Чек-лист: как избежать штрафов за утечку персональных данных

4 мин
45
4
6 июля 2026
Чек-лист: как избежать штрафов за утечку персональных данных

На Россию приходится 2,9% от общего числа мировых штрафов за утечку персональных данных (ПДн). Наши суммы выглядят смешными по сравнению с теми, на которые попадают западные компании, несмотря на то, что с мая прошлого года была ужесточена административная ответственность за утечки ПДн. Например, популярная российская онлайн-школа получила штраф в 400 тыс. руб. за утечку около полумиллиона строк с ПДн клиентов. Это фамилии, имена, номера телефонов, адреса электронных почт и т. д.

Рекорд на Западе — это 620 млн долларов за неправомерную передачу персональных данных европейских пользователей в Китай платформой TikTok. Средний размер штрафа за утечку персональных данных в мире составляет около 4,26 млн долларов. Россия, без сомнения, будет догонять остальной мир и уже ужесточает регуляторику. Так что же делать, чтобы избежать штрафов за утечку ПДн?

Не так страшен штраф, как его репутационные последствия

Прошло уже больше года после принятия поправок КоАП РФ. С мая 2025 года компании, занимающиеся хранением и обработкой персональных данных, рискуют попасть на крупные штрафы за утечки баз данных людей, информацию о которых обрабатывают. Размер штрафа по 152-ФЗ для юридических лиц составляет от 3 до 500 млн руб. в зависимости от тяжести нарушения и повторности. При этом важно понимать: штраф — это лишь прямая мера ответственности. Косвенные потери (падение лояльности, отток клиентов, судебные иски, затраты на пост-инцидентное восстановление) в среднем в 3–5 раз превышают эту сумму.

Таким образом, экономическая модель риска утечки сместилась — даже если компания готова заплатить штраф, она не готова к репутационному и операционному ущербу. Следовательно, инвестиции в предотвращение утечек и реагирование на инциденты становятся не комплаенс-расходом, а страховкой бизнеса. В первую очередь, любая организация, работающая с персональными данными, а значит и являющаяся оператором ПДн, должна иметь чёткую схему обнаружения, оценки и реагирования на утечки.

Классификация передачи персональных данных

Утечкой ПДн называют ситуации, связанные с неправомерной или случайной передачей персональных данных. В соответствии со 152-ФЗ существуют три формы передачи данных — предоставление, распространение и доступ. Статья 2 149-ФЗ дает определения этих терминов. Предоставление — передача данных ограниченному кругу лиц, распространение — неограниченному кругу лиц, а доступ — это возможность получения информации и ее использования.

Например, размещая ИСПДн в инфраструктуре облачного провайдера, компания тем самым предоставляет ему доступ, как минимум физический.

Исходя из этого, возникает закономерный вопрос, когда же передача ПДн правомерна?

Ключевые условия — передача данных должна выполняться на законной основе (требования законодательства, международного договора, согласие на передачу), а их объем и содержание соответствовать целям обработки и не быть избыточными.

Еще один важный момент — передача не должна повлечь нарушение прав субъектов ПДн. На этом пункте остановимся подробнее. Глава 2 Конституции и глава 3 152-ФЗ закрепляют защиту не только формальных идентификаторов (ФИО, адрес, ИНН), но и более широких прав: достоинство личности, неприкосновенность частной жизни, личная и семейная тайна.

Вспомним, например, историю с публикацией данных, украденных в сервисе для заказа еды. Казалось бы, если неограниченный круг лиц знает, какую еду куда ты заказывал, то в чем вред? Но путём нехитрого анализа люди узнали об изменах супругов, а это уже нарушение личной тайны.

Сигналы о потенциальной утечке

Существует несколько основных причин возникновения утечек персональных данных. Технические:

  • уязвимости в приложениях,
  • неправильные права доступа,
  • отсутствие шифрования,
  • воздействие вредоносного кода,
  • сбои.

Процессные:

  • недостатки процедур обработки и защиты,
  • отсутствие политик конфиденциальности,
  • неактуальная инвентаризационная информация об обрабатываемых данных,
  • недостатки моделей угроз.

Человеческие:

  • ошибки персонала,
  • фишинг‑атаки,
  • инсайдерские действия,
  • работа с подрядчиками без надлежащего контроля,
  • осознанное нарушение утвержденных процедур обработки и защиты данных.

Исходя из этого, делаем простой вывод: инвестиции в техническую защиту без изменения процессов и культуры безопасности не помогут избежать рисков. Основной эффект даёт комбинация: технические средства + чёткие процедуры + регулярное обучение и контроль сотрудников.

21 статья 152-ФЗ обязывает операторов выявлять факты утечек ПДн и в течение 24 часов информировать об этом РКН, а в отдельных случаях и ГосСОПКА. Откуда же можно узнать о возможной утечке ПДн?

Среди наиболее распространённых вариантов:

  • результаты внутреннего контроля и мониторинга;
  • результаты анализа защищенности;
  • обращения субъекта ПДн;
  • уведомления от РКН, Банка России;
  • постановления о производстве следственного действия.

Убедиться, что утечка относится именно к вашей компании, можно с помощью простого сравнения. Существуют три критерия уникальности, которые позволяют быстро «привязать» утечку к организации.

Критерий уникальности

Что проверяем

Как измеряем

Поля

Наличие специфических атрибутов (ИНН, номер полиса ОМС, банковские реквизиты)

Поиск по ключевым полям в утёкшей базе

Структура

Способ кодирования/ хэширования, нестандартные форматы

Сравнение хэш-сумм, проверка наличия специфического маскирования

Структура набора записей

Комбинация полей, характерная только для вашего бизнес-процесса

Сопоставление с внутренними справочниками

Если хотя бы один из этих критериев совпадает, вероятность того, что утечка относится к вам, достаточно высока.

Алгоритм процесса реагирования

После получения сигнала оператор ПДн должен начать трёхэтапный процесс реагирования.

1. Установление факта — проверка достоверности сигнала, сравнение с журналами доступа и сетевого трафика.
2. Расследование и реагирование — локализация источника, ограничение дальнейшего распространения, подготовка уведомлений для регуляторов и субъектов.

Структура уведомления в Роскомнадзор выглядит следующим образом:

  • Краткое описание инцидента (дата, тип передачи, объём данных).
  • Оценка ущерба (финансовый, репутационный, моральный).
  • Принятые меры (локализация, технические действия, корректирующие шаги).
  • План дальнейших действий (проведение полного аудита, сроки исправления).
  • Контактные данные ответственного лица

3. Корректирующие меры — устранение первопричины, обновление политик, проведение пост‑инцидентного анализа (RCA).

Эти шаги полностью соответствуют требованиям ISO 27001/27701 и NIST CSF, но я добавляю параллельный блок оценки ущерба, чтобы успеть подготовить отчёт в течение 72 часов согласно требованиям 152-ФЗ.

ФЗ‑152 обязывает проводить оценку вреда субъектам и оценку эффективности мер минимум раз в три года. Но я рекомендую ежегодный (а лучше ежеквартальный) экспресс‑аудит, который позволяет:

  • зафиксировать MTTD (среднее время обнаружения инцидента) ≤ 4 ч;
  • зафиксировать MTTR (среднее время реагирования) ≤ 24 ч;
  • поддерживать % закрытых инцидентов в рамках SLA ≥ 95 %.

Эти KPI легко интегрировать в системы мониторинга и демонстрировать регуляторам.

Чек-лист для операторов ПДн

  1. Внедряем классификацию правил передачи данных (предоставление/ распространение/ доступ) в политику конфиденциальности. Как правило, автоматическое срабатывание DLP‑правил происходит в 95% случаев.
  2. Создаём матрицу уникальности (поле → структура → комбинация) и пишем скрипт сравнения с публичными утечками. В случае утечки это позволит выиграть ≤ 2 ч.
  3. Разрабатываем модульный шаблон оценки нарушения прав субъектов (с обязательным ручным подтверждением), что сокращает время первичной оценки до 30 мин.
  4. Вводим KPI: MTTD ≤ 4 ч, MTTR ≤ 24 ч, % SLA ≥ 95 %.
  5. Готовим набор шаблонов уведомлений для всех регуляторов и публичных заявлений.
  6. Проводим ежегодное сценарное тестирование с участием ИТ, юридического отдела и PR, выявляем пробелы в процессах, повышаем готовность к реальному инциденту.
  7. Согласовываем график внешних аудитов (ISO 27001/27701, ГОСТ 57580.1) и минимум один внутренний контроль в год.
  8. Обучаем персонал (фишинг‑тренинги, работа с данными) минимум два раза в год.

Утечка персональных данных — это не просто техническая проблема, а регулятивный и репутационный риск, который может обернуться крупными штрафами и потерей доверия клиентов. Выигрывает не тот, кто гарантирует «абсолютную защиту» (она невозможна), а тот, кто выстроил систему быстрого обнаружения, точной классификации и регламентированного реагирования. Применение описанных методик позволяет:

  • сократить время обнаружения до 4 часов;
  • уложиться в 24-часовое уведомление регулятора;
  • снизить репутационные потери за счёт контролируемой коммуникации;
  • демонстрировать регуляторам измеримую эффективность.

В условиях растущей надзорной нагрузки и повышения штрафов такой подход становится не рекомендацией, а необходимостью для любого оператора персональных данных.

Важное по теме
Новости
Читать 2 минуты
06.07.2026
Mythos 5 по-прежнему доступна только избранным
Новости
Читать 2 минуты
06.07.2026
Пользователей заманивают на фишинговые сайты обещаниями игровой валюты
Новости
Читать 3 минуты
06.07.2026
Апелляция отклонена, нарушения в экосистеме Android признаны доказанными
Оставьте комментарий
Доступно для авторизованных пользователей
1/1000