Как фиксируется риск
Есть ли регламент действий при инциденте с ПДн
Риск нельзя надёжно подтвердить только по сайту: нужны сведения компании о хранении, подрядчиках, процессах и документах.
Почему это может быть нарушением
Возможная норма/основание: 152-ФЗ, ст. 21, 23; Приказ РКН № 128.
Для сайта важно не только наличие текста политики или чекбокса, но и соответствие фактической обработки требованиям закона: какие данные собираются, на каком основании, куда передаются, как защищаются и как пользователь может реализовать свои права.
Штрафы и санкции по закону
Ниже указаны ориентиры по административным штрафам и правовым последствиям для оператора персональных данных. Конкретная сумма зависит от состава нарушения, повторности, категории данных, масштаба обработки, статуса малого бизнеса и позиции регулятора При проверке или рассмотрении дела Роскомнадзор и суд оценивают фактический состав нарушения, повторность и статус оператора.
| ООО / юрлицо | 1–3 млн ₽ за несвоевременное уведомление об инциденте; при утечке — 3–15 млн ₽ и выше по масштабу |
|---|---|
| ИП | 1–3 млн ₽ за несвоевременное уведомление; при утечке — как для оператора |
| Должностное лицо | 400 000–800 000 ₽ за несвоевременное уведомление; при утечке — 200 000–600 000 ₽ |
Ориентиры приведены для типовой ситуации. Для точной оценки нужно учитывать фактические формы, документы, цели обработки, категории данных и повторность нарушения.
Что нужно исправить
Разработать и утвердить план: 24 ч — РКН, 72 ч — расследование, 10 дн — субъекты
- Зафиксировать ответственного, документальное основание и технические действия, которые подтверждают устранение риска.
Кто должен участвовать
- Зона ответственности: Управление + Безопасность.
- Кто исправляет: Руководитель + Юрист + ИБ.
Ссылки на закон и нормы
Частые вопросы
Что означает риск «Нет плана реагирования на утечки»?
Нет плана реагирования на утечки — это ситуация, при которой сайт, документы или внутренние процессы могут не соответствовать требованиям к обработке персональных данных. Риск связан с тем, что на сайте или в процессах компании может быть нарушение требований к обработке персональных данных: нет плана реагирования на утечки.
Какие штрафы возможны для ИП и ООО?
Санкции по закону: для ООО — 1–3 млн ₽ за несвоевременное уведомление об инциденте; при утечке — 3–15 млн ₽ и выше по масштабу; для ИП — 1–3 млн ₽ за несвоевременное уведомление; при утечке — как для оператора. Точный размер зависит от состава нарушения, повторности, категории данных, масштаба обработки и позиции регулятора.
Можно ли выявить этот риск только по сайту?
Не всегда. Часть признаков видна на публичных страницах, но для подтверждения могут понадобиться сведения о CRM, хостинге, подрядчиках, уведомлениях, внутренних документах и фактических процессах компании.
Что исправить в первую очередь?
Сначала нужно подтвердить, где именно возникает риск, затем обновить сайт, документы или внутренние процессы. После исправлений стоит проверить, что пользователь видит нужные уведомления, согласия и ссылки до передачи данных.
Кто должен участвовать в исправлении?
Обычно участвуют владелец сайта или бизнеса, юрист, разработчик и при необходимости специалист по информационной безопасности или подрядчик, который отвечает за CRM, хостинг, виджеты и хранение данных.
Что сделать дальше
Проверьте сайт автоматически, чтобы понять, встречается ли этот риск на публичных страницах. Если риск подтвердится, можно исправить сайт, обновить документы или пройти расширенную проверку процессов.