14.07.2026 15:35
СЗФО

Эксперт: Почему важно сообщать об утечке персональных данных

Текст:  Андрей Лихачев ( руководитель юридической компании "Хелп Консалтинг")
Российская газета - Экономика Северо-Запада: №154 (9990)
Специалисты Роскомнадзора в феврале и марте 2026 года зафиксировали кратный рост DDoS-атак на государственные информационные ресурсы. Их количество за неделю в среднем увеличилось с 350 до 949. Однако от хакерских атак сегодня не застрахован никто, и очень важно знать, как правильно действовать, если такая атака увенчалась успехом. Потому что позиция жертвы в данном случае не снимает с компании ответственности.
Андрей Лихечев: азмер ответственности за утечку зависит от нескольких факторов. кторов: / Из личного архива Андрея Лихечева
Читать на сайте RG.RU

При выявлении утечки персональных данных в первую очередь необходимо соблюдать требования статьи 21 закона 152-ФЗ "О персональных данных", а именно в течение 24 часов с момента обнаружения утечки уведомить Роскомнадзор об этом инциденте и возможных причинах утечки.

Обратите внимание: закон также содержит требование об уведомлении Роскомнадзора о результатах внутреннего расследования по факту утечки. Срок на это уведомление - 72 часа с момента выявления факта утечки.

Почему важно это делать? За отсутствие уведомления Роскомнадзора предусмотрена самостоятельная ответственность по части 11 статьи 13.11 КоАП РФ. Причем вы можете быть оштрафованы не только за неотправку или несвоевременную отправку первого уведомления о самом факте утечки, но и за подобные нарушения в отношении второго уведомления о результатах расследования. Размер ответственности за утечку зависит от следующих факторов: количество субъектов, данные которых раскрыты/количество "утекших" идентификаторов (например, номеров телефонов, адресов электронной почты и т. п.), категория раскрытых данных (обычные/специальные/биометрические). Утечка является первичной или нарушение повторное? При повторной утечке, когда оператор уже был ранее привлечен к административной ответственности за подобное нарушение, включается механизм "оборотных штрафов".

Не стоит пытаться скрыть факт утечки, поскольку подобное поведение Роскомнадзор расценит как недобросовестное и к административной ответственности тогда привлекут не только за саму утечку данных, но и за попытку скрыть инцидент.

Пенсионер из Петербурга отдал мошенникам почти 100 миллионов рублей

Факт утечки - основание для внеплановой проверки со стороны Роскомнадзора, о ней обязаны уведомить за 24 часа до прихода сотрудника РКН.

Как подготовиться? Все базовые документы в области обработки и защиты персональных данных необходимо привести в порядок. Это нужно для того, чтобы в ходе проверки избежать административной ответственности за другие нарушения 152-ФЗ (например, отсутствие опубликованной на сайте компании политики конфиденциальности, нарушение порядка получения согласий на обработку персональных данных).

Затем необходимо постараться выявить реальную причину утечки - кто виноват в произошедшем? Недобросовестный бывший сотрудник? Хакеры? Или же проблема в уязвимости вашей системы защиты персональных данных? Если причина утечки - неправомерные действия третьих лиц (бывших сотрудников, хакеров), необходимо обратиться в полицию в связи со случившимся фактом преступления. Это будет одним из подтверждений вашей добросовестности в глазах проверяющего инспектора Роскомнадзора.

Также, чтобы наиболее полно подготовиться к проверке Роскомнадзора, можно попросить инспектора заранее сообщить, какие документы ему потребуются.

СЗФО Санкт-Петербург