Перейти к содержанию
инструкция 24 сентября 2026 По состоянию на 24 сентября 2026

Регламент реагирования на инциденты с ПДн

Регламент реагирования на инциденты с персональными данными — обязательный локальный акт оператора ПДн, описывающий порядок действий от обнаружения утечки до закрытия расследования.
С 30.05.2025 неуведомление РКН об инциденте влечёт штраф от 1 до 3 млн ₽ по ч. 11 ст. 13.11 КоАП; при повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.
Если вы юрист и разрабатываете ОРД для оператора — этот материал даёт пошаговую структуру регламента и перечень норм, которые он должен закрыть. → Заказать аудит ОРД

Инцидент с персональными данными может произойти в любой момент: взлом базы данных, ошибочная рассылка, утечка через подрядчика. Оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения — и представить отчёт о расследовании через 72 часа. Без готового регламента оба срока невозможно выдержать. Ниже — структура документа, нормативная база и типовые ошибки.

Что такое регламент реагирования на инциденты и почему он обязателен?

Регламент реагирования на инциденты с ПДн — это внутренний документ оператора, устанавливающий: кто, в какой последовательности и в какие сроки действует при обнаружении факта или признаков неправомерной обработки персональных данных. Обязанность принять организационные и технические меры, в том числе внутренние регламенты, закреплена в ст. 18.1 ФЗ-152. Назначение ответственного за организацию обработки по ст. 22.1 ФЗ-152 без сопровождающего регламента фактически бессмысленно: ответственный не знает, что делать в первый час инцидента.

«Ст. 18.1 ФЗ-152 обязывает оператора принять меры для обеспечения выполнения обязанностей, предусмотренных законом, включая издание локальных актов и назначение лиц, ответственных за их исполнение.»

Отсутствие регламента при проверке РКН — основание для протокола по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Если инцидент уже произошёл и уведомление подано с нарушением срока — ч. 11 ст. 13.11 (1–3 млн ₽). Документ нельзя составить «задним числом»: РКН проверяет дату создания файла и историю правок в системе документооборота.

Разрабатываете ОРД для оператора ПДн?

Регламент реагирования входит в обязательный пакет из 38 документов. Если в комплекте есть пробелы — при проверке РКН каждый отсутствующий документ создаёт отдельное основание для протокола. Юристы DATUM соберут полный пакет ОРД под ключ, включая регламент реагирования, политику конфиденциальности и согласия по требованиям ФЗ-156.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 1. Определите структуру документа и его место в системе ОРД

Регламент не существует изолированно. Он ссылается на политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), уведомление в реестр РКН (ст. 22 ФЗ-152, Приказ РКН №180 от 28.10.2022) и журнал инцидентов. Структура типового регламента включает семь разделов:

  • Область применения: какие ИСПДн и категории ПДн охватывает документ.
  • Термины и определения: инцидент, утечка, субъект, оператор, обработчик — со ссылками на ст. 3 ФЗ-152.
  • Роли и ответственность: ответственный по ст. 22.1, CISO или ИТ-служба, юридическая служба, руководитель.
  • Классификация инцидентов: по типу (утечка, несанкционированный доступ, уничтожение), по масштабу (до 1 000 / 1 000–10 000 / более 10 000 субъектов), по категории данных (общие, специальные по ст. 10, биометрические по ст. 11).
  • Порядок действий: пошаговый алгоритм с временными метками.
  • Уведомление РКН: форма, срок, содержание первичного уведомления и 72-часового отчёта.
  • Порядок документирования и хранения материалов расследования.

Классификация инцидентов по масштабу критически важна: от неё зависит часть ст. 13.11 КоАП, по которой будет квалифицировано нарушение (ч. 12 — от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽; ч. 13 — от 10 000 до 100 000, штраф 5–10 млн ₽; ч. 14 — более 100 000, штраф 10–15 млн ₽).

Шаг 2. Пропишите алгоритм первых 24 часов

Первые 24 часа — единственное окно, в котором можно избежать штрафа по ч. 11 ст. 13.11 КоАП. Срок исчисляется с момента обнаружения, а не с момента подтверждения инцидента. Это означает: как только сотрудник зафиксировал признаки — отсчёт начался.

«Ст. 21 ч. 3.1 ФЗ-152 обязывает оператора уведомить РКН о факте неправомерной или случайной передачи, предоставления, распространения или иных неправомерных действий с ПДн в течение 24 часов с момента их обнаружения.»

В регламент включите следующий порядок первых 24 часов:

  • Час 0–1: фиксация факта обнаружения — кем, где, при каких обстоятельствах; отметка в журнале инцидентов с точным временем.
  • Час 1–2: уведомление ответственного по ст. 22.1 и руководителя; предварительная оценка масштаба (число субъектов, категория данных).
  • Час 2–6: блокирование или изоляция скомпрометированного ресурса; сбор доказательной базы (логи, снимки экрана, копии файлов).
  • Час 6–20: подготовка первичного уведомления в РКН через pd.rkn.gov.ru: наименование оператора, описание инцидента, предполагаемые причины, категории и примерное число субъектов, контактное лицо.
  • Час 20–24: направление уведомления; фиксация факта отправки с отметкой времени.

Шаблон первичного уведомления должен быть прикреплён к регламенту как приложение. Заполнение «с нуля» в момент инцидента — гарантия пропуска срока.

Шаг 3. Опишите порядок 72-часового отчёта в РКН

Через 72 часа с момента обнаружения оператор направляет в РКН результаты внутреннего расследования. Порядок определён Приказом РКН №187 от 14.11.2022, действует с 01.03.2023. Отчёт должен содержать: установленные причины инцидента, перечень мер, принятых для устранения последствий, и сведения о лицах, допустивших нарушение (при наличии).

  • Час 24–48: расследование — анализ логов, опрос причастных сотрудников, установление точного числа затронутых субъектов и состава скомпрометированных данных.
  • Час 48–68: подготовка отчёта: описание хронологии, перечень данных, причины, меры по устранению, меры для предотвращения повторения.
  • Час 68–72: направление отчёта в РКН; фиксация времени отправки.

В регламент включите шаблон 72-часового отчёта как отдельное приложение. Если причины инцидента к моменту отчёта не установлены — это следует прямо указать с описанием хода расследования. Замалчивание неизвестных фактов хуже их признания.

Если инцидент уже произошёл и 24 часа на исходе — вам нужен юрист прямо сейчас. Срок уведомления РКН не восстанавливается; каждый час просрочки усиливает позицию регулятора при квалификации нарушения по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽).

Реагировать на утечку

Шаг 4. Зафиксируйте роль ответственного и порядок уведомления субъектов

Ответственный за организацию обработки ПДн (ст. 22.1 ФЗ-152) — центральная фигура регламента. В документе должно быть указано его наименование должности (не имя), полномочия при инциденте и порядок замещения при отсутствии. Если функция передана на аутсорсинг (DPO-аутсорсинг), в регламенте прописывается контакт подрядчика и время его реакции.

«Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Это лицо должно обладать достаточной квалификацией для выполнения возложенных задач.»

Отдельный раздел регламента — уведомление субъектов ПДн. Прямой обязанности уведомлять субъектов об инциденте в ФЗ-152 нет, однако такая обязанность может быть предусмотрена договором или согласием. Кроме того, РКН в ходе расследования может запросить сведения о принятых мерах по информированию пострадавших. Практика 2024–2025 годов показывает: операторы, добровольно уведомившие субъектов, получают более мягкую оценку от регулятора.

Согласия работников и клиентов, собранные до 01.09.2025, могут быть составлены в формате, совместимом с иными документами. С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом. Если в ходе инцидента выяснится, что основание для обработки отсутствовало или оформлено с нарушением — это дополнительный состав по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽).

Шаг 5. Установите порядок документирования и проверки регламента

Регламент теряет ценность без системы его поддержания в актуальном состоянии. После каждого инцидента — обязательный разбор: что сработало, что нет, какие шаги заняли больше времени, чем запланировано. Результаты разбора вносятся в протокол и служат основанием для обновления документа.

  • Пересмотр регламента — не реже одного раза в год или после каждого зафиксированного инцидента.
  • Плановые учения (tabletop exercise) — раз в 6–12 месяцев; проверяют, знают ли сотрудники свои роли без подсказки.
  • Журнал инцидентов — хранить не менее трёх лет; при проверке РКН запрашивается в первую очередь.
  • Ознакомление сотрудников под подпись — требование ст. 18.1 ФЗ-152; список ознакомленных прилагается к регламенту.

Регламент должен коррелировать с уведомлением в реестре операторов РКН (ст. 22 ФЗ-152, Приказ РКН №180). Если после инцидента изменились цели обработки, состав ПДн или меры защиты — уведомление подлежит обновлению. Просрочка с обновлением — штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

Что должно быть у оператора до инцидента

  • Регламент реагирования на инциденты с ПДн, утверждённый руководителем и доведённый до всех причастных сотрудников под подпись.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с указанием полномочий и порядка замещения.
  • Шаблоны первичного уведомления и 72-часового отчёта в РКН, актуализированные под Приказ РКН №187.
  • Журнал инцидентов с формой записи: дата, описание, масштаб, меры, исход.
  • Политика обработки ПДн, опубликованная по ст. 18.1 ФЗ-152, с актуальным разделом о мерах защиты.

Как применяется регламент на практике: типовые сценарии

Сценарий 1. Утечка через подрядчика. Маркетинговое агентство, которому оператор передал базу клиентов по договору поручения (п. 3 ст. 6 ФЗ-152), допустило несанкционированный доступ третьих лиц. Оператор обнаружил факт через 6 часов после появления базы в открытом доступе. Если регламент предусматривает процедуру мониторинга утечек и чёткий порядок действий — уведомление РКН можно направить в срок. Без регламента: координация между юристом, ИТ и руководством занимает 10–15 часов; срок пропущен; штраф по ч. 11 ст. 13.11 КоАП неизбежен. Верховный суд РФ последовательно подтверждает: оператор несёт ответственность за утечку через подрядчика наравне с прямой утечкой.

Сценарий 2. Ошибочная рассылка. Сотрудник HR-службы направил файл с персональными данными 1 200 работников не тому адресату. Масштаб: 1 200 субъектов — квалификация по ч. 12 ст. 13.11 КоАП (штраф 3–5 млн ₽). Если регламент содержит классификацию инцидентов по масштабу и соответствующий алгоритм — ответственный за 2 часа определяет категорию, инициирует уведомление РКН, параллельно направляет запрос адресату на уничтожение файла. Документирование этих действий впоследствии учитывается судом как смягчающее обстоятельство. В одном из дел, рассмотренных арбитражным судом Центрального округа в начале 2026 года, оператор снизил штраф по ч. 12 ст. 13.11 в полтора раза именно за счёт доказанной оперативности реагирования. ⚠️ Номер дела — менеджер уточняет при публикации.

Сценарий 3. Неопределённый инцидент (false positive). Система мониторинга зафиксировала аномальный трафик; неизвестно, является ли это утечкой. Регламент должен содержать критерии, при которых событие квалифицируется как инцидент, требующий уведомления РКН, и критерии «подозрительного события», не требующего немедленного уведомления, но подлежащего расследованию. Отсутствие таких критериев приводит к двум крайностям: либо оператор молчит и пропускает реальный инцидент, либо засыпает РКН ложными уведомлениями, что также влечёт административный риск.

Услуги DATUM по теме

  • Комплект ОРД под ключ — регламент, политика, приказы, согласия, журналы: 38 документов за фиксированную цену.
  • Аудит соответствия 152-ФЗ — проверка актуальности регламента и всего пакета ОРД по чек-листу из 38 пунктов.
  • DPO-аутсорсинг — постоянное дежурство ответственного по ст. 22.1, включая реагирование на инциденты в рабочие и нерабочие часы.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Базовый комплект ОРД включает не менее 38 документов: политика обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152, журнал учёта обращений, регламент реагирования на инциденты, инструкции по работе с ПДн для сотрудников. Отсутствие любого из этих документов при проверке РКН создаёт основание для протокола по ч. 1 или ч. 3 ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика обработки ПДн должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, категории ПДн, меры защиты, порядок уничтожения, права субъекта. Документ публикуется на сайте оператора в свободном доступе. Политика должна соответствовать уведомлению в реестре РКН по форме Приказа РКН №180 от 28.10.2022: расхождения между реестром и политикой — типовая ошибка при проверках.

3. Кого назначить ответственным по ст. 22.1?

Ответственным по ст. 22.1 ФЗ-152 может быть назначен штатный сотрудник с достаточной квалификацией в области обработки персональных данных — как правило, юрист, руководитель ИТ-службы или специально выделенное должностное лицо. Закон допускает передачу этой функции сторонней организации (DPO-аутсорсинг). Ключевое требование: лицо должно реально располагать полномочиями и ресурсами для выполнения обязанностей, а не быть назначенным формально.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытого источника создаёт три типовых риска. Первый: шаблон не учитывает фактическую обработку данных именно этим оператором — цели, категории, системы, подрядчики. Второй: шаблон может быть составлен до поправок ФЗ-156 от 24.06.2025 и не отражать требования к согласиям с 01.09.2025. Третий: расхождение между шаблоном и уведомлением в реестре РКН немедленно фиксируется инспектором. Шаблон допустим как отправная точка, но не как финальный документ.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется исключительно отдельным документом — его нельзя включать в договор, оферту или политику конфиденциальности. Обязательные реквизиты: ФИО субъекта, его контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия и порядок его отзыва. Согласия, полученные до 01.09.2025 в иной форме, переоформлять не требуется — обратной силы норма не имеет, но при новых сборах старая форма уже недействительна.

6. Что будет, если не отправить уведомление об инциденте в 24 часа?

Нарушение 24-часового срока уведомления РКН об инциденте квалифицируется по ч. 11 ст. 13.11 КоАП (в редакции с 30.05.2025) — штраф для юридического лица составляет от 1 000 000 до 3 000 000 ₽. Срок не восстанавливается: направление уведомления на вторые или третьи сутки не освобождает от ответственности, а лишь может быть учтено судом как смягчающее обстоятельство при определении размера штрафа в рамках санкции.

Итог

Регламент реагирования на инциденты с ПДн — не формальность ОРД, а рабочий инструмент, от которого зависит, уложится ли оператор в 24 часа при уведомлении РКН. Без готового документа и отработанных процедур нарушение срока при любом инциденте почти неизбежно. Штраф по ч. 11 ст. 13.11 КоАП начинается от 1 млн ₽, при повторной утечке — оборотный до 500 млн ₽.

Практика DATUM по разработке ОРД для операторов ПДн — с 2014 года. Регламент реагирования разрабатывается в составе полного пакета из 38 документов с учётом отраслевой специфики и фактической инфраструктуры клиента.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.

24 сентября 2026 года