ГрамотаИБ ГрамотаИБ

Утечка персональных данных: пошаговый алгоритм действий

22.06.2026

Что делать оператору при утечке персональных данных: как зафиксировать инцидент, уведомить Роскомнадзор в течение 24 часов и о результатах расследования за 72 часа (статья 21 152-ФЗ), провести внутреннее расследование, устранить последствия и зафиксировать всё в журнале. Пошаговый план, чтобы не получить отдельный штраф за молчание.

Утечка персональных данных — это не только репутационный удар, но и жёсткие сроки реагирования. С 2022 года статья 21 152-ФЗ обязывает оператора уведомить Роскомнадзор об инциденте очень быстро, а с 2025 года за молчание про утечку — отдельный штраф 1–3 млн рублей. Поэтому действовать нужно по заранее отработанному плану, а не в панике.

Что считается утечкой

Инцидент — это неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных, повлёкшая нарушение прав субъектов: взлом базы, ошибочная рассылка с чужими данными, потеря носителя, доступ уволенного сотрудника, публикация данных в открытом доступе.

Шаг 1. Зафиксировать и локализовать

Зафиксируйте факт и время обнаружения, определите, какие данные и сколько субъектов затронуто, и немедленно перекройте канал утечки (сменить пароли и ключи, отозвать доступы, изолировать систему). Сохраните доказательства (логи) — они понадобятся для расследования.

Шаг 2. Уведомить Роскомнадзор в течение 24 часов

В течение 24 часов с момента выявления подайте предварительное уведомление: сведения о произошедшем инциденте, предполагаемые причины, предполагаемый вред правам субъектов, принятые меры по устранению последствий и контактное лицо для взаимодействия с уполномоченным органом. Уведомление подаётся через сервис Роскомнадзора.

Шаг 3. Внутреннее расследование и уведомление за 72 часа

В течение 72 часов с момента выявления направьте результаты внутреннего расследования и сведения о лицах, чьи действия стали причиной инцидента (при наличии). Расследование должно установить причину, масштаб и достаточность принятых мер.

Шаг 4. Взаимодействие с ГосСОПКА

Если оператор является субъектом критической информационной инфраструктуры или подключён к ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ., об инциденте дополнительно информируется НКЦКИНациональный координационный центр по компьютерным инцидентам — Структура ФСБ, координирующая обнаружение и реагирование на компьютерные инциденты в рамках ГосСОПКА. в установленном порядке. Для большинства обычных операторов достаточно уведомления Роскомнадзора.

Шаг 5. Устранить последствия

Закройте уязвимость, через которую произошла утечка, усильте меры защиты, при необходимости уведомите затронутых субъектов. Цель — не допустить повторения, потому что повторная утечка наказывается оборотным штрафом.

Шаг 6. Зафиксировать в журнале инцидентов

Внесите инцидент, принятые меры и переписку с регулятором в журнал регистрации инцидентов. Это подтверждает, что оператор отреагировал по закону — то, что в первую очередь смотрит проверяющий (см. какие журналы проверяет РКН).

Чего НЕ делать

  • скрывать утечку или тянуть с уведомлением — молчание это отдельный штраф;
  • удалять логи до фиксации доказательств;
  • занижать масштаб — размер штрафа всё равно считается по числу субъектов.

Главное

Сроки 24 и 72 часа очень короткие, поэтому план реагирования нужно подготовить заранее: кто фиксирует, кто подаёт уведомление, где журнал. ГрамотаИБ помогает выстроить организационные меры и вести нужные журналы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.

Персональные данные в стоматологии: пошаговый алгоритм для частной клиники

Полный алгоритм действий частной стоматологической клиники по защите персональных данных пациентов: от признания себя оператором (152-ФЗ) и определения уровня защищённости по ПП-1119 (спецкатегория «здоровье» даёт УЗ-3) до уведомления Роскомнадзора, комплекта документов, мер по приказу ФСТЭК №21, поручений обработчикам и врачебной тайны. Характерный пример для малого бизнеса в медицине.