Регламент уведомления субъектов ПДн об инциденте 2026

• 

Обновлено 16.05.2026 05:45

 

Утечки данных, несанкционированный доступ к базам, потеря носителей с ПДн - такие инциденты случаются даже у крупных компаний. Но не все знают, как правильно уведомить субъектов ПДн и Роскомнадзор.

За 25 лет практики я помог десяткам компаний выстроить процессы реагирования на инциденты с ПДн. В этой статье - пошаговый регламент, образцы формулировок и ссылки на закон.

Что считается инцидентом с ПДн?

По 152 ФЗ (ст. 21.1), это:

•             утечка данных (публикация в сети, доступ третьих лиц);

•             несанкционированный доступ (взлом, подбор пароля);

•             потеря или кража носителя с ПДн (флешка, ноутбук, бумажный архив);

•             ошибки в настройках доступа (открытая база данных);

•             фишинговые атаки с компрометацией учётных записей.

Когда нужно уведомлять субъектов?

Срок - 72 часа с момента выявления инцидента (152 ФЗ, ст. 21.1).

Уведомление обязательно, если:

•             есть реальный риск вреда правам и свободам субъектов (например, данные попали в открытый доступ);

•             произошла утечка чувствительных данных (медицинские сведения, финансовые данные).

Если риска нет (например, утерян зашифрованный носитель без ключа), уведомление может не требоваться - но нужно зафиксировать решение в акте расследования.

Как составить уведомление для субъектов?

Обязательно укажите:

•             описание инцидента (что, где, когда произошло);

•             какие данные могли быть скомпрометированы;

•             предпринятые меры по устранению последствий;

•             контакты ответственного лица для вопросов;

•             рекомендации субъектам (сменить пароли, заблокировать карты и т. п.).

Пример формулировки:

«Уважаемый(ая) [ФИО]!

Сообщаем, что [дата] произошёл инцидент с персональными данными клиентов нашей компании. В результате технической ошибки часть базы данных с email адресами оказалась доступна в открытом доступе.

Ваши данные (email) могли быть затронуты. Мы приняли меры: закрыли доступ, усилили защиту.

Рекомендуем сменить пароль на всех сервисах, где использовался этот email.

По вопросам обращайтесь: [ФИО ответственного], [телефон], [email]»

Пошаговый регламент уведомления

1.            Выявите инцидент (служба ИБ, ИТ отдел фиксирует факт).

2.            Оцените риски (может ли утечка навредить субъектам?).

3.            Подготовьте уведомление по образцу выше.

4.            Выберите способ отправки: email, SMS, push уведомление, письмо на почтовый адрес.

5.            Отправьте сообщение всем затронутым субъектам в течение 72 часов.

6.            Зафиксируйте факт уведомления (сохраните логи рассылок, копии писем).

7.            Документируйте процесс (акт расследования, журнал инцидентов).

Взаимодействие с Роскомнадзором

В течение 72 часов после выявления инцидента подайте уведомление в Роскомнадзор через Портал персональных данных:

•             опишите инцидент;

•             укажите количество затронутых субъектов;

•             перечислите скомпрометированные категории данных;

•             приложите акт расследования и план мер по предотвращению повторений.

Ответственность за неуведомление

Штрафы по ст. 13.11 КоАП РФ:

•             для ИП: 50 000–100 000 руб.;

•             для юрлиц: 100 000–300 000 руб.

При повторном нарушении суммы удваиваются.

Пример из практики: в 2025 году интернет магазин получил штраф 200 000 руб. за то, что не уведомил клиентов об утечке данных банковских карт в срок. Компания пыталась скрыть инцидент, но Роскомнадзор выявил нарушение по жалобам клиентов.

Заключение

Чтобы соблюсти регламент уведомления в Роскомнадзор в тот же срок;

•             чётко опишите инцидент и меры в уведомлении;

•             сохраните доказательства отправки уведомлений (логи, копии);

•             примите меры по предотвращению подобных ситуаций в будущем.

Несоблюдение регламента не только влечёт штрафы, но и наносит серьёзный урон репутации компании. Клиенты теряют доверие, если узнают об утечке из СМИ, а не от самой организации.

Скачайте шаблон уведомления субъектов об инциденте с ПДн (PDF, 2026 год) - сохраните и используйте в работе. Поделитесь с коллегами, чтобы они тоже знали регламент!

Чек лист: действия при инциденте с ПДн

Перед отправкой уведомлений проверьте, выполнены ли все шаги:

•             Инцидент выявлен и зафиксирован (составлен акт).

•             Проведена оценка рисков для субъектов ПДн.

•             Подготовлен текст уведомления для субъектов (с описанием инцидента, мер и контактами).

•             Выбран способ отправки (email, SMS и т. д.).

•             Уведомления отправлены всем затронутым субъектам в течение 72 часов.

•             Зафиксирован факт отправки (сохранены логи, копии сообщений).

•             Составлено уведомление для Роскомнадзора.

•             Уведомление подано в Роскомнадзор через Портал персональных данных в течение 72 часов.

•             Приложен акт расследования и план мер по предотвращению.

•             Разработан план превентивных мер на будущее.

Полезные ресурсы

•             Портал персональных данных Роскомнадзора - подача уведомлений об инцидентах.

•             Официальный сайт Роскомнадзора - методические рекомендации по защите ПДн, формы документов.

•             Госуслуги для бизнеса - проверка требований, подача уведомлений.

•             Шаблон акта расследования инцидента с ПДн (актуальный на 2026 год) - скачайте на нашем сайте.

•             Чек лист «Реагирование на инцидент с ПДн» - памятка для службы ИБ и ответственных лиц.