Порядок реагирования на утечку персональных данных
г. Москва«13» июля 2026 г.
__________, __________ г.р., паспорт __________, выдан __________ __________, зарегистрирован(-а) по адресу: __________, именуемый(-ая) в дальнейшем «Оператор персональных данных», совместно именуемые «Стороны», заключили настоящий договор о нижеследующем:
1. Наименование и реквизиты
1.1. __________
ИНН __________, ОГРН __________
__________
УТВЕРЖДЕНО
Приказом __________
от __________ № [№]
РЕГЛАМЕНТ УВЕДОМЛЕНИЯ РОСКОМНАДЗОРА ОБ УТЕЧКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
в соответствии с ч. 3.1 ст. 21 ФЗ-152, Приказом РКН № 276 от 25.07.2024
сроки: первичное уведомление — 72 ч; результаты расследования — 72 ч
__________
2. Общие положения
2.1. 1.1. Настоящий Регламент устанавливает обязательный порядок, сроки и содержание уведомлений, направляемых __________ (далее — Оператор) в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН) при выявлении факта или предполагаемого факта утечки (неправомерной передачи, несанкционированного доступа, неправомерного распространения) персональных данных (далее — инцидент утечки ПДн).
1.2. Правовые основания: часть 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (введена 266-ФЗ от 14.07.2022); Приказ Роскомнадзора от 25.07.2024 № 276 «Об утверждении формы уведомления об инциденте»; статья 13.11 КоАП РФ (в ред. 572-ФЗ от 30.11.2024 — штраф до 18 000 000 рублей; повторно — до 3% годовой выручки).
1.3. Ответственный за исполнение Регламента — __________ (Генеральный Директор). Уведомления в РКН направляются лично или уполномоченным должностным лицом через официальный портал РКН.
3. Триггеры уведомления
3.1. 2.1. Оператор обязан направить уведомление в РКН при выявлении или возникновении обоснованных предположений о:
— несанкционированном доступе к персональным данным, обрабатываемым Оператором;
— неправомерной или случайной передаче (предоставлении, распространении, открытии доступа) ПДн субъектов неуполномоченным лицам;
— уничтожении персональных данных без законных оснований;
— иных действиях, нарушающих конфиденциальность, целостность или доступность ПДн.
2.2. Уведомление направляется вне зависимости от числа затронутых субъектов и степени вреда — при наличии самого факта или обоснованного предположения об утечке.
4. Первичное уведомление (срок — 72 часов)
4.1. 3.1. Срок. Первичное уведомление направляется в РКН не позднее 72 часов с момента обнаружения инцидента утечки ПДн (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 276).
3.2. Содержание первичного уведомления (Форма № 1 по Приказу РКН № 276 от 25.07.2024):
3.3. Первичное уведомление направляется через личный кабинет оператора на портале РКН (https://pd.rkn.gov.ru/). При недоступности электронного сервиса — на официальный e-mail РКН или нарочным.
5. Уведомление с результатами расследования (срок — 72 часа)
5.1. 4.1. Срок. Уведомление с результатами расследования направляется в РКН не позднее 72 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152).
4.2. Содержание итогового уведомления (Форма № 2 по Приказу РКН № 276):
— реквизиты оператора (аналогично первичному уведомлению);
— ссылка на регистрационный номер первичного уведомления;
— причины и предпосылки инцидента (технические / организационные / человеческий фактор);
— точное число затронутых субъектов ПДн и их категории;
— исчерпывающий перечень скомпрометированных данных;
— обстоятельства, при которых произошёл инцидент;
— принятые меры по устранению инцидента и предотвращению повторения;
— сведения о виновных лицах (при установлении);
— информация о направлении материалов в правоохранительные органы (при наличии).
6. Ответственность за нарушение сроков
6.1. 5.1. Нарушение срока направления первичного уведомления (более 72 часов с момента обнаружения) или итогового уведомления (более 72 часов) влечёт:
— административную ответственность по ч. 6 ст. 13.11 КоАП РФ: штраф для должностных лиц — от 400 000 до 800 000 рублей; для юридических лиц — от 1 000 000 до 18 000 000 рублей;
— при повторном нарушении в течение года — оборотный штраф до 3% годовой выручки (572-ФЗ от 30.11.2024);
— уголовную ответственность при наличии состава преступления по ст. 272 УК РФ (неправомерный доступ к компьютерной информации) или ст. 137 УК РФ.
7. Регистрация и хранение
7.1. 6.1. Копии всех направленных уведомлений, подтверждения их получения РКН, переписка с РКН по инциденту хранятся ответственным за ПДн не менее 5 лет.
6.2. Каждый инцидент вносится в Журнал учёта инцидентов безопасности ПДн с отметками о дате уведомлений.
Генеральный директор _________________ / ________________ /
8. Реквизиты и подписи сторон
Оператор персональных данных Оператор персональных данных: __________
Дата рождения: __________
Паспорт: __________, выдан __________ __________
Адрес места жительства: __________ | |
| Оператор персональных данных ____________ / ________ | |