В реалиях 2026 года сокрытие инцидентов информационной безопасности стало для бизнеса более опасной стратегией, чем сам факт взлома. Законодательство в сфере персональных данных ужесточилось кардинально. Теперь обязанность оператора уведомить Роскомнадзор об инциденте является безусловной, а сроки — экстремально сжатыми. Штраф за неуведомление об утечке — это не просто административное взыскание, это маркер недобросовестности, который может стать триггером для введения оборотных штрафов и внеплановых проверок прокуратуры.

Федеральный закон № 152-ФЗ (ч. 3.1 ст. 21) устанавливает императивное требование: оператор обязан уведомить уполномоченный орган о факте неправомерного или случайного доступа к персональным данным в течение 24 часов с момента выявления инцидента. В течение 72 часов необходимо предоставить результаты внутреннего расследования. Игнорирование этих сроков квалифицируется как нарушение ст. 13.11 или ст. 19.7 КоАП РФ, а также рассматривается как отягчающее обстоятельство при назначении основного наказания за утечку.

Административная ответственность: за что штрафуют

Важно различать штраф за саму утечку (нарушение безопасности) и штраф за молчание (неуведомление).
Если компания скрыла инцидент, но он стал публичным (например, база появилась в даркнете), регулятор применит максимальные санкции.
Составы правонарушений:

  • Непредоставление сведений (ст. 19.7 КоАП РФ). Штраф относительно невелик (до 5000 рублей), но сам факт привлечения создает негативную административную предысторию.
  • Нарушение законодательства о ПДн (ч. 1 ст. 13.11 КоАП РФ). Невыполнение обязанности по информированию регулятора может быть квалифицировано как нарушение порядка обработки данных. Штрафы здесь достигают сотен тысяч рублей.
  • Оборотные штрафы. При рассмотрении дела о назначении оборотного штрафа (за повторную утечку или крупные объемы) факт своевременного уведомления является ключевым смягчающим обстоятельством. Его отсутствие может повысить штраф до максимальной планки (до 500 млн рублей или 3% оборота).

Алгоритм действий: правило «24 часов»

Чтобы избежать штрафных санкций за неуведомление, компания должна действовать по четкому протоколу реагирования (Incident Response Plan).
1. **Фиксация времени.** Юридически значимым является момент «выявления» инцидента. Это может быть служебная записка от CISO, отчет DLP-системы или получение письма от вымогателей. Этот момент нужно заактировать.
2. **Первичное уведомление.** В первые сутки подается уведомление через форму на сайте РКН или Госуслуги. В нем указываются предполагаемые причины, вред и принятые меры. Важно: лучше подать предварительные, неполные данные, чем пропустить срок.
3. **Расследование.** Вторым этапом (до 72 часов) подается детализированный отчет.

Что считается «Неуведомлением»?

Роскомнадзор трактует понятие широко. Нарушением считается:

  • Полное игнорирование инцидента.
  • Подача уведомления с нарушением срока (например, через 26 часов).
  • Подача формального уведомления без указания конкретики («произошел сбой», без деталей).
  • Подача уведомления неуполномоченным лицом (без доверенности или КЭП).

Юридическая защита при пропуске сроков

Если срок все же пропущен, наши юристы помогают минимизировать последствия.
Стратегии защиты:

  1. Доказательство уважительности причин. Технические сбои, форс-мажорные обстоятельства, подтвержденные документально.
  2. Переквалификация даты выявления. Юридический анализ того, когда именно компания получила достоверные сведения об утечке, а не просто слухи.
  3. Малозначительность (ст. 2.9 КоАП). Если задержка составила незначительное время и не повлекла вредных последствий, суд может освободить от штрафа.

Штраф за неуведомление об утечке — это риск, который можно полностью исключить, внедрив правильные регламенты. Мы помогаем бизнесу настроить процессы реагирования так, чтобы в критической ситуации вы действовали автоматически и юридически безупречно.

VFS Consulting Юридические решения нового поколения
Штраф за неуведомление об утечке: как избежать санкций Роскомнадзора
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    Получить консультацию

    Кейсы из практики

    cs

    Отмена штрафа за пропуск срока уведомления РКН

    Клиент (интернет-магазин) подал уведомление об утечке через 30 часов после инцидента вместо положенных 24, так как инцидент произошел в выходной. Роскомнадзор составил протокол по ст. 19.7 КоАП РФ. Мы доказали в суде, что задержка была вызвана техническим сбоем на стороне провайдера ЭДО, подтвердив это логами серверов и перепиской с техподдержкой. Суд признал нарушение малозначительным (ст. 2.9 КоАП) и освободил компанию от ответственности.

    Результат

    Производство по делу прекращено, штраф не назначен, репутация добросовестного оператора сохранена.

    cs

    Защита от обвинения в сокрытии инцидента безопасности

    СМИ опубликовали информацию о «сливе» базы данных нашего клиента. Компания не подавала уведомление, так как внутренняя проверка показала, что данные являются компиляцией из открытых источников (парсинг), а не утечкой из закрытого контура. РКН пытался оштрафовать за неуведомление. Мы провели независимую компьютерно-техническую экспертизу, доказавшую отсутствие следов взлома и несоответствие структуры «слитой» базы реальной архитектуре БД компании.

    Результат

    Претензии регулятора сняты, доказано отсутствие события административного правонарушения.

    Часто задаваемые вопросы

    Ответы на вопросы о срочном реагировании на инциденты.

    Нужно ли уведомлять РКН, если утечка произошла у подрядчика?
    Да, если вы являетесь Оператором данных, а подрядчик — Обработчиком. Ответственность перед субъектами и регулятором несет Оператор. Вы обязаны уведомить РКН в течение 24 часов после того, как узнали об инциденте от подрядчика (который, в свою очередь, обязан уведомить вас немедленно).
    Считаются ли выходные и праздничные дни при расчете срока 24 часа?
    Нет, срок исчисляется в астрономических часах без перерыва на выходные и праздники. Инциденты не знают выходных. Если утечка обнаружена в пятницу вечером, уведомление должно быть отправлено в субботу. Подача осуществляется электронно, поэтому график работы офиса РКН не имеет значения.
    Кто должен подписать уведомление об утечке?
    Уведомление подписывается лицом, имеющим право действовать от имени организации без доверенности (Генеральный директор), или представителем по доверенности. Для подачи через сайт РКН или Госуслуги используется усиленная квалифицированная электронная подпись (УКЭП) организации.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности