бизнеса.

Ожидать смягчения режима в ближайшие годы не приходится. Напротив, прогнозируется дальнейшая автоматизация взаимодействия с порталом Роскомнадзора и интеграция систем мониторинга инцидентов с государственными сервисами. Компании, которые сегодня настроят внутренние процессы на соблюдение 24-часового окна, будут защищены от самых серьезных финансовых рисков завтра.

Нужно ли уведомлять Роскомнадзор, если утечка данных произошла внутри компании?

Если инцидент ограничился внутренним доступом в рамках установленных полномочий и не повлек нарушения прав субъектов (например, тестирование на обезличенных данных), уведомлять не обязательно. Однако если данные стали доступны сотруднику без соответствующих прав или есть риск их дальнейшего распространения, уведомление необходимо.

Можно ли подать уведомление об утечке в бумажном виде?

Нет. Уведомление о факте неправомерной или случайной передачи персональных данных подается исключительно в электронном виде через специальный сервис на портале персональных данных Роскомнадзора с использованием учетной записи ЕСИА.

Что будет, если я не успею собрать полную информацию за 24 часа?

Вы обязаны отправить первичное уведомление в течение 24 часов с имеющимися данными, включая оценочные цифры. Полная детализация предоставляется в уточненном уведомлении в течение 72 часов. Пропуск 24-часового срока сам по себе является нарушением.

Какой штраф грозит за несвоевременное уведомление об утечке в 2026 году?

Согласно ст. 13.11 ч. 11 КоАП РФ, штрафы составляют: для граждан - от 50 000 до 100 000 руб., для должностных лиц - от 400 000 до 800 000 руб., для юридических лиц и ИП - от 1 000 000 до 3 000 000 руб.

Какую учетную запись использовать для входа в сервис уведомлений?

Требуется подтвержденная учетная запись на портале Госуслуг (ЕСИА). Для организаций профиль пользователя должен быть привязан к юридическому лицу в соответствии с данными ФНС.