Кейсы Полезные статьи Направления Тарифы О проекте
Войти Попробовать бесплатно

Утечка персональных данных в онлайн-школе: пошаговые действия

Наталья Бердникова 10 мин чтения
Если вы обнаружили утечку персональных данных клиентов, у вас есть 24 часа на уведомление Роскомнадзора и максимум 72 часа на расширенный отчет. Штрафы за утечку стартуют от 3 млн рублей и могут доходить до 500 млн в зависимости от объема скомпрометированных данных. Главное в первые часы — изолировать проблему, зафиксировать факт и начать документировать действия. Разбираем точный план действий и типичные ошибки, которые увеличивают штраф в несколько раз.

Утечка персональных данных — это не просто скандал или репутационный ущерб. Это административное правонарушение, которое немедленно требует уведомления регулятора. Если вы владелец онлайн-школы или продюсер курсов и это случилось, нужно действовать быстро и по плану. Потеря драгоценного времени обойдется вам в миллионы.

Мы разберем, что нужно сделать в каждое окно времени, как правильно уведомить Роскомнадзор, какие ошибки категорически недопустимы и как минимизировать штраф.

Содержание:

  1. Что считается утечкой и кто в зоне риска
  2. Первые действия: часы 0-2
  3. Изоляция и фиксация: часы 2-24
  4. Уведомление Роскомнадзора: точный формат
  5. Таблица штрафов по объему утечки
  6. Уведомление субъектов персональных данных
  7. Типичные ошибки, которые увеличивают штраф
  8. Чеклист по часам

Что считается утечкой и кто в зоне риска

Утечка по 152-ФЗ — это любое неосторожное раскрытие персональных данных: взлом сервера, украденный ноутбук с файлом excel с базой, фото с видимыми данными в открытом доступе, скриншот в групповом чате. Главное условие — данные попали туда, куда не должны были. Уведомлять Роскомнадзор нужно немедленно, если данные чужого доступа получили неавторизованные лица.

Утечка отличается от инцидента. Инцидент — это попытка несанкционированного доступа, которая не прошла. Утечка — когда доступ состоялся и данные скомпрометированы.

По 152-ФЗ у вас как оператора персональных данных есть обязанность принимать все разумные меры защиты. Если мер было недостаточно — это уже нарушение. Если утечка произошла — это еще большее нарушение.

Кто попадает под риск:

  • Любая онлайн-школа или платформа с формой регистрации
  • Сервисы с почтовой рассылкой
  • Платежные системы, обработчики платежей
  • CRM, где хранятся контакты клиентов
  • Чаты и сообщества, где есть персональные данные

Даже если утечка небольшая — несколько контактов или паролей, — это все равно считается утечкой, требующей уведомления. Подробнее о требованиях 152-ФЗ читайте в статье «152-ФЗ для онлайн-школ: как не получить штраф до 6 млн рублей».

Первые действия: часы 0-2

Получили подозрение на утечку? Сначала подтвердите факт: проверьте логи, свяжитесь с техподдержкой хостера, опросите команду. Параллельно скопируйте все доказательства утечки (скриншоты, ссылки, письма). Не паникуйте публично — не публикуйте об инциденте в социальные сети и не рассылайте сообщения клиентам.

Действие 1: подтвердите факт (15-30 минут)

Первое — убедиться, что это действительно утечка, а не ложная тревога. Спросите себя:

  • Откуда мы узнали о проблеме (письмо хакера, скриншот, поиск в интернете)?
  • Какие данные точно скомпрометированы (ФИ, почты, пароли, номера телефонов)?
  • Сколько людей это касается?

Проверьте:

  • Логи сервера на предмет неизвестных IP-адресов
  • Файлы на сервере — не было ли создано новых файлов, скриптов, бэкдоров
  • Базу данных — не было ли несанкционированных запросов в последние дни

Если вы используете облачный хостинг (DigitalOcean, AWS, Yandex Cloud), сразу свяжитесь со служебной поддержкой и опишите подозрение. Они помогут с логами и анализом инцидента.

Действие 2: соберите доказательства (30 минут)

Скопируйте все:

  • Скриншоты утечки (URL с данными, чаты, письма)
  • Время обнаружения (с точностью до минут)
  • Логи доступа с timestamp
  • Данные о первоисточнике (откуда вы узнали)
  • Список ответственных людей, которые знают об инциденте

Сохраняйте все в отдельную папку, защитите доступ — это будут доказательства для РКН.

Действие 3: созовите команду (1-2 часа)

Вам нужна чрезвычайная встреча с руководством, техническим специалистом и (если есть) юристом. На встречу:

  • Как подтвердить масштаб утечки
  • Как остановить дальнейший доступ
  • Когда начинать уведомлять РКН (ответ: сейчас же, не позже 24 часов)
  • Как информировать клиентов (после РКН, а не вместо РКН)

Изоляция и фиксация: часы 2-24

После подтверждения факта нужно остановить дальнейший доступ: закрыть уязвимость, отключить затронутые сервисы, сбросить пароли администраторов, изменить ключи API. Параллельно начните составлять отчет для РКН — у вас есть 24 часа на первичное уведомление, потом еще 72 часа на полный отчет.

Действие 4: заблокируйте доступ к скомпрометированным данным (30-60 минут)

Если была взломана база — смените все пароли администраторов, отключите дополнительные учетные записи, которые могли быть созданы хакером.

Если был взломан сервер — выключите его, переведите трафик на резервный сервер, если есть.

Если была украдена папка с данными — убедитесь, что она больше не в открытом доступе.

Не спешите публиковать информацию об инцидента — сначала заблокируйте доступ.

Действие 5: проведите форензический анализ (в течение 6-12 часов)

Это уже может делать специальная компания, если у вас нет своего эксперта:

  • Когда произошел первый несанкционированный доступ
  • Какие именно данные были скопированы
  • Использовались ли данные для какого-то другого назначения

Эта информация понадобится для РКН. Если вы не можете провести анализ сами, наймите фирму по кибербезопасности. Стоит 50-200 тыс рублей, но это куда дешевле штрафа.

Действие 6: начните собирать отчет для РКН (в течение 24 часов)

РКН требует предоставить:

  • Дату и время обнаружения утечки
  • Дату и время предполагаемого начала утечки
  • Количество и категория скомпрометированных данных
  • Описание произошедшего
  • Предпринятые меры по локализации утечки
  • План действий на будущее

Отчет отправляете по адресу pd@rkn.gov.ru с темой строго по шаблону: «Уведомление об утечке персональных данных. [Ваша организация]»

Уведомление Роскомнадзора: точный формат

Уведомление в РКН делится на два этапа: первичное (в течение 24 часов) и расширенное (в течение 72 часов с момента обнаружения). Первичное может быть кратким — главное, чтобы вы уведомили в сроки. Расширенное должно содержать все детали инцидента и план исправления.

Первичное уведомление (до 24 часов)

Отправляете письмо по форме:

Тема: Уведомление об утечке персональных данных. ООО "Название школы"

В соответствии с требованиями статьи 21 Федерального закона № 152-ФЗ "О защите персональных данных", уведомляем вас об обнаружении факта неосторожного раскрытия персональных данных.

Дата обнаружения: [дата, время]
Предполагаемая дата начала утечки: [дата, время]
Количество затронутых субъектов: [число людей]
Категория данных: [ФИ, почты, телефоны, пароли и пр.]
Описание произошедшего: [краткое описание]

Предпринятые меры:
- [список действий по блокировке доступа]

Дата отправки полного отчета: [дата, когда пошлете расширенное уведомление]

Письмо отправляете по адресу: pd@rkn.gov.ru

Обязательно сохраняйте подтверждение отправки (скриншот или письмо об отправке). Как подать уведомление правильно, читайте в статье «Как подать уведомление в Роскомнадзор: пошаговая инструкция».

Расширенное уведомление (до 72 часов)

В течение 72 часов отправляете второе письмо с полной информацией:

  • Результаты форензического анализа
  • Полный список затронутых людей (или количество, если список большой)
  • Какие категории данных скомпрометированы
  • Как были нарушены меры защиты
  • План действий на будущее (улучшение безопасности)
  • Информация о том, уведомили ли субъектов данных (людей) об утечке

Таблица штрафов по объему утечки

3 млн — 500 млн руб.
диапазон штрафов за утечку персональных данных по 152-ФЗ (2025)

Штрафы за утечку считаются по формуле, указанной в КоАП (статья 13.11). Читайте подробнее о новых штрафах в статье «Новые штрафы за персональные данные с 30 мая 2025: что изменилось и что проверить».

Объем утечки Штраф за первое нарушение Повторное нарушение Оборотный штраф
До 1000 записей 3 млн руб. 4.5 млн руб. до 3% выручки
1000 — 10000 записей 5 млн руб. 7.5 млн руб. до 3% выручки
Более 10000 записей 6 млн руб. 9 млн руб. до 3% выручки
Повторная утечка (в течение года) до 18 млн руб. до 500 млн или 10% выручки

Важно: оборотный штраф применяется, если человека повторно беспокоят с этими данными (звонки мошенников, фишинг и пр.). То есть штраф может быть еще больше штрафа по КоАП, если данные будут использованы в преступных целях.

Уведомление субъектов персональных данных

Люди, чьи данные утекли, должны узнать об этом от вас. Уведомление отправляют обязательно, но после уведомления РКН (это важный порядок). Сообщаем фактически произошедшее, какие данные утекли, и какие шаги они должны предпринять.

Как уведомлять

Отправляете письма / СМС / звонки всем людям, чьи данные скомпрометированы:

Тема письма: Важное уведомление о безопасности вашего аккаунта

Уважаемый [Имя],

Мы обнаружили, что персональные данные были неосторожно раскрыты в результате инцидента безопасности. В утечку попали:
- Фамилия, имя
- Адрес электронной почты
- Номер телефона

Немедленные действия, которые рекомендуем вам предпринять:
1. Смените пароль в нашей системе
2. Проверьте привязанную почту на наличие подозрительной активности
3. Не открывайте письма от неизвестных отправителей с просьбой подтвердить данные

Мы сообщили об инциденте в Роскомнадзор и проводим расследование.

Отправляйте уведомления в течение 3-5 рабочих дней после уведомления РКН.

Типичные ошибки, которые увеличивают штраф

Главные ошибки, которые суды и РКН учитывают как отягчающие обстоятельства: задержка с уведомлением РКН, укрывательство факта утечки, отсутствие плана защиты, повторные утечки. Каждая ошибка может увеличить штраф на несколько миллионов.

Ошибка 1: не уведомили РКН в срок

Если вы уведомили РКН позже, чем через 24 часа (а расширенное уведомление позже 72 часов), это считается отягчающим обстоятельством. Штраф может быть увеличен в 1.5-2 раза.

Ошибка 2: скрывали факт утечки

Если позже выяснится, что вы знали об утечке раньше, чем сообщили — это очень плохо. Это считается скрытием правонарушения и может привести к уголовной ответственности по ст. 272.1 УК РФ (нарушение прав на защиту информации).

Ошибка 3: не провели форензический анализ

РКН ценит, когда вы показываете, что разбирались в инциденте: когда началась утечка, как именно были украдены данные, какие пробелы в защите это обнаружило. Если вы не проводили анализ и не можете объяснить, почему — штраф будет выше.

Ошибка 4: повторные утечки в течение года

Если в течение 12 месяцев произойдет еще одна утечка, штраф прыгает в разы. Вместо 3-6 млн рублей может быть уже 9-18 млн. Плюс оборотный штраф до 500 млн рублей.

Ошибка 5: неправильное уведомление субъектов данных

Если вы уведомили людей некорректно (не всех, не вовремя, не четко описали суть проблемы) — это отягчает статус.

Ошибка 6: отсутствие плана предотвращения

Если в расширенном уведомлении РКН вы не описали, какие меры вы примете в будущее, чтобы такое не повторилось — РКН может требовать дополнительные действия или наложить штраф за халатность.

Чеклист по часам

Первые 2 часа после обнаружения утечки

  • ✓ Подтвердить факт утечки (проверить логи, свяжитесь с техподдержкой)
  • ✓ Скопировать все доказательства (скриншоты, логи, письма)
  • ✓ Созвать собрание руководства и техспециалистов
  • ✓ Не публиковать информацию в социальные сети пока

Часы 2-6

  • ✓ Заблокировать доступ к скомпрометированным данным
  • ✓ Сменить пароли администраторов
  • ✓ Выключить затронутые сервисы (если необходимо)
  • ✓ Начать форензический анализ или нанять специалистов

Часы 6-24

  • ✓ Завершить первичный анализ инцидента
  • ✓ Составить первичное уведомление в РКН
  • ✓ Отправить уведомление по адресу pd@rkn.gov.ru
  • ✓ Сохранить подтверждение отправки
  • ✓ Начать полный форензический анализ (если не начали)

Часы 24-72

  • ✓ Завершить форензический анализ
  • ✓ Составить расширенное уведомление в РКН со всеми деталями
  • ✓ Описать план действий по улучшению безопасности
  • ✓ Отправить расширенное уведомление в РКН
  • ✓ Подготовить письма для уведомления субъектов данных

День 3-5 после обнаружения

  • ✓ Отправить уведомления всем затронутым людям
  • ✓ Опубликовать информацию на сайте (если необходимо по закону)
  • ✓ Начать внедрение мер по защите
  • ✓ Провести встречу с командой по итогам

Не хотите разбираться сами?

ЭдПрав проверит защиту ваших данных до того, как случится инцидент. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на апрель 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.

Не хотите разбираться сами?

ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.

Попробовать бесплатно →