Утечка персональных данных: пошаговый план оператора и штрафы 2026
С 30 мая 2025 года утечка персональных данных в России стала отдельным составом административного правонарушения с серьёзными штрафами — до 15 миллионов рублей за разовую утечку и до 3% годовой выручки при повторе или массовости.
При этом часть штрафа можно избежать или снизить, если оператор уложился в сжатые сроки уведомления Роскомнадзора и принял меры. Разбираем алгоритм действий в первые 24 и 72 часа.
Что считается утечкой по 152-ФЗ
Утечка — это любое несанкционированное распространение, доступ, изменение или уничтожение персональных данных. Не обязательно публичная публикация: даже доступ постороннего сотрудника к базе клиентов является утечкой.
- Слив базы клиентов в открытый интернет или Telegram-каналы.
- Доступ хакера к админ-панели сайта или CRM.
- Уход сотрудника с базой клиентов на флешке.
- Ошибочная отправка письма с базой контактов «не туда» (broadcast вместо bcc).
- Потеря ноутбука с незашифрованной базой ПДн.
Сроки и формы уведомлений
Закон установил два срока — 24 и 72 часа. Их нарушение само по себе наказывается отдельным штрафом.
- В течение 24 часов с момента обнаружения утечки — уведомить Роскомнадзор через ЛК pd.rkn.gov.ru.
- В течение 72 часов — направить расширенную информацию: что случилось, какие категории и сколько субъектов затронуты, какие меры приняты.
- Параллельно — уведомить субъектов, чьи данные могли попасть в утечку. Это обязательное требование к публичным операторам.
Размеры штрафов
Размер штрафа зависит от масштаба утечки и от того, утечка ли это в первый раз. С 30 мая 2025 года действуют новые редакции ч. 13 и ч. 14 ст. 13.11 КоАП.
- Утечка до 1 000 субъектов — для юрлиц от 3 до 5 млн ₽.
- 1 000 – 10 000 субъектов — от 5 до 10 млн ₽.
- 10 000 – 100 000 субъектов — от 10 до 15 млн ₽.
- Свыше 100 000 субъектов или повторная утечка — оборотный штраф 1–3% выручки, но не менее 25 млн ₽.
- Нарушение сроков уведомления Роскомнадзора — отдельный штраф до 3 млн ₽.
Как снизить риски заранее
Большинство утечек на небольших сайтах — следствие технических и организационных просчётов, а не сложных атак. Базовые меры:
- HTTPS на всём сайте, в том числе на формах и в админке.
- Сильные пароли и двухфакторная аутентификация для админов.
- Доступ к базам и админкам только по белому списку IP / VPN.
- Резервные копии, хранящиеся отдельно и зашифрованные.
- Минимизация данных: не собирать поля, которые реально не используются.
- Регулярный аудит сайта на наличие новых форм, скриптов и точек утечки.
Частые вопросы
Что считать «обнаружением» утечки для отсчёта 24 часов?+
Момент, когда оператор фактически узнал о факте утечки: сообщение от службы безопасности, жалоба клиента, публикация базы в открытом доступе. С этого момента идёт отсчёт 24 часов на первичное уведомление.
Нужно ли уведомлять субъектов?+
Да. Закон обязывает оператора уведомить субъектов, чьи данные могли быть затронуты. Делается это по доступному каналу связи (email, SMS), а для массовых утечек — также через публикацию на сайте.
Можно ли избежать штрафа, если утечка незначительная?+
Если утечка единичная, оператор уложился в сроки и принял меры (например, восстановил доступ, уведомил субъектов), возможны минимальные пороги штрафа или даже предупреждение по ч. 1 ст. 4.1.1 КоАП. Но это решение остаётся за Роскомнадзором и судом.
Ещё по теме
Штрафы за нарушение 152-ФЗ в 2026 году: за что и сколько
Сколько составляют штрафы по 152-ФЗ в 2026 году, за что их выписывают и как закрыть нарушения на сайте заранее.
Чек-лист: что должно быть на сайте по 152-ФЗ в 2026 году
Список из 12 пунктов, по которым можно за один день проверить сайт на соответствие 152-ФЗ — от политики и согласий до cookie-баннера и форм.
Cookie-баннер по 152-ФЗ: реальное согласие, а не «всплывашка»
Что Роскомнадзор считает «настоящим» cookie-баннером, какие cookies можно ставить до согласия и почему «продолжая, вы соглашаетесь» уже не работает.