Статья 21 152-ФЗ обязывает оператора уведомить Роскомнадзор о факте утечки персональных данных не позднее 24 часов с момента обнаружения, а в течение 72 часов – передать результаты внутреннего расследования. Пропуск этих сроков квалифицируется отдельно – по ч. 11 ст. 13.11 КоАП и грозит юрлицу штрафом от 1 до 3 млн ₽. Разбираем, что и куда направлять.
Когда начинается отсчёт 24 часов
Срок исчисляется с момента, когда оператору стало известно об инциденте – подтверждённого факта неправомерной передачи или доступа к ПДн. Источник информации не важен: внутренний мониторинг, сообщение сотрудника, публикация в открытых источниках, обращение клиента. Зафиксируйте точное время – оно подаётся в уведомлении и от него считаются сроки.
Куда направлять уведомление
Подача – через специальную форму на сайте Роскомнадзора (раздел «Уведомления операторов»). Уведомление подписывается усиленной квалифицированной электронной подписью. Дублировать на бумаге не нужно – электронная форма является основной.
Что указать в первичном уведомлении (24 часа)
По п. 3.1 ст. 21 152-ФЗ в первом уведомлении должны быть: предполагаемые причины инцидента, предполагаемый вред правам и интересам субъектов, состав и объём затронутых данных, принятые меры по устранению последствий, контактные данные ответственного за взаимодействие с Роскомнадзором.
Что направить через 72 часа
Повторное уведомление содержит результаты внутреннего расследования: точные причины утечки, оценку реального вреда, список виновных лиц, описание принятых организационных и технических мер. На этом этапе уже должны быть выводы по логам, образам систем и опросам ответственных.
Штрафы за пропуск сроков
По ч. 11 ст. 13.11 КоАП – для юрлиц от 1 до 3 млн ₽, для должностных лиц от 400 до 800 тыс. ₽, для ИП от 1 до 3 млн ₽. Повторное неуведомление – ещё больше. Подача уведомления с просрочкой даже на час квалифицируется как несвоевременное – это самостоятельный состав.
Что делать прямо сейчас
Подготовить полный комплект документов оператора персональных данных за 1–2 минуты можно через генератор help152.ru. Сервис автоматически заполняет данные по ИНН из ФНС и формирует ZIP-архив со всеми документами в формате .docx, готовый к редактированию в Word.
В комплект входят: политика обработки ПДн (расширенная, 20+ разделов), уведомление в Роскомнадзор по форме Приказа РКН № 178, приказ о назначении ответственного, форма согласия субъекта, положение об обработке ПДн в организации, инструкция по работе с ПДн в ИСПДн, акт об уничтожении ПДн, план мероприятий по защите – и ещё 49 документов, всего 57. Стоимость – 2 500 ₽ единоразово, без подписок.
Параллельно стоит проверить сам сайт – на нём документы должны быть размещены корректно и связаны со страницами сбора данных. Бесплатная экспресс-проверка покажет, нет ли нарушений в размещении.