ФЗскан.РФ

Утечка персональных данных: 24 часа на уведомление РКН и оборотные штрафы

10 мая 2026 г. · 2 мин чтения

Узнали об утечке? У вас 24 часа на первичное уведомление РКН и 72 часа на отчёт о расследовании. Иначе оборотный штраф до 500 млн ₽.

Новые сроки уведомления

С 1 сентября 2022 года статья 21 152-ФЗ обязывает оператора в течение 24 часов уведомить Роскомнадзор о любом инциденте, повлекшем неправомерную или случайную передачу персональных данных третьим лицам.

В течение 72 часов с момента инцидента нужно направить второе уведомление — с результатами внутреннего расследования.

Сроки жёсткие. Опоздание — отдельный состав по статье 13.11 КоАП РФ со штрафом до 3 000 000 ₽ по новой шкале 420-ФЗ.

Что считается утечкой

Утечкой признаётся любой инцидент, при котором ПДн стали доступны лицам, не имеющим на это законных оснований:

  • взлом сайта или базы данных
  • публикация ПДн в открытом доступе по ошибке (например, в Excel-файле на сайте)
  • отправка персональных данных не тому адресату
  • утеря бумажного носителя или ноутбука с ПДн
  • слив данных сотрудником (даже непреднамеренный)
  • компрометация доступа к админке через украденный пароль

Что писать в уведомлении

Первичное уведомление (24 часа) должно содержать:

  1. Сведения об операторе
  2. Дату и время выявления инцидента
  3. Категории затронутых ПДн (ФИО, контакты, паспорта и т.д.)
  4. Категории субъектов (клиенты, работники, посетители)
  5. Примерное число пострадавших
  6. Краткое описание обстоятельств
  7. Контактное лицо для связи с РКН

В течение 72 часов — отчёт о расследовании: причины, технические детали, принятые меры, оценка рисков.

Через какую форму подавать

Через личный кабинет оператора на pd.rkn.gov.ru — раздел «Уведомление об инцидентах». Если личного кабинета нет (вы не подавали основное уведомление о намерении обрабатывать ПДн) — параллельно подаётся и оно. Шпаргалка для уведомления →

Оборотные штрафы за повторные утечки

После 420-ФЗ за повторную утечку свыше 100 000 ПДн введён оборотный штраф: от 0,1% до 3% годовой выручки за календарный год, предшествующий году совершения нарушения. Минимум — 20 млн ₽, максимум — 500 млн ₽.

Это означает, что компания с выручкой 1 млрд ₽ за повторную крупную утечку платит минимум 20 млн ₽ независимо от размера компании, даже если 1% от выручки = 10 млн.

Как снизить риск

  1. Обновите политику обработки ПДн — она должна явно описывать процесс реагирования на инциденты. Сгенерировать политику →
  2. Утвердите внутренний регламент реагирования и журнал обращений. Пакет внутренних документов →
  3. Назначьте ответственного за обработку ПДн (ст. 22.1) — именно он будет уведомлять РКН в случае инцидента
  4. Регулярно проверяйте сайт на уязвимости и соответствие 152-ФЗ — бесплатно за 30 секунд →
Важно: «не уведомлять, авось не узнают» — самая дорогая стратегия. РКН активно мониторит публикации об утечках в СМИ и Telegram-каналах. Срок исковой давности по таким нарушениям — 1 год с момента выявления.

Читайте также

10 мая 2026 г.

Локализация персональных данных в России: статья 18 ч. 5 152-ФЗ простыми словами

База данных с ПДн россиян должна физически находиться на серверах в РФ. Что считается локализацией, кто проверяет, что грозит за нарушение.

10 мая 2026 г.

Кнопка WhatsApp на сайте — это трансграничная передача ПДн. Что делать

WhatsApp принадлежит Meta — это автоматически делает его трансграничной передачей данных. Нужно отдельное уведомление в РКН и согласие пользователя.

10 мая 2026 г.

Cookie-баннер на российском сайте по 152-ФЗ: нужен ли и как сделать правильно

Нужен ли cookie-баннер по российскому закону? Чем требования 152-ФЗ отличаются от GDPR. Когда баннер обязателен и как его сделать корректно.

Проверьте свой сайт на 152-ФЗ

Бесплатная автопроверка — за 30 секунд получите отчёт со всеми нарушениями.

Проверить мой сайт →