В реалиях 2026 года сокрытие инцидентов информационной безопасности стало для бизнеса более опасной стратегией, чем сам факт взлома. Законодательство в сфере персональных данных ужесточилось кардинально. Теперь обязанность оператора уведомить Роскомнадзор об инциденте является безусловной, а сроки — экстремально сжатыми. Штраф за неуведомление об утечке — это не просто административное взыскание, это маркер недобросовестности, который может стать триггером для введения оборотных штрафов и внеплановых проверок прокуратуры.
Федеральный закон № 152-ФЗ (ч. 3.1 ст. 21) устанавливает императивное требование: оператор обязан уведомить уполномоченный орган о факте неправомерного или случайного доступа к персональным данным в течение 24 часов с момента выявления инцидента. В течение 72 часов необходимо предоставить результаты внутреннего расследования. Игнорирование этих сроков квалифицируется как нарушение ст. 13.11 или ст. 19.7 КоАП РФ, а также рассматривается как отягчающее обстоятельство при назначении основного наказания за утечку.
Административная ответственность: за что штрафуют
Важно различать штраф за саму утечку (нарушение безопасности) и штраф за молчание (неуведомление).
Если компания скрыла инцидент, но он стал публичным (например, база появилась в даркнете), регулятор применит максимальные санкции.
Составы правонарушений:
- Непредоставление сведений (ст. 19.7 КоАП РФ). Штраф относительно невелик (до 5000 рублей), но сам факт привлечения создает негативную административную предысторию.
- Нарушение законодательства о ПДн (ч. 1 ст. 13.11 КоАП РФ). Невыполнение обязанности по информированию регулятора может быть квалифицировано как нарушение порядка обработки данных. Штрафы здесь достигают сотен тысяч рублей.
- Оборотные штрафы. При рассмотрении дела о назначении оборотного штрафа (за повторную утечку или крупные объемы) факт своевременного уведомления является ключевым смягчающим обстоятельством. Его отсутствие может повысить штраф до максимальной планки (до 500 млн рублей или 3% оборота).
Алгоритм действий: правило «24 часов»
Чтобы избежать штрафных санкций за неуведомление, компания должна действовать по четкому протоколу реагирования (Incident Response Plan).
1. **Фиксация времени.** Юридически значимым является момент «выявления» инцидента. Это может быть служебная записка от CISO, отчет DLP-системы или получение письма от вымогателей. Этот момент нужно заактировать.
2. **Первичное уведомление.** В первые сутки подается уведомление через форму на сайте РКН или Госуслуги. В нем указываются предполагаемые причины, вред и принятые меры. Важно: лучше подать предварительные, неполные данные, чем пропустить срок.
3. **Расследование.** Вторым этапом (до 72 часов) подается детализированный отчет.
Что считается «Неуведомлением»?
Роскомнадзор трактует понятие широко. Нарушением считается:
- Полное игнорирование инцидента.
- Подача уведомления с нарушением срока (например, через 26 часов).
- Подача формального уведомления без указания конкретики («произошел сбой», без деталей).
- Подача уведомления неуполномоченным лицом (без доверенности или КЭП).
Юридическая защита при пропуске сроков
Если срок все же пропущен, наши юристы помогают минимизировать последствия.
Стратегии защиты:
- Доказательство уважительности причин. Технические сбои, форс-мажорные обстоятельства, подтвержденные документально.
- Переквалификация даты выявления. Юридический анализ того, когда именно компания получила достоверные сведения об утечке, а не просто слухи.
- Малозначительность (ст. 2.9 КоАП). Если задержка составила незначительное время и не повлекла вредных последствий, суд может освободить от штрафа.
Штраф за неуведомление об утечке — это риск, который можно полностью исключить, внедрив правильные регламенты. Мы помогаем бизнесу настроить процессы реагирования так, чтобы в критической ситуации вы действовали автоматически и юридически безупречно.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов