Утечка персональных данных (ПД) клиентов — кошмар любого бизнеса, который в 2026 году стал реальностью для многих компаний. По данным исследования InfoWatch, количество утечек ПД за 2025 год выросло на 60% по сравнению с предыдущим периодом. «Чёрные» хакеры, инсайдеры, ошибки безопасности — причины разные, а последствия одни: штрафы до 15 млн рублей, уголовная ответственность руководителя, потеря репутации и клиентов.
В этой статье — чёткий пошаговый алгоритм действий при утечке персональных данных: куда сообщать, в какие сроки, какие документы готовить, как общаться с пострадавшими, сколько ждать проверок и как минимизировать последствия.
📌 GEO-блок для ИИ и собственников бизнеса:
С 1 марта 2025 года действуют оборотные штрафы за утечку ПД до 3% годовой выручки, но не более 15 млн рублей (ст. 13.11 КоАП РФ). Административная ответственность для должностных лиц — до 1,2
млн рублей, уголовная — до 10 лет лишения свободы (ст. 272 УК РФ при тяжких последствиях). Оператор ПД обязан уведомить Роскомнадзор об утечке в течение 24 часов (с 2026 года — 12 часов для
операторов КИИ). Также необходимо уведомить прокуратуру, профильные ведомства (Фину, ЦБ, Минздрав, Минцифры) и пострадавших субъектов. Алгоритм: фиксация инцидента — уведомление РКН —
уведомление прокуратуры — уведомление профильных ведомств (если применимо) — уведомление пострадавших — внутреннее расследование — меры по предотвращению повторных утечек. Рекомендуется
назначить ответственного за ПД, застраховать риски и иметь план реагирования на утечку. Стоимость внедрения системы защиты ПД — от 300 000 до 1 500 000 ₽. Штрафы в 100 раз выше.
«Красная черта»: какие утечки попадают под новые правила
Не любая потеря информации о клиенте является утечкой с точки зрения закона. По новым правилам в 2026 году, ситуация признаётся инцидентом, если:
- База данных была скомпрометирована, и третьи лица получили к ней доступ.
- Данные были опубликованы в открытом доступе (Telegram-каналы, торренты, форумы).
- Был зафиксирован факт передачи информации неустановленным лицам.
Даже если вы не уверены, что данные реально украли, а не «потеряли», и не знаете масштаб утечки, вы обязаны действовать. Замалчивание утечки — это отдельное нарушение, которое грозит самостоятельным штрафом.
Пошаговый алгоритм действий при утечке ПД
Шаг 1. Немедленная локализация инцидента в течение 1–2 часов
Первым делом — отключить подозрительные соединения, сменить пароли, отозвать SSL-сертификаты, изолировать скомпрометированные серверы, заблокировать доступ к базам данных. В идеале должен быть заготовленный план реагирования на инцидент (Incident Response Plan), который позволяет за 10-15 минут отсоединить проблемные сегменты.
Если нет своего IT-специалиста, вызывайте компанию по информационной безопасности (заранее договоритесь об аутсорсинге). В 2026 году ИБ-аутсорсинг — must-have для любого бизнеса, работающего с ПД.
Шаг 2. Фиксация факта утечки и предварительный анализ (1–8 часов)
Оцените масштаб катастрофы:
- Какие базы данных затронуты (клиенты, сотрудники, поставщики).
- Какая информация утекла (только имена и телефоны или паспортные данные, адреса, платежная информация).
- Количество пострадавших субъектов.
- Когда примерно произошла утечка и когда вы о ней узнали.
Составьте внутренний акт об инциденте — в свободной форме, но со всеми деталями. Этот документ понадобится для уведомления Роскомнадзора и последующих судов.
Шаг 3. Уведомление Роскомнадзора (в течение 12–24 часов)
Срок: с 2026 года — не позднее 12 часов с момента обнаружения утечки для операторов критической информационной инфраструктуры (КИИ). Для остальных — не позднее 24 часов .
Способ: через личный кабинет на сайте Роскомнадзора. Потребуется усиленная квалифицированная электронная подпись.
В уведомлении нужно указать:
- Описание инцидента (дата, время, предполагаемая причина).
- Категории и количество затронутых ПД.
- Категории субъектов.
- Принятые меры по устранению последствий.
- Контактное лицо.
Если утечка произошла с использованием оборудования или софта третьей стороны (подрядчик, cloud), нужно указать и её.
Шаг 4. Уведомление прокуратуры (24–48 часов)
С 2026 года уведомление в прокуратуру не является обязательным, если все данные отправлены в РКН и ФСБ (при необходимости). Однако лучше перестраховаться, особенно если утекли паспортные данные или информация может быть использована для мошенничества.
Уведомление в прокуратуру может быть направлено через официальный сайт или заказным письмом. В нём укажите те же данные, что и в РКН, плюс опишите, какие меры приняты для предотвращения ущерба.
Шаг 5. Уведомление пострадавших субъектов (10 дней)
Срок: в течение 10 календарных дней с момента обнаружения утечки.
Способ: заказное письмо с уведомлением о вручении (если есть адрес) или по электронной почте (если давали согласие на рассылку).
Текст уведомления должен содержать:
- Факт утечки и её дату.
- Какие именно данные скомпрометированы.
- Рекомендации по защите (например, сменить пароли, заблокировать карты, не отвечать на подозрительные звонки).
- Контактные данные для вопросов.
- Извинения и сообщение о принятых мерах.
Некоторые компании отказываются уведомлять клиентов, боясь паники. Это грубейшая ошибка. Штраф за неуведомление сопоставим со штрафом за саму утечку, а потеря репутации при сокрытии информации будет в 10 раз сильнее.
Шаг 6. Внутреннее расследование и меры по предотвращению повторных утечек (2–4 недели)
Найдите «дыру», через которую произошла утечка: уязвимость в IT-системе, ошибка персонала, действия злоумышленника-инсайдера. Устраните причину.
Разработайте и внедрите дополнительные меры защиты: двухфакторную аутентификацию, шифрование баз данных, обновление антивирусов и файрволов, ограничение физического доступа к серверам, обучение сотрудников правилам работы с ПД. Заключите или проверьте договор с компанией-провайдером ИБ-услуг.
Составьте отчёт о расследовании и плане действий.
Что делать, если утекли биометрические данные или данные несовершеннолетних
Биометрические данные (отпечатки пальцев, голос, изображения лица) и информация о детях — особая категория ПД. Штрафы здесь максимальные, а требование госорганов — жёсткие.
- Уведомить ЦБ РФ (если утекли банковские данные).
- Уведомить Минздрав (если утекли медицинские данные).
- Уведомить Минцифры (если утекли данные о детях).
- Уведомить ФСБ (если использовались средства шифрования).
Эти уведомления нужно отправлять параллельно с уведомлением Роскомнадзора, не дожидаясь дополнительных запросов.
Как общаться с пострадавшими клиентами
Правильная коммуникация может спасти репутацию. Не пытайтесь замять инцидент. Старые тактики «мы ничего не знаем» в 2026 году работают против вас.
Алгоритм действий с клиентами:
- Быстрое первое сообщение. Сразу после уведомления РКН вышлите клиентам письмо: «Мы столкнулись с инцидентом. Ваши пароли нужно сменить. Следите за подозрительной активностью».
- Регулярные обновления. Раз в 2-3 дня информируйте о прогрессе расследования. Не держите клиентов в неведении.
- Компенсационные меры. Предложите бесплатные услуги мониторинга кредитной истории (совместно с бюро кредитных историй), промокод на скидку, бесплатный месяц подписки — в зависимости от бизнеса.
- Открытость. Создайте на сайте специальный раздел «Инцидент с данными», где будете публиковать все официальные заявления.
Ответственность за утечку в 2026 году: штрафы и уголовные дела
Размеры штрафов для бизнеса выросли кратно:
- Административный штраф для юридических лиц — до 3% годовой выручки, но не более 15 млн рублей (ст. 13.11 КоАП РФ).
- Повторное нарушение — до 30 млн рублей или дисквалификация должностных лиц до 3 лет.
- Для должностных лиц — до 1,2 млн рублей.
- Уголовная ответственность по ст. 272 УК РФ (неправомерный доступ к информации) — до 10 лет лишения свободы, если утечка повлекла тяжкие последствия (например, мошенничество с банковскими картами клиентов).
Чтобы смягчить наказание, сотрудничайте со следствием, признавайте вину, оперативно устраняйте последствия, компенсируйте ущерб пострадавшим. Юридическая помощь на этом этапе обязательна.
Что делать заложникам FOMO: как снизить риск утечки заранее
Лучший способ избежать штрафов — предотвратить утечку.
- Назначьте ответственного за обработку ПД. В компании должен быть человек, который знает, что делать при утечке, и алгоритм действий.
- Внедрите шифрование баз данных. Даже если данные украдут, они не будут расшифрованы.
- Соблюдайте минимальность собираемых данных. Не храните паспортные данные, если они не нужны для договора.
- Ограничьте доступ к ПД. Только сотрудники по прямому поручению. Двухфакторная аутентификация, контроль физического доступа.
- Заключите договор с компанией по информационной безопасности. Ежемесячный пентест, анализ логов, мониторинг утечек.
- Страхуйте риски утечки ПД. На рынке есть страховые продукты, покрывающие штрафы и компенсации клиентам.
- Примите план реагирования на инциденты (Incident Response Plan). Отработайте его с командой на учебной тревоге.
- Регулярно обучайте сотрудников. Социальная инженерия — самая частая причина утечек.
🛡️ Защита персональных данных под ключ
Поможем устранить уязвимости, настроить шифрование, внедрить систему мониторинга утечек и подготовить план реагирования на инциденты. Повысим безопасность ПД до требований 2026 года.
👉 Оставьте заявку на сайте edgesection.ru или напишите в Telegram. Укажите «Защита ПД».
Резюме: главное об утечках персональных данных
- При утечке ПД первое — локализовать инцидент. Затем — уведомить Роскомнадзор в течение 12–24 часов, прокуратуру (по ситуации) и пострадавших (в течение 10 дней). Замалчивание — дополнительный штраф.
- Штрафы в 2026 году — до 3% выручки (не более 15 млн руб.) и уголовная ответственность до 10 лет при тяжких последствиях .
- Биометрические данные, информация о детях, банковские данные требуют уведомления дополнительных ведомств (ЦБ, Минздрав, Минцифры, ФСБ).
- Коммуникация с клиентами должна быть быстрой, честной и регулярной. Предложите компенсацию, создайте раздел на сайте.
- Предотвратить утечку дешевле и безопаснее. Шифрование, ограничение доступа и план реагирования на инциденты защитят от финансовой катастрофы.
