Нормативный акт

Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия РКН с операторами в рамках ведения реестра учёта инцидентов в области персональных данных»

Приказ установил порядок и условия взаимодействия Роскомнадзора с операторами при ведении реестра учёта инцидентов — как и в какие сроки оператор сообщает об утечке персональных данных. Связан с ч. 3.1 ст. 21 152-ФЗ: первичное уведомление — в 24 часа, результаты расследования — в 72 часа. Ниже — нормы, санкции по ст. 13.11 КоАП РФ и примеры нарушений на сайтах.

№ 1 первичное уведомление (24 часа)

Уведомление об инциденте в течение 24 часов: при инциденте, повлекшем неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, оператор направляет в Роскомнадзор первичное уведомление в течение 24 часов с момента выявления инцидента. Сведения вносятся в реестр учёта инцидентов в порядке, установленном приказом.

Первичное уведомление позднее 24 часов либо его отсутствие — граждане/самозанятые 100 000–300 000 ₽; ДЛ 400 000–800 000 ₽; ИП и ЮЛ 1 000 000–3 000 000 ₽ (с 30.05.2025)
КоАП РФ, ст. 13.11, ч. 11

Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа о факте неправомерной или случайной передачи персональных данных — административный штраф.

1Оператор обнаружил утечку базы клиентов с сайта, но не направил в Роскомнадзор первичное уведомление в течение 24 часов.
2Уведомление направлено с нарушением порядка — не через реестр учёта инцидентов, а произвольным письмом без обязательных сведений.
№ 2 результаты расследования (72 часа)

Сведения о результатах расследования в течение 72 часов: в течение 72 часов с момента выявления инцидента оператор направляет в Роскомнадзор информацию о результатах внутреннего расследования и о лицах, действия которых стали причиной инцидента, а также о принятых мерах по устранению последствий.

Непредставление либо несвоевременное представление результатов расследования — граждане/самозанятые 100 000–300 000 ₽; ДЛ 400 000–800 000 ₽; ИП и ЮЛ 1 000 000–3 000 000 ₽ (с 30.05.2025)
КоАП РФ, ст. 13.11, ч. 11

Невыполнение обязанности по представлению в уполномоченный орган сведений о результатах внутреннего расследования инцидента — административный штраф.

1Оператор подал первичное уведомление, но не передал в Роскомнадзор результаты расследования в течение 72 часов.
2В ходе взаимодействия с РКН оператор не сообщил о принятых мерах по устранению последствий утечки.

Проверьте, какие из этих норм нарушает ваш сайт

Бесплатно за 60 секунд — автоматический аудит со ссылками на конкретные статьи.

Запустить аудит

← Все нормативные акты