Если с вашего сайта утекли персональные данные клиентов — счёт идёт на часы. По 152-ФЗ оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения. С 2025 года за саму утечку действуют оборотные штрафы. Разбираем, что делать по шагам.

Это аварийный сценарий 152-ФЗ. Профилактика — в чек-листе подготовки к проверке РКН, общий обзор — в пиллар-чек-листе.

1. Что считается утечкой

Утечка — это любая неправомерная или случайная передача персональных данных, повлёкшая их распространение или доступ посторонних: взлом базы, ошибка в настройке доступа, слитый бэкап, действия сотрудника, открытый каталог на сервере. Объём не важен — даже одна анкета с email и телефоном подпадает под обязанность уведомить РКН.

2. Уведомление РКН за 24 часа

Первое уведомление подаётся в течение суток с момента обнаружения инцидента — через форму на портале Роскомнадзора. В нём указывают предполагаемую причину, состав данных и принятые меры.

«Оператор обязан в течение двадцати четырёх часов уведомить уполномоченный орган по защите прав субъектов персональных данных… о произошедшем инциденте.»

Через 72 часа подаётся второе уведомление — с результатами внутреннего расследования причин.

3. Штрафы: за утечку и за молчание

С 30 мая 2025 года введены оборотные штрафы (ст. 13.11 ч. 13–14 КоАП): при первой утечке — фиксированные 3–15 млн ₽ в зависимости от объёма, при повторной — 0,1–3% годовой выручки, но не более 500 млн ₽. Само неуведомление РКН в срок — отдельный состав. Подробно о суммах — в статье «Штрафы РКН в 2026».

4. План действий при утечке

  1. Зафиксировать факт и время обнаружения, сделать скриншоты/логи.
  2. Локализовать — закрыть доступ, сменить пароли и ключи, остановить утечку.
  3. В течение 24 часов — первое уведомление в РКН.
  4. Провести расследование причин, в течение 72 часов — второе уведомление.
  5. Уведомить затронутых субъектов, если требуется.
  6. Задокументировать принятые меры — это смягчает ответственность.

Как снизить риск заранее

Большинство утечек начинается с типовых дыр: формы без защиты, открытый доступ к БД, отсутствие согласий. Запустите бесплатную экспресс-проверку на главной — увидите слабые места по 152-ФЗ. Для разбора инцидента и ответа регулятору лучше подключить юриста.

Источники