Через сколько времени надо уведомить РКН об утечке?

Уведомление необходимо направить без неоправданной задержки, как правило — не позднее 72 часов с момента обнаружения инцидента.

Кто подписывает акт?

Обычно акт подписывают ответственный за обработку персональных данных, представитель ИТ-подразделения и уполномоченный сотрудник компании. При необходимости можно привлечь комиссию или свидетелей.

Нужно ли уведомлять субъектов ПД?

Да, если инцидент может затронуть права и интересы субъектов персональных данных. Компания должна уведомить пострадавших и объяснить, какие меры уже приняты.

Можно ли использовать собственную форму акта?

Да. Закон не устанавливает строго обязательный шаблон, однако в акте должны быть отражены обстоятельства инцидента, последствия, ответственные лица и принятые меры.

Нужно ли хранить акты об инцидентах?

Да. Такие документы желательно хранить вместе с журналом инцидентов и внутренними материалами расследования для подтверждения соблюдения требований ФЗ-152.

Акт о несанкционированном доступе к персональным данным: образец и порядок действий

Главное за 30 секунд

При каждом инциденте с ПД оформляется акт и проводится внутреннее расследование
Уведомление Роскомнадзора — обязательное действие при утечке, нарушение сроков может повлечь штраф
Акт фиксирует обстоятельства инцидента и меры реагирования компании
Форма и содержание акта должны соответствовать рекомендациям Роскомнадзора

Работа при инциденте с персональными данными

Пошаговый порядок:

Немедленно зафиксировать инцидент и составить акт.
Провести внутреннее расследование.
Оценить объём затронутых персональных данных и возможные последствия.
Уведомить Роскомнадзор.
При необходимости уведомить субъектов персональных данных.
После устранения инцидента — обновить меры защиты и внутренние процедуры.

Что считается несанкционированным доступом

Под несанкционированным доступом обычно понимается любое получение, просмотр, копирование, изменение или распространение персональных данных без законных оснований.

Типичные ситуации:

взлом корпоративной системы;
утечка базы клиентов;
ошибочная отправка данных другому получателю;
использование доступа уволенного сотрудника;
потеря устройства с персональными данными.

Даже если инцидент не привёл к публикации данных, его всё равно желательно документально зафиксировать.

Образец акта

Акт о несанкционированном доступе к ПД

Дата: _____________________
Время: ____________________
Место: ____________________

Описание инцидента: ____________________________________
Категория ПД: __________________________________________
Объём/количество: ______________________________________
Способ получения доступа: ______________________________
Ответственные лица: ____________________________________
Меры, принятые для устранения: _________________________

Подписи: __________ (ответственный) _________ (свидетели)

Кто несёт ответственность

Руководитель организации (оператор ПД)
Ответственный за обработку персональных данных
Сотрудник или подрядчик, допустивший нарушение
ИТ-специалисты — если нарушение связано с ненадлежащей защитой системы

На практике ответственность зависит от характера инцидента и распределения обязанностей внутри компании.

Уведомление Роскомнадзора

Уведомление можно направить через кабинет на сайте pd.rkn.gov.ru. Обычно прикладываются:

описание инцидента;
акт о несанкционированном доступе;
информация о затронутых данных;
перечень принятых мер;
сведения о планируемом устранении последствий.

Важно не затягивать с уведомлением: нарушение сроков само по себе может стать основанием для претензий со стороны РКН.

Порядок реагирования

Инцидент зафиксирован, акт составленобязательно
Проведено внутреннее расследование
Уведомлен РКН не позднее 72 часовобязательно
Субъекты ПД уведомлены (при необходимости)
Приняты меры для недопущения повторения

Практические рекомендации

Не скрывать инцидент внутри компании
Назначить ответственного за координацию действий
Сразу ограничить доступ к скомпрометированным системам
Зафиксировать все действия и временные отметки
После инцидента провести дополнительный аудит защиты данных

Частые ошибки компаний

отсутствие акта или журнала инцидентов;
уведомление РКН спустя несколько дней без объяснений;
отсутствие внутреннего расследования;
попытка решить ситуацию только устно;
отсутствие подтверждения принятых мер.

Вопросы по утечкам ПД

Можно ли просто приказом зафиксировать инцидент?

Нет. Желательно составить отдельный акт и внести запись в журнал инцидентов. Приказ может быть дополнительным внутренним документом, но не заменяет фиксацию обстоятельств происшествия.

Если акт составил только ответственный — это допустимо?

Да, прямого запрета нет. Однако на практике лучше привлекать нескольких сотрудников или комиссию — это повышает достоверность внутреннего расследования.

Нужно ли уведомлять всех пострадавших субъектов?

Если инцидент может затронуть права и интересы субъектов персональных данных, уведомление рекомендуется направить максимально оперативно.

Можно ли изменить форму акта под компанию?

Да. Главное — чтобы документ отражал обстоятельства инцидента, затронутые данные, последствия и меры реагирования.

Хотите защитить компанию от рисков утечек?

Проверим сайт и документы — за 2 рабочих дня

Провести аудит защиты ПД

Компании, думающие что штраф — разовый риск, ошибаются. После первого нарушения РКН ставит организацию в зону повышенного внимания. Повторные нарушения оцениваются значительно строже.

Из практики проверок РКН 2023–2024

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом.

ФЗ-152 · Статья 18.1 · Пункт 1

Таблица штрафов по ФЗ-152 — Штрафы Роскомнадзора по КоАП ст. 13.11 с изменениями 2024 года

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.