Отчёт об инциденте с ПДн: образец и сроки подачи
Отчёт об инциденте с ПДн: образец и сроки подачи в 2026 году
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний избежать штрафов за нарушения 152 ФЗ. Один из частых вопросов — как и когда подавать отчёт об инциденте с ПДн. В этой статье — готовый образец и чёткие сроки 2026 года.
Что считается инцидентом с ПДн?
По ст. 21.3 152 ФЗ инцидентом признаётся:
• неправомерный или случайный доступ к ПДн;
• уничтожение, изменение, блокирование, копирование данных;
• распространение или предоставление доступа третьим лицам.
Примеры: утечка базы клиентов, взлом почты HR отдела, потеря флешки с данными сотрудников.
Мой совет: если есть сомнения — считайте это инцидентом и подавайте отчёт. Лучше перестраховаться, чем получить штраф.
Сроки подачи отчёта
По закону (п. 3.1 ст. 21.3 152 ФЗ) отчёт нужно подать:
• в течение 24 часов — в Роскомнадзор (предварительное уведомление);
• в течение 72 часов — полный отчёт с результатами внутреннего расследования.
Отсчёт идёт с момента, когда компания узнала об инциденте. Промедление — прямой путь к штрафам до 3 млн руб. (ст. 13.11 КоАП РФ).
Образец отчёта: что включать?
Отчёт подаётся в письменной или электронной форме (через портал Роскомнадзора). Обязательные разделы:
1. Сведения о компании: наименование, ИНН, контакты ответственного за обработку ПДн.
2. Описание инцидента: дата, время, место (система, сервер), объём и категории затронутых данных (ФИО, телефоны, email и т. д.).
3. Причины: предполагаемые или установленные причины (взлом, ошибка сотрудника, фишинг и т. д.).
4. Меры реагирования: что сделано для локализации (отключение сервера, смена паролей, изоляция сети и т. д.).
5. Последствия: вред для субъектов ПДн (если есть) — например, мошенничество с использованием данных.
6. Меры профилактики: что будет сделано, чтобы инцидент не повторился (обучение персонала, внедрение DLP системы, усиление шифрования и т. д.).
7. Подпись и дата.
Как подать отчёт?
1. Зайдите на портал Роскомнадзора (pd.rkn.gov.ru).
2. Выберите раздел «Уведомление об инциденте».
3. Заполните форму — используйте шаблон ниже.
4. Приложите подтверждающие документы (акты расследования, скриншоты, логи систем безопасности и т. д.).
5. Отправьте — получите номер регистрации отчёта.
Нюанс: если инцидент затрагивает данные граждан ЕС, дополнительно подайте уведомление в соответствии с GDPR (в течение 72 часов).
Типичные ошибки
• Затягивание сроков подачи — даже на 1 час.
• Неполное описание последствий (например, не указали, сколько субъектов затронуто).
• Отсутствие мер профилактики в отчёте.
• Подача только в электронном виде без подтверждения получения.
• Ошибки в реквизитах компании или контактных данных ответственного лица.
Мой комментарий: всегда дублируйте электронный отчёт бумажным письмом с уведомлением — это докажет, что вы выполнили обязанность. Сохраняйте все документы: переписку, акты, логи — они пригодятся при проверке.
Заключение
В 2026 году отчёт об инциденте с ПДн нужно подать:
• 24 часа — предварительное уведомление в РКН.
• 72 часа — полный отчёт.
В отчёте обязательно укажите:
• описание инцидента;
• причины;
• меры реагирования;
• меры профилактики.
Конкретное действие: проверьте, есть ли у вас готовый шаблон отчёта об инциденте с ПДн. Если нет — скачайте наш образец и адаптируйте под свою компанию. Проведите внутренний тренинг для ответственных сотрудников: разберите сроки и порядок подачи.
• Скачайте образец отчёта об инциденте с ПДн 2026.
• Поделитесь статьёй с коллегами — юристами, ИБ специалистами, HR и IT.
• Подпишитесь на legascom.ru — разбираем сложное просто
