КадрЭДО

Утечка данных из КЭДО: штрафы 2026, план на 24 часа

Мария Ж. 18 мин чтения

Утечка данных из КЭДО ставит перед работодателем жесткий дедлайн: по статье 21 закона 152-ФЗ на первое уведомление Роскомнадзора отведено 24 часа с момента обнаружения инцидента, а штраф за саму утечку для юридического лица начинается с 3 миллионов рублей. Из этой статьи вы узнаете, кто платит штраф, если данные утекли на стороне вендора, что делать в первые сутки по часам, какие документы запросит регулятор и как заранее закрыть риск через договор с провайдером. Профилактике посвящен отдельный материал о том, как защитить кадровые документы от утечки, здесь же разберем сценарий, когда инцидент уже произошел или всерьез рассматривается службой ИБ как риск.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Кто отвечает при утечке данных из КЭДО: работодатель или вендор

Оператором персональных данных работников по 152-ФЗ остается работодатель, даже если система КЭДО облачная и физически данные хранятся на серверах провайдера. Это значит: уведомляет Роскомнадзор работодатель, штраф по статье 13.11 КоАП платит работодатель, и претензии работников по главе 14 ТК РФ тоже адресуются работодателю. Вендор КЭДО в этой конструкции — лицо, осуществляющее обработку по поручению оператора (часть 3 статьи 6 152-ФЗ), и напрямую перед регулятором за вашу утечку он не отвечает.

Переложить потери на провайдера можно только одним способом — регрессом по договору. Если в договоре нет обязанности вендора уведомить вас об инциденте в конкретный срок, передать журналы и логи, содействовать расследованию и возместить убытки, то юридически вы останетесь один на один со штрафом даже при стопроцентной вине провайдера. В практике Добыто раздел об инцидентах закладывается в договор на этапе подключения: фиксируются канал экстренного оповещения, срок уведомления клиента и порядок передачи выгрузки журнала событий для расследования.

Отдельный случай — утечка по вине самого работодателя внутри исправной системы: скомпрометированная учетная запись кадровика, избыточные права доступа, выгрузка реестра сотрудником. По статистике инцидентов с кадровыми данными это самый частый канал, и здесь вопрос регресса к вендору не возникает вовсе.

Мария Ж, юрист, судебный эксперт в сфере корпоративного и трудового права: «Первый вопрос, который безопасник задает на пресейле: если утечет у вас — кто платит. Ответ всегда один: административный штраф платит оператор, то есть работодатель. Поэтому я советую читать в договоре с любым вендором не раздел о тарифах, а раздел об инцидентах: срок уведомления, передача логов, ответственность. Если этого раздела нет — его нужно требовать до подписания, после инцидента договариваться поздно.»

Технические требования к системе КЭДО, влияющие на защиту кадровых данных от утечки

Штрафы и ответственность за утечку кадровых данных в 2026 году

С 30 мая 2025 года действует редакция статьи 13.11 КоАП РФ, введенная законом 420-ФЗ от 30.11.2024. Размер штрафа за первую утечку зависит от числа пострадавших субъектов, за повторную применяется оборотный штраф от выручки. Сумма для компании складывается из двух независимых составов: за саму утечку и за нарушение порядка уведомления Роскомнадзора.

Нарушение Штраф для юрлица Норма
Утечка данных 1 000 — 10 000 субъектов 3 — 5 млн руб. ч. 12 ст. 13.11 КоАП
Утечка данных 10 000 — 100 000 субъектов 5 — 10 млн руб. ст. 13.11 КоАП
Утечка данных свыше 100 000 субъектов или свыше 1 млн идентификаторов 10 — 15 млн руб. ст. 13.11 КоАП
Утечка специальных категорий данных 10 — 15 млн руб. ст. 13.11 КоАП
Утечка биометрических данных 15 — 20 млн руб. ч. 17 ст. 13.11 КоАП
Повторная утечка 1 — 3% годовой выручки, не менее 25 млн и не более 500 млн руб. ст. 13.11 КоАП
Неуведомление Роскомнадзора об утечке в срок 1 — 3 млн руб. ст. 13.11 КоАП

Обратите внимание: в сети до сих пор много материалов со старыми суммами в 100 — 500 тысяч рублей — это редакция до 30 мая 2025 года, ориентироваться на нее нельзя. Вторая распространенная ошибка — смешивание составов: оборотный штраф применяется только за повторную утечку, за первую действуют фиксированные градации из таблицы. Повторность фиксируется, если новый инцидент произошел в течение года после исполнения постановления по предыдущему.

Спецкатегории в кадровых документах: где скрыт штраф 10-15 миллионов

Кадровый контур почти всегда содержит специальные категории персональных данных, о чем работодатели часто не задумываются: заключения медосмотров и данные о состоянии здоровья, справки об отсутствии судимости, сведения об инвалидности из документов на льготы. Если в утекшем массиве были такие документы, утечка квалифицируется по повышенной планке 10 — 15 млн рублей независимо от числа пострадавших. Практический вывод для настройки КЭДО: медицинские документы и справки о судимости выделяются в отдельный раздел с максимально узким кругом доступа.

Уголовная ответственность: статья 272.1 УК РФ

С декабря 2024 года действует статья 272.1 УК РФ о незаконных сборе, передаче и использовании компьютерной информации с персональными данными. Она адресована в первую очередь тем, кто торгует базами, но напрямую касается и инсайдера: сотрудник, скачавший и передавший наружу реестр персонала, рискует уже не выговором, а уголовным делом с наказанием вплоть до лишения свободы. Для работодателя это аргумент в переговорах с виновником и в заявлении в правоохранительные органы.

Когда штраф заменят предупреждением или снизят

Закон 420-ФЗ впервые ввел механику смягчения. Оборотный штраф за повторную утечку может быть снижен до 0,1% выручки (но не менее 15 и не более 50 млн рублей), если компания документально подтверждает расходы на информационную безопасность не менее 0,1% выручки за три предыдущих года, соответствие требованиям 152-ФЗ и отсутствие отягчающих обстоятельств. Для первого малозначительного нарушения субъектам малого бизнеса доступна замена штрафа предупреждением по статье 4.1.1 КоАП при своевременном уведомлении и отсутствии вреда. Общая логика регулятора: скрывать инцидент всегда дороже, чем уведомить вовремя, потому что неуведомление добавляет отдельный штраф и лишает права на смягчение.

Оценить, какие требования 152-ФЗ уже закрыты в вашей компании, а какие создают риск, можно прямо здесь:

Калькулятор соответствия 152-ФЗ
Проверка готовности обработки персональных данных работников
Базовый режим. Шесть ключевых требований 152-ФЗ к работодателю. Отметьте то, что выполнено в компании.
соответствие 152-ФЗ
Проверено профессионалами · Источник: dobyto.ru — КЭДО Добыто

Первые 72 часа после утечки: план действий по срокам закона

Сроки реагирования заданы статьей 21 закона 152-ФЗ, и главный из них — не 72 часа, как часто пишут, а 24. За сутки нужно успеть подтвердить факт инцидента и подать первое уведомление, полное расследование закон разрешает завершить позже.

Срок Действия
Час 0 Изолировать канал утечки: заблокировать скомпрометированные учетные записи, отозвать сессии, при необходимости ограничить внешний доступ к системе. Зафиксировать журнал событий КЭДО на момент обнаружения, чтобы логи не были перезаписаны. Документально зафиксировать время обнаружения. Уведомить вендора по экстренному каналу из договора.
До 24 часов Направить в Роскомнадзор уведомление о факте утечки: что произошло, предполагаемые причина и вред, принятые меры, контактное лицо. Подается через личный кабинет оператора на портале pd.rkn.gov.ru.
До 72 часов Завершить внутреннее расследование и направить второе уведомление: результаты, виновные лица (если установлены), меры по недопущению повторения. Параллельно решить вопрос об информировании пострадавших работников.

Как уведомить Роскомнадзор: форма и содержание

Уведомление подается в электронном виде через кабинет оператора персональных данных. Минимальный состав первого уведомления: описание инцидента, категории и предполагаемый объем затронутых данных, предполагаемая причина, оценка вреда субъектам, принятые меры, ответственное лицо и его контакты. Не пытайтесь в первые сутки дать исчерпывающую картину — закон этого не требует, для деталей есть второй этап. Хуже всего вариант «подождем, пока разберемся полностью»: просрочка первых суток — это отдельный штраф 1 — 3 млн рублей поверх штрафа за саму утечку.

Уведомление работников

Прямой обязанности письменно уведомлять каждого пострадавшего работника 152-ФЗ не устанавливает, но информирование снижает и вред (люди успеют сменить пароли, насторожиться к звонкам мошенников), и риск исков о компенсации морального вреда. Разумный формат — адресная рассылка через ту же систему КЭДО с описанием того, какие категории данных затронуты и что работнику стоит сделать.

Если компания — субъект КИИ

Для субъектов критической информационной инфраструктуры (энергетика, транспорт, финансы, здравоохранение и другие сферы по 187-ФЗ) компьютерный инцидент дополнительно передается в ГосСОПКА через НКЦКИ по установленному регламенту. Уведомление Роскомнадзора эту обязанность не заменяет: адресата два, и сроки по линии ГосСОПКА жестче.

Маршрут кадрового документа в КЭДО: точки, в которых фиксируются события для журнала

Самое уязвимое место в первые сутки — отсутствие заранее настроенного экстренного канала с вендором и непонимание, кто и как выгружает журнал событий. Если этот регламент не отработан до инцидента, сутки на уведомление Роскомнадзора уходят на поиск ответственных. Наши специалисты настраивают роли, журналирование и порядок выгрузки логов при подключении, до первого инцидента.

Подготовить регламент реагирования на утечку

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Журнал событий КЭДО как доказательство для регулятора и суда

При расследовании утечки журнал событий системы — основной источник фактов: он показывает, кто, когда и с какого устройства входил в систему, какие документы просматривал, скачивал или выгружал реестром. Для регулятора выгрузка журнала подтверждает, что оператор контролировал обработку; для суда по спору с инсайдером — связывает конкретную учетную запись с конкретной выгрузкой данных.

Минимальный состав событий, которые должна фиксировать система КЭДО: вход и выход пользователя, просмотр карточки сотрудника и документа, скачивание файла, массовая выгрузка, изменение прав доступа, действия администратора. В практике Добыто журнал ведется по каждому из этих типов событий, а выгрузка формируется за произвольный период — это стандартный запрос клиентов при внутренних расследованиях и подготовке ответов регулятору. Важная деталь: глубина хранения логов должна перекрывать срок давности привлечения к ответственности, короткая ротация журнала в момент проверки работает против оператора.

Мария Ж, соучредитель сервиса КЭДО Добыто, юрист: «В спорах о разглашении данных решает не факт утечки, а доказуемость цепочки: учетная запись — действие — файл — время. Бумажный кадровый архив такую цепочку не дает в принципе: невозможно установить, кто открывал шкаф с личными делами. Журнал КЭДО дает ее автоматически, если журналирование включено и логи не перезаписываются слишком быстро. Это тот случай, когда электронный формат юридически сильнее бумаги.»

Проверка Роскомнадзора после инцидента: какие документы должны быть готовы

Уведомлением история не заканчивается: утечка — типовое основание для внепланового контрольного мероприятия. Регулятор оценивает не только сам инцидент, но и то, как была организована обработка до него. Отсутствие любого документа из пакета превращается в самостоятельный состав по статье 13.11 КоАП, даже если по самой утечке вопросов не осталось.

Документ Что проверяет регулятор
Политика обработки ПДн и приказ о назначении ответственного Была ли обработка организована до инцидента, а не задним числом
Согласия работников на обработку данных и на взаимодействие через КЭДО (ст. 22.2 ТК РФ) Законность самой обработки утекших данных
Локальный акт о введении КЭДО и положение о порядке его ведения Правомерность электронного контура кадровых документов
Акт внутреннего расследования и оценка вреда субъектам Соответствие второго уведомления реальным действиям компании
Перечень мер защиты с подтверждением применения, включая выгрузку журнала событий Контролировал ли оператор обработку фактически, а не на бумаге
Договор с вендором КЭДО с разделом об обработке по поручению Оформлена ли передача обработки третьему лицу по ч. 3 ст. 6 152-ФЗ

Базовый комплект согласий стоит держать актуальным постоянно, а не собирать под проверку. Шаблон главного документа пакета можно взять здесь:

Согласие на обработку персональных данных

Базовый бланк по 152-ФЗ — основа любой проверки кандидата и сбора данных.

.DOCX · БЕСПЛАТНО · ОБНОВЛЕНО В 2026

Скачать согласие

Инсайдер слил данные: что компания может сделать

По кадровым данным внутренний канал утечки встречается чаще внешних атак: доступ к личным делам по должности имеют кадровики, бухгалтеры, руководители. Правовой ответ работодателя складывается из трех линий. Дисциплинарная: разглашение персональных данных другого работника, ставших известными в связи с исполнением обязанностей, — самостоятельное основание увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ, а статья 90 ТК прямо перечисляет виды ответственности за нарушение норм о персональных данных. Уголовная: заявление по статье 272.1 УК РФ, если данные собраны или переданы незаконно. Имущественная: взыскание прямого действительного ущерба, включая уплаченный компанией штраф, в порядке материальной ответственности — шансы выше, если с работником оформлены обязательство о неразглашении и ознакомление с положением о персональных данных под подпись.

Техническая профилактика инсайдерского сценария сводится к принципу минимальных прав: кадровик видит только свои подразделения, массовая выгрузка доступна ограниченному кругу и всегда журналируется. В практике Добыто ролевая модель настраивается под оргструктуру клиента при запуске, а не после первого инцидента.

Раздел документов в КЭДО Добыто с разграничением доступа по ролям

Как закрыть риск заранее: договор с вендором и настройка системы

Поскольку штраф в любом сценарии платит работодатель, единственная реальная страховка — проверяемые требования к вендору до подписания договора. Шесть вопросов провайдеру КЭДО, каждый с конкретным способом проверки.

1. Где физически хранится база. Запись и хранение персональных данных граждан РФ должны вестись на территории России (часть 5 статьи 18 152-ФЗ). Проверка: просите назвать конкретный дата-центр, а не формулировку «на российских серверах».

2. Лицензии на защиту информации. У вендора или его инфраструктурного партнера должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации, при использовании криптографии — лицензия ФСБ. Проверка: номер и срок действия в открытых реестрах ФСТЭК и ФСБ, а не страница «о компании».

3. Раздел договора об инцидентах. Срок уведомления клиента об инциденте, канал экстренной связи, обязанность передать логи и содействовать расследованию, ответственность вендора. Проверка: если раздела нет в типовом договоре, требуйте включить его протоколом разногласий до подписания.

4. Журналирование. Какие события фиксируются, глубина хранения, формат и срок выгрузки по запросу. Проверка: запросите тестовую выгрузку журнала на пилоте.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

5. Разграничение доступа. Ролевая модель под вашу оргструктуру, ограничение и журналирование массовых выгрузок. Проверка: настройка ролей на пилотной группе до промышленного запуска.

6. Судьба данных при расторжении договора. Срок и способ возврата или уничтожения данных с составлением акта. Проверка: пункт должен быть в договоре, устные заверения не работают.

Отдельно про включение работников в КЭДО: согласие на электронное взаимодействие оформляется письменно по статье 22.2 ТК РФ, и исключение сделано только для лиц, принятых на работу после 31 декабря 2021 года и не имевших на эту дату трудового стажа — их можно подключать без согласия. Корректно собранные согласия — первый документ, который запросит регулятор после инцидента.

Мария Ж, эксперт по внедрению КЭДО, юрист со стажем более 20 лет: «На пилотных запусках мы всегда просим клиента провести условное учение: смоделировать компрометацию одной учетной записи и пройти таймлайн реагирования по часам. Учение занимает полдня, зато команда точно знает, кто блокирует доступ, кто выгружает журнал и кто отправляет уведомление в Роскомнадзор. Компании, прошедшие такую тренировку, укладываются в суточный срок без паники.»

Образцы документов для работы с персональными данными в КЭДО

Открыть список документов
Документ Скачать
Согласие на обработку персональных данных Скачать
Согласие на обработку ПДн для выпуска сертификата ЭП Скачать
Приказ о введении КЭДО Скачать
Приказ об утверждении Положения о КЭДО Скачать
Положение о ведении КЭДО Скачать

Стоимость КЭДО с защитой кадровых данных

Стоимость системы КЭДО зависит от численности персонала, выбранного тарифа, набора модулей и используемых видов электронной подписи; функции безопасности — журналирование, ролевой доступ, электронный архив — входят в тарифы, а не продаются отдельными опциями.

Тариф Для кого Стоимость Что входит
Старт Небольшие компании, начинающие переход на КЭДО от 30 руб. за сотрудника в месяц До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка
Бизнес Средний бизнес с полным набором функций от 50 руб. за сотрудника в месяц Без лимита сотрудников, ПЭП/УНЭП/УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив
Корпорация Крупный бизнес с расширенными требованиями и SLA По запросу Все из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции

Для компаний с повышенными требованиями к изоляции данных актуален тариф Корпорация с выделенным сервером и SLA. Актуальные условия и состав каждого тарифа собраны на странице тарифов Добыто КЭДО: цена фиксируется за сотрудника в месяц, скрытых доплат за модули безопасности нет.

Ошибки при реагировании на утечку и их цена

Первая ошибка — тихая зачистка следов: удаление скомпрометированных учетных записей и записей журнала до фиксации выгрузки. Для регулятора это признак сокрытия инцидента, а для суда против инсайдера — потеря единственного доказательства цепочки «учетная запись — действие — файл».

Вторая — короткая ротация логов: журналирование включено, но логи перезаписываются за недели. К моменту расследования доказать источник утечки нечем, и позиция «мы контролировали обработку» рассыпается.

Третья — неверная квалификация массива: компания оценивает утечку как обычные данные, а в выгрузке были заключения медосмотров — и вместо 3 — 5 млн вопрос идет о 10 — 15 млн за спецкатегории. Состав утекшего массива нужно проверять по категориям до первого уведомления, а не после запроса регулятора.

Четвертая — нефиксированное время обнаружения: 24 часа отсчитываются с момента выявления инцидента, и если этот момент нигде не задокументирован (служебная записка, запись в журнале инцидентов, автоматическое оповещение), регулятор вправе считать точкой отсчета более раннюю дату — со всеми последствиями в виде штрафа за просрочку 1 — 3 млн рублей.

Выводы: что делать при утечке данных из КЭДО

Ответственность за утечку кадровых данных из КЭДО несет работодатель как оператор персональных данных, независимо от того, где физически произошел инцидент — в его контуре или на стороне провайдера. Компенсировать потери за счет вендора можно только через договор, поэтому раздел об инцидентах, передаче логов и сроках уведомления должен появиться в договоре до подключения, а не после первого происшествия.

Сроки реагирования заданы статьей 21 закона 152-ФЗ: 24 часа на первое уведомление Роскомнадзора о факте утечки и 72 часа на результаты внутреннего расследования. Цена ошибки задана статьей 13.11 КоАП в редакции 420-ФЗ — от 3 млн рублей за первую утечку до оборотного штрафа за повторную, сетка приведена в таблице выше. Своевременное уведомление и документально подтвержденные меры защиты открывают путь к смягчению санкций, сокрытие инцидента только умножает их.

Практическая готовность к инциденту сводится к четырем элементам: настроенное журналирование с достаточной глубиной хранения логов, ролевая модель с минимальными правами и контролем массовых выгрузок, отработанный таймлайн реагирования с назначенными ответственными и полный пакет документов оператора, готовый к внеплановой проверке. Эти же элементы одновременно снижают и вероятность самой утечки, и ее цену.

Частые вопросы об утечке данных из КЭДО

Нужно ли уведомлять Роскомнадзор, если утекли данные всего нескольких сотрудников?
Да. Обязанность уведомления по статье 21 152-ФЗ не привязана к масштабу и возникает при любом инциденте с неправомерной передачей данных. Пороги в 1000, 10 000 и 100 000 субъектов влияют только на размер штрафа, а не на обязанность сообщить: утечка данных даже одного работника требует уведомления.
С какого момента отсчитываются 24 часа на уведомление?
С момента выявления инцидента оператором, а не с момента самой утечки. Поэтому важно фиксировать время обнаружения документально: служебной запиской, записью в журнале инцидентов, автоматическим оповещением системы.
Что делать, если утечку обнаружили через месяц после того, как она произошла?
Действовать по тому же таймлайну от момента обнаружения: уведомить Роскомнадзор в течение 24 часов, за 72 часа завершить расследование. Давность самой утечки не отменяет обязанность уведомления, а вот попытка скрыть обнаруженный инцидент добавит штраф 1 — 3 млн рублей.
Считается ли утечкой случайная отправка документа не тому сотруднику внутри компании?
Формально неправомерная передача персональных данных есть, но внутренний инцидент с одним документом обычно закрывается внутренним разбором и корректировкой прав доступа. Оценивайте по критериям: вышли ли данные за пределы круга допущенных лиц и есть ли вред субъекту. При сомнениях безопаснее уведомить.
Может ли работник взыскать с работодателя компенсацию за утечку своих данных?
Да, через иск о компенсации морального вреда: право на нее прямо предусмотрено статьей 24 152-ФЗ и статьей 237 ТК РФ. Суммы по практике невелики относительно административных штрафов, но при массовой утечке иски множатся на число пострадавших.
Можно ли взыскать уплаченный штраф с сотрудника, который слил данные?
Штраф компании относят к прямому действительному ущербу, и практика взыскания с виновного работника существует, но полная материальная ответственность применяется в ограниченных случаях статьи 243 ТК РФ, например при умышленном причинении ущерба или преступлении. Позицию усиливают подписанное обязательство о неразглашении и доказательства из журнала событий.
Нужно ли уведомлять ГосСОПКА при утечке из КЭДО?
Только если организация является субъектом критической информационной инфраструктуры по 187-ФЗ. Тогда компьютерный инцидент передается в НКЦКИ по регламенту ГосСОПКА параллельно с уведомлением Роскомнадзора, одно другое не заменяет.
Хранение кадровых данных в облачном КЭДО законно?
Да, при двух условиях: база с данными граждан РФ размещена на территории России (часть 5 статьи 18 152-ФЗ), а обработка по поручению оператора оформлена договором с обязательствами по защите. Облачная модель сама по себе нарушением не является.

Утечка кадровых данных в 2026 году — это миллионные штрафы, суточный срок уведомления Роскомнадзора и внеплановая проверка следом. Подготовиться к этому сценарию проще, чем реагировать на него: система КЭДО с настроенным журналированием, ролевым доступом и понятным разделением ответственности с вендором закрывает большую часть рисков еще до инцидента.

Добыто КЭДО включено в реестр отечественного ПО под номером 22664 и разворачивается в компании от одного дня. Журнал событий, разграничение прав и электронный архив входят в тарифы, а требования 377-ФЗ, 63-ФЗ и 152-ФЗ закрываются штатной функциональностью, без доплат за модули безопасности.

  • Журнал событий по каждому действию с документом: вход, просмотр, скачивание, выгрузка
  • Ролевая модель доступа под оргструктуру компании и контроль массовых выгрузок
  • ПЭП и УНЭП для сотрудников бесплатно, поддержка УКЭП и Госключа
  • Раздел об инцидентах в договоре: канал оповещения, сроки, передача логов
  • Электронный архив с сохранением юридической силы документов на весь срок хранения
  • Интеграция с 1С и выделенный сервер на тарифе Корпорация

Проверить готовность компании к инциденту

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.