Чек-лист: как избежать штрафов за утечку персональных данных
На Россию приходится 2,9% от общего числа мировых штрафов за утечку персональных данных (ПДн). Наши суммы выглядят смешными по сравнению с теми, на которые попадают западные компании, несмотря на то, что с мая прошлого года была ужесточена административная ответственность за утечки ПДн. Например, популярная российская онлайн-школа получила штраф в 400 тыс. руб. за утечку около полумиллиона строк с ПДн клиентов. Это фамилии, имена, номера телефонов, адреса электронных почт и т. д.
Рекорд на Западе — это 620 млн долларов за неправомерную передачу персональных данных европейских пользователей в Китай платформой TikTok. Средний размер штрафа за утечку персональных данных в мире составляет около 4,26 млн долларов. Россия, без сомнения, будет догонять остальной мир и уже ужесточает регуляторику. Так что же делать, чтобы избежать штрафов за утечку ПДн?
Не так страшен штраф, как его репутационные последствия
Прошло уже больше года после принятия поправок КоАП РФ. С мая 2025 года компании, занимающиеся хранением и обработкой персональных данных, рискуют попасть на крупные штрафы за утечки баз данных людей, информацию о которых обрабатывают. Размер штрафа по 152-ФЗ для юридических лиц составляет от 3 до 500 млн руб. в зависимости от тяжести нарушения и повторности. При этом важно понимать: штраф — это лишь прямая мера ответственности. Косвенные потери (падение лояльности, отток клиентов, судебные иски, затраты на пост-инцидентное восстановление) в среднем в 3–5 раз превышают эту сумму.
Таким образом, экономическая модель риска утечки сместилась — даже если компания готова заплатить штраф, она не готова к репутационному и операционному ущербу. Следовательно, инвестиции в предотвращение утечек и реагирование на инциденты становятся не комплаенс-расходом, а страховкой бизнеса. В первую очередь, любая организация, работающая с персональными данными, а значит и являющаяся оператором ПДн, должна иметь чёткую схему обнаружения, оценки и реагирования на утечки.
Классификация передачи персональных данных
Утечкой ПДн называют ситуации, связанные с неправомерной или случайной передачей персональных данных. В соответствии со 152-ФЗ существуют три формы передачи данных — предоставление, распространение и доступ. Статья 2 149-ФЗ дает определения этих терминов. Предоставление — передача данных ограниченному кругу лиц, распространение — неограниченному кругу лиц, а доступ — это возможность получения информации и ее использования.
Например, размещая ИСПДн в инфраструктуре облачного провайдера, компания тем самым предоставляет ему доступ, как минимум физический.
Исходя из этого, возникает закономерный вопрос, когда же передача ПДн правомерна?
Ключевые условия — передача данных должна выполняться на законной основе (требования законодательства, международного договора, согласие на передачу), а их объем и содержание соответствовать целям обработки и не быть избыточными.
Еще один важный момент — передача не должна повлечь нарушение прав субъектов ПДн. На этом пункте остановимся подробнее. Глава 2 Конституции и глава 3 152-ФЗ закрепляют защиту не только формальных идентификаторов (ФИО, адрес, ИНН), но и более широких прав: достоинство личности, неприкосновенность частной жизни, личная и семейная тайна.
Вспомним, например, историю с публикацией данных, украденных в сервисе для заказа еды. Казалось бы, если неограниченный круг лиц знает, какую еду куда ты заказывал, то в чем вред? Но путём нехитрого анализа люди узнали об изменах супругов, а это уже нарушение личной тайны.
Сигналы о потенциальной утечке
Существует несколько основных причин возникновения утечек персональных данных. Технические:
- уязвимости в приложениях,
- неправильные права доступа,
- отсутствие шифрования,
- воздействие вредоносного кода,
- сбои.
Процессные:
- недостатки процедур обработки и защиты,
- отсутствие политик конфиденциальности,
- неактуальная инвентаризационная информация об обрабатываемых данных,
- недостатки моделей угроз.
Человеческие:
- ошибки персонала,
- фишинг‑атаки,
- инсайдерские действия,
- работа с подрядчиками без надлежащего контроля,
- осознанное нарушение утвержденных процедур обработки и защиты данных.
Исходя из этого, делаем простой вывод: инвестиции в техническую защиту без изменения процессов и культуры безопасности не помогут избежать рисков. Основной эффект даёт комбинация: технические средства + чёткие процедуры + регулярное обучение и контроль сотрудников.
21 статья 152-ФЗ обязывает операторов выявлять факты утечек ПДн и в течение 24 часов информировать об этом РКН, а в отдельных случаях и ГосСОПКА. Откуда же можно узнать о возможной утечке ПДн?
Среди наиболее распространённых вариантов:
- результаты внутреннего контроля и мониторинга;
- результаты анализа защищенности;
- обращения субъекта ПДн;
- уведомления от РКН, Банка России;
- постановления о производстве следственного действия.
Убедиться, что утечка относится именно к вашей компании, можно с помощью простого сравнения. Существуют три критерия уникальности, которые позволяют быстро «привязать» утечку к организации.
Если хотя бы один из этих критериев совпадает, вероятность того, что утечка относится к вам, достаточно высока.
Алгоритм процесса реагирования
После получения сигнала оператор ПДн должен начать трёхэтапный процесс реагирования.
1. Установление факта — проверка достоверности сигнала, сравнение с журналами доступа и сетевого трафика.
2. Расследование и реагирование — локализация источника, ограничение дальнейшего распространения, подготовка уведомлений для регуляторов и субъектов.
Структура уведомления в Роскомнадзор выглядит следующим образом:
- Краткое описание инцидента (дата, тип передачи, объём данных).
- Оценка ущерба (финансовый, репутационный, моральный).
- Принятые меры (локализация, технические действия, корректирующие шаги).
- План дальнейших действий (проведение полного аудита, сроки исправления).
- Контактные данные ответственного лица
3. Корректирующие меры — устранение первопричины, обновление политик, проведение пост‑инцидентного анализа (RCA).
Эти шаги полностью соответствуют требованиям ISO 27001/27701 и NIST CSF, но я добавляю параллельный блок оценки ущерба, чтобы успеть подготовить отчёт в течение 72 часов согласно требованиям 152-ФЗ.
ФЗ‑152 обязывает проводить оценку вреда субъектам и оценку эффективности мер минимум раз в три года. Но я рекомендую ежегодный (а лучше ежеквартальный) экспресс‑аудит, который позволяет:
- зафиксировать MTTD (среднее время обнаружения инцидента) ≤ 4 ч;
- зафиксировать MTTR (среднее время реагирования) ≤ 24 ч;
- поддерживать % закрытых инцидентов в рамках SLA ≥ 95 %.
Эти KPI легко интегрировать в системы мониторинга и демонстрировать регуляторам.
Чек-лист для операторов ПДн
- Внедряем классификацию правил передачи данных (предоставление/ распространение/ доступ) в политику конфиденциальности. Как правило, автоматическое срабатывание DLP‑правил происходит в 95% случаев.
- Создаём матрицу уникальности (поле → структура → комбинация) и пишем скрипт сравнения с публичными утечками. В случае утечки это позволит выиграть ≤ 2 ч.
- Разрабатываем модульный шаблон оценки нарушения прав субъектов (с обязательным ручным подтверждением), что сокращает время первичной оценки до 30 мин.
- Вводим KPI: MTTD ≤ 4 ч, MTTR ≤ 24 ч, % SLA ≥ 95 %.
- Готовим набор шаблонов уведомлений для всех регуляторов и публичных заявлений.
- Проводим ежегодное сценарное тестирование с участием ИТ, юридического отдела и PR, выявляем пробелы в процессах, повышаем готовность к реальному инциденту.
- Согласовываем график внешних аудитов (ISO 27001/27701, ГОСТ 57580.1) и минимум один внутренний контроль в год.
- Обучаем персонал (фишинг‑тренинги, работа с данными) минимум два раза в год.
Утечка персональных данных — это не просто техническая проблема, а регулятивный и репутационный риск, который может обернуться крупными штрафами и потерей доверия клиентов. Выигрывает не тот, кто гарантирует «абсолютную защиту» (она невозможна), а тот, кто выстроил систему быстрого обнаружения, точной классификации и регламентированного реагирования. Применение описанных методик позволяет:
- сократить время обнаружения до 4 часов;
- уложиться в 24-часовое уведомление регулятора;
- снизить репутационные потери за счёт контролируемой коммуникации;
- демонстрировать регуляторам измеримую эффективность.
В условиях растущей надзорной нагрузки и повышения штрафов такой подход становится не рекомендацией, а необходимостью для любого оператора персональных данных.
