Утечка данных из КЭДО ставит перед работодателем жесткий дедлайн: по статье 21 закона 152-ФЗ на первое уведомление Роскомнадзора отведено 24 часа с момента обнаружения инцидента, а штраф за саму утечку для юридического лица начинается с 3 миллионов рублей. Из этой статьи вы узнаете, кто платит штраф, если данные утекли на стороне вендора, что делать в первые сутки по часам, какие документы запросит регулятор и как заранее закрыть риск через договор с провайдером. Профилактике посвящен отдельный материал о том, как защитить кадровые документы от утечки, здесь же разберем сценарий, когда инцидент уже произошел или всерьез рассматривается службой ИБ как риск.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Кто отвечает при утечке данных из КЭДО: работодатель или вендор
Оператором персональных данных работников по 152-ФЗ остается работодатель, даже если система КЭДО облачная и физически данные хранятся на серверах провайдера. Это значит: уведомляет Роскомнадзор работодатель, штраф по статье 13.11 КоАП платит работодатель, и претензии работников по главе 14 ТК РФ тоже адресуются работодателю. Вендор КЭДО в этой конструкции — лицо, осуществляющее обработку по поручению оператора (часть 3 статьи 6 152-ФЗ), и напрямую перед регулятором за вашу утечку он не отвечает.
Переложить потери на провайдера можно только одним способом — регрессом по договору. Если в договоре нет обязанности вендора уведомить вас об инциденте в конкретный срок, передать журналы и логи, содействовать расследованию и возместить убытки, то юридически вы останетесь один на один со штрафом даже при стопроцентной вине провайдера. В практике Добыто раздел об инцидентах закладывается в договор на этапе подключения: фиксируются канал экстренного оповещения, срок уведомления клиента и порядок передачи выгрузки журнала событий для расследования.
Отдельный случай — утечка по вине самого работодателя внутри исправной системы: скомпрометированная учетная запись кадровика, избыточные права доступа, выгрузка реестра сотрудником. По статистике инцидентов с кадровыми данными это самый частый канал, и здесь вопрос регресса к вендору не возникает вовсе.
Мария Ж, юрист, судебный эксперт в сфере корпоративного и трудового права: «Первый вопрос, который безопасник задает на пресейле: если утечет у вас — кто платит. Ответ всегда один: административный штраф платит оператор, то есть работодатель. Поэтому я советую читать в договоре с любым вендором не раздел о тарифах, а раздел об инцидентах: срок уведомления, передача логов, ответственность. Если этого раздела нет — его нужно требовать до подписания, после инцидента договариваться поздно.»
Штрафы и ответственность за утечку кадровых данных в 2026 году
С 30 мая 2025 года действует редакция статьи 13.11 КоАП РФ, введенная законом 420-ФЗ от 30.11.2024. Размер штрафа за первую утечку зависит от числа пострадавших субъектов, за повторную применяется оборотный штраф от выручки. Сумма для компании складывается из двух независимых составов: за саму утечку и за нарушение порядка уведомления Роскомнадзора.
| Нарушение | Штраф для юрлица | Норма |
|---|---|---|
| Утечка данных 1 000 — 10 000 субъектов | 3 — 5 млн руб. | ч. 12 ст. 13.11 КоАП |
| Утечка данных 10 000 — 100 000 субъектов | 5 — 10 млн руб. | ст. 13.11 КоАП |
| Утечка данных свыше 100 000 субъектов или свыше 1 млн идентификаторов | 10 — 15 млн руб. | ст. 13.11 КоАП |
| Утечка специальных категорий данных | 10 — 15 млн руб. | ст. 13.11 КоАП |
| Утечка биометрических данных | 15 — 20 млн руб. | ч. 17 ст. 13.11 КоАП |
| Повторная утечка | 1 — 3% годовой выручки, не менее 25 млн и не более 500 млн руб. | ст. 13.11 КоАП |
| Неуведомление Роскомнадзора об утечке в срок | 1 — 3 млн руб. | ст. 13.11 КоАП |
Обратите внимание: в сети до сих пор много материалов со старыми суммами в 100 — 500 тысяч рублей — это редакция до 30 мая 2025 года, ориентироваться на нее нельзя. Вторая распространенная ошибка — смешивание составов: оборотный штраф применяется только за повторную утечку, за первую действуют фиксированные градации из таблицы. Повторность фиксируется, если новый инцидент произошел в течение года после исполнения постановления по предыдущему.
Спецкатегории в кадровых документах: где скрыт штраф 10-15 миллионов
Кадровый контур почти всегда содержит специальные категории персональных данных, о чем работодатели часто не задумываются: заключения медосмотров и данные о состоянии здоровья, справки об отсутствии судимости, сведения об инвалидности из документов на льготы. Если в утекшем массиве были такие документы, утечка квалифицируется по повышенной планке 10 — 15 млн рублей независимо от числа пострадавших. Практический вывод для настройки КЭДО: медицинские документы и справки о судимости выделяются в отдельный раздел с максимально узким кругом доступа.
Уголовная ответственность: статья 272.1 УК РФ
С декабря 2024 года действует статья 272.1 УК РФ о незаконных сборе, передаче и использовании компьютерной информации с персональными данными. Она адресована в первую очередь тем, кто торгует базами, но напрямую касается и инсайдера: сотрудник, скачавший и передавший наружу реестр персонала, рискует уже не выговором, а уголовным делом с наказанием вплоть до лишения свободы. Для работодателя это аргумент в переговорах с виновником и в заявлении в правоохранительные органы.
Когда штраф заменят предупреждением или снизят
Закон 420-ФЗ впервые ввел механику смягчения. Оборотный штраф за повторную утечку может быть снижен до 0,1% выручки (но не менее 15 и не более 50 млн рублей), если компания документально подтверждает расходы на информационную безопасность не менее 0,1% выручки за три предыдущих года, соответствие требованиям 152-ФЗ и отсутствие отягчающих обстоятельств. Для первого малозначительного нарушения субъектам малого бизнеса доступна замена штрафа предупреждением по статье 4.1.1 КоАП при своевременном уведомлении и отсутствии вреда. Общая логика регулятора: скрывать инцидент всегда дороже, чем уведомить вовремя, потому что неуведомление добавляет отдельный штраф и лишает права на смягчение.
Оценить, какие требования 152-ФЗ уже закрыты в вашей компании, а какие создают риск, можно прямо здесь:
Первые 72 часа после утечки: план действий по срокам закона
Сроки реагирования заданы статьей 21 закона 152-ФЗ, и главный из них — не 72 часа, как часто пишут, а 24. За сутки нужно успеть подтвердить факт инцидента и подать первое уведомление, полное расследование закон разрешает завершить позже.
| Срок | Действия |
|---|---|
| Час 0 | Изолировать канал утечки: заблокировать скомпрометированные учетные записи, отозвать сессии, при необходимости ограничить внешний доступ к системе. Зафиксировать журнал событий КЭДО на момент обнаружения, чтобы логи не были перезаписаны. Документально зафиксировать время обнаружения. Уведомить вендора по экстренному каналу из договора. |
| До 24 часов | Направить в Роскомнадзор уведомление о факте утечки: что произошло, предполагаемые причина и вред, принятые меры, контактное лицо. Подается через личный кабинет оператора на портале pd.rkn.gov.ru. |
| До 72 часов | Завершить внутреннее расследование и направить второе уведомление: результаты, виновные лица (если установлены), меры по недопущению повторения. Параллельно решить вопрос об информировании пострадавших работников. |
Как уведомить Роскомнадзор: форма и содержание
Уведомление подается в электронном виде через кабинет оператора персональных данных. Минимальный состав первого уведомления: описание инцидента, категории и предполагаемый объем затронутых данных, предполагаемая причина, оценка вреда субъектам, принятые меры, ответственное лицо и его контакты. Не пытайтесь в первые сутки дать исчерпывающую картину — закон этого не требует, для деталей есть второй этап. Хуже всего вариант «подождем, пока разберемся полностью»: просрочка первых суток — это отдельный штраф 1 — 3 млн рублей поверх штрафа за саму утечку.
Уведомление работников
Прямой обязанности письменно уведомлять каждого пострадавшего работника 152-ФЗ не устанавливает, но информирование снижает и вред (люди успеют сменить пароли, насторожиться к звонкам мошенников), и риск исков о компенсации морального вреда. Разумный формат — адресная рассылка через ту же систему КЭДО с описанием того, какие категории данных затронуты и что работнику стоит сделать.
Если компания — субъект КИИ
Для субъектов критической информационной инфраструктуры (энергетика, транспорт, финансы, здравоохранение и другие сферы по 187-ФЗ) компьютерный инцидент дополнительно передается в ГосСОПКА через НКЦКИ по установленному регламенту. Уведомление Роскомнадзора эту обязанность не заменяет: адресата два, и сроки по линии ГосСОПКА жестче.
Самое уязвимое место в первые сутки — отсутствие заранее настроенного экстренного канала с вендором и непонимание, кто и как выгружает журнал событий. Если этот регламент не отработан до инцидента, сутки на уведомление Роскомнадзора уходят на поиск ответственных. Наши специалисты настраивают роли, журналирование и порядок выгрузки логов при подключении, до первого инцидента.
Подготовить регламент реагирования на утечку
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Журнал событий КЭДО как доказательство для регулятора и суда
При расследовании утечки журнал событий системы — основной источник фактов: он показывает, кто, когда и с какого устройства входил в систему, какие документы просматривал, скачивал или выгружал реестром. Для регулятора выгрузка журнала подтверждает, что оператор контролировал обработку; для суда по спору с инсайдером — связывает конкретную учетную запись с конкретной выгрузкой данных.
Минимальный состав событий, которые должна фиксировать система КЭДО: вход и выход пользователя, просмотр карточки сотрудника и документа, скачивание файла, массовая выгрузка, изменение прав доступа, действия администратора. В практике Добыто журнал ведется по каждому из этих типов событий, а выгрузка формируется за произвольный период — это стандартный запрос клиентов при внутренних расследованиях и подготовке ответов регулятору. Важная деталь: глубина хранения логов должна перекрывать срок давности привлечения к ответственности, короткая ротация журнала в момент проверки работает против оператора.
Мария Ж, соучредитель сервиса КЭДО Добыто, юрист: «В спорах о разглашении данных решает не факт утечки, а доказуемость цепочки: учетная запись — действие — файл — время. Бумажный кадровый архив такую цепочку не дает в принципе: невозможно установить, кто открывал шкаф с личными делами. Журнал КЭДО дает ее автоматически, если журналирование включено и логи не перезаписываются слишком быстро. Это тот случай, когда электронный формат юридически сильнее бумаги.»
Проверка Роскомнадзора после инцидента: какие документы должны быть готовы
Уведомлением история не заканчивается: утечка — типовое основание для внепланового контрольного мероприятия. Регулятор оценивает не только сам инцидент, но и то, как была организована обработка до него. Отсутствие любого документа из пакета превращается в самостоятельный состав по статье 13.11 КоАП, даже если по самой утечке вопросов не осталось.
| Документ | Что проверяет регулятор |
|---|---|
| Политика обработки ПДн и приказ о назначении ответственного | Была ли обработка организована до инцидента, а не задним числом |
| Согласия работников на обработку данных и на взаимодействие через КЭДО (ст. 22.2 ТК РФ) | Законность самой обработки утекших данных |
| Локальный акт о введении КЭДО и положение о порядке его ведения | Правомерность электронного контура кадровых документов |
| Акт внутреннего расследования и оценка вреда субъектам | Соответствие второго уведомления реальным действиям компании |
| Перечень мер защиты с подтверждением применения, включая выгрузку журнала событий | Контролировал ли оператор обработку фактически, а не на бумаге |
| Договор с вендором КЭДО с разделом об обработке по поручению | Оформлена ли передача обработки третьему лицу по ч. 3 ст. 6 152-ФЗ |
Базовый комплект согласий стоит держать актуальным постоянно, а не собирать под проверку. Шаблон главного документа пакета можно взять здесь:
Согласие на обработку персональных данных
Базовый бланк по 152-ФЗ — основа любой проверки кандидата и сбора данных.
.DOCX · БЕСПЛАТНО · ОБНОВЛЕНО В 2026
Скачать согласиеИнсайдер слил данные: что компания может сделать
По кадровым данным внутренний канал утечки встречается чаще внешних атак: доступ к личным делам по должности имеют кадровики, бухгалтеры, руководители. Правовой ответ работодателя складывается из трех линий. Дисциплинарная: разглашение персональных данных другого работника, ставших известными в связи с исполнением обязанностей, — самостоятельное основание увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ, а статья 90 ТК прямо перечисляет виды ответственности за нарушение норм о персональных данных. Уголовная: заявление по статье 272.1 УК РФ, если данные собраны или переданы незаконно. Имущественная: взыскание прямого действительного ущерба, включая уплаченный компанией штраф, в порядке материальной ответственности — шансы выше, если с работником оформлены обязательство о неразглашении и ознакомление с положением о персональных данных под подпись.
Техническая профилактика инсайдерского сценария сводится к принципу минимальных прав: кадровик видит только свои подразделения, массовая выгрузка доступна ограниченному кругу и всегда журналируется. В практике Добыто ролевая модель настраивается под оргструктуру клиента при запуске, а не после первого инцидента.
Как закрыть риск заранее: договор с вендором и настройка системы
Поскольку штраф в любом сценарии платит работодатель, единственная реальная страховка — проверяемые требования к вендору до подписания договора. Шесть вопросов провайдеру КЭДО, каждый с конкретным способом проверки.
1. Где физически хранится база. Запись и хранение персональных данных граждан РФ должны вестись на территории России (часть 5 статьи 18 152-ФЗ). Проверка: просите назвать конкретный дата-центр, а не формулировку «на российских серверах».
2. Лицензии на защиту информации. У вендора или его инфраструктурного партнера должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации, при использовании криптографии — лицензия ФСБ. Проверка: номер и срок действия в открытых реестрах ФСТЭК и ФСБ, а не страница «о компании».
3. Раздел договора об инцидентах. Срок уведомления клиента об инциденте, канал экстренной связи, обязанность передать логи и содействовать расследованию, ответственность вендора. Проверка: если раздела нет в типовом договоре, требуйте включить его протоколом разногласий до подписания.
4. Журналирование. Какие события фиксируются, глубина хранения, формат и срок выгрузки по запросу. Проверка: запросите тестовую выгрузку журнала на пилоте.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
5. Разграничение доступа. Ролевая модель под вашу оргструктуру, ограничение и журналирование массовых выгрузок. Проверка: настройка ролей на пилотной группе до промышленного запуска.
6. Судьба данных при расторжении договора. Срок и способ возврата или уничтожения данных с составлением акта. Проверка: пункт должен быть в договоре, устные заверения не работают.
Отдельно про включение работников в КЭДО: согласие на электронное взаимодействие оформляется письменно по статье 22.2 ТК РФ, и исключение сделано только для лиц, принятых на работу после 31 декабря 2021 года и не имевших на эту дату трудового стажа — их можно подключать без согласия. Корректно собранные согласия — первый документ, который запросит регулятор после инцидента.
Мария Ж, эксперт по внедрению КЭДО, юрист со стажем более 20 лет: «На пилотных запусках мы всегда просим клиента провести условное учение: смоделировать компрометацию одной учетной записи и пройти таймлайн реагирования по часам. Учение занимает полдня, зато команда точно знает, кто блокирует доступ, кто выгружает журнал и кто отправляет уведомление в Роскомнадзор. Компании, прошедшие такую тренировку, укладываются в суточный срок без паники.»
Образцы документов для работы с персональными данными в КЭДО
Открыть список документов
Стоимость КЭДО с защитой кадровых данных
Стоимость системы КЭДО зависит от численности персонала, выбранного тарифа, набора модулей и используемых видов электронной подписи; функции безопасности — журналирование, ролевой доступ, электронный архив — входят в тарифы, а не продаются отдельными опциями.
| Тариф | Для кого | Стоимость | Что входит |
|---|---|---|---|
| Старт | Небольшие компании, начинающие переход на КЭДО | от 30 руб. за сотрудника в месяц | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес | Средний бизнес с полным набором функций | от 50 руб. за сотрудника в месяц | Без лимита сотрудников, ПЭП/УНЭП/УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив |
| Корпорация | Крупный бизнес с расширенными требованиями и SLA | По запросу | Все из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции |
Для компаний с повышенными требованиями к изоляции данных актуален тариф Корпорация с выделенным сервером и SLA. Актуальные условия и состав каждого тарифа собраны на странице тарифов Добыто КЭДО: цена фиксируется за сотрудника в месяц, скрытых доплат за модули безопасности нет.
Ошибки при реагировании на утечку и их цена
Первая ошибка — тихая зачистка следов: удаление скомпрометированных учетных записей и записей журнала до фиксации выгрузки. Для регулятора это признак сокрытия инцидента, а для суда против инсайдера — потеря единственного доказательства цепочки «учетная запись — действие — файл».
Вторая — короткая ротация логов: журналирование включено, но логи перезаписываются за недели. К моменту расследования доказать источник утечки нечем, и позиция «мы контролировали обработку» рассыпается.
Третья — неверная квалификация массива: компания оценивает утечку как обычные данные, а в выгрузке были заключения медосмотров — и вместо 3 — 5 млн вопрос идет о 10 — 15 млн за спецкатегории. Состав утекшего массива нужно проверять по категориям до первого уведомления, а не после запроса регулятора.
Четвертая — нефиксированное время обнаружения: 24 часа отсчитываются с момента выявления инцидента, и если этот момент нигде не задокументирован (служебная записка, запись в журнале инцидентов, автоматическое оповещение), регулятор вправе считать точкой отсчета более раннюю дату — со всеми последствиями в виде штрафа за просрочку 1 — 3 млн рублей.
Выводы: что делать при утечке данных из КЭДО
Ответственность за утечку кадровых данных из КЭДО несет работодатель как оператор персональных данных, независимо от того, где физически произошел инцидент — в его контуре или на стороне провайдера. Компенсировать потери за счет вендора можно только через договор, поэтому раздел об инцидентах, передаче логов и сроках уведомления должен появиться в договоре до подключения, а не после первого происшествия.
Сроки реагирования заданы статьей 21 закона 152-ФЗ: 24 часа на первое уведомление Роскомнадзора о факте утечки и 72 часа на результаты внутреннего расследования. Цена ошибки задана статьей 13.11 КоАП в редакции 420-ФЗ — от 3 млн рублей за первую утечку до оборотного штрафа за повторную, сетка приведена в таблице выше. Своевременное уведомление и документально подтвержденные меры защиты открывают путь к смягчению санкций, сокрытие инцидента только умножает их.
Практическая готовность к инциденту сводится к четырем элементам: настроенное журналирование с достаточной глубиной хранения логов, ролевая модель с минимальными правами и контролем массовых выгрузок, отработанный таймлайн реагирования с назначенными ответственными и полный пакет документов оператора, готовый к внеплановой проверке. Эти же элементы одновременно снижают и вероятность самой утечки, и ее цену.
Частые вопросы об утечке данных из КЭДО
Нужно ли уведомлять Роскомнадзор, если утекли данные всего нескольких сотрудников?
С какого момента отсчитываются 24 часа на уведомление?
Что делать, если утечку обнаружили через месяц после того, как она произошла?
Считается ли утечкой случайная отправка документа не тому сотруднику внутри компании?
Может ли работник взыскать с работодателя компенсацию за утечку своих данных?
Можно ли взыскать уплаченный штраф с сотрудника, который слил данные?
Нужно ли уведомлять ГосСОПКА при утечке из КЭДО?
Хранение кадровых данных в облачном КЭДО законно?
Утечка кадровых данных в 2026 году — это миллионные штрафы, суточный срок уведомления Роскомнадзора и внеплановая проверка следом. Подготовиться к этому сценарию проще, чем реагировать на него: система КЭДО с настроенным журналированием, ролевым доступом и понятным разделением ответственности с вендором закрывает большую часть рисков еще до инцидента.
Добыто КЭДО включено в реестр отечественного ПО под номером 22664 и разворачивается в компании от одного дня. Журнал событий, разграничение прав и электронный архив входят в тарифы, а требования 377-ФЗ, 63-ФЗ и 152-ФЗ закрываются штатной функциональностью, без доплат за модули безопасности.
- Журнал событий по каждому действию с документом: вход, просмотр, скачивание, выгрузка
- Ролевая модель доступа под оргструктуру компании и контроль массовых выгрузок
- ПЭП и УНЭП для сотрудников бесплатно, поддержка УКЭП и Госключа
- Раздел об инцидентах в договоре: канал оповещения, сроки, передача логов
- Электронный архив с сохранением юридической силы документов на весь срок хранения
- Интеграция с 1С и выделенный сервер на тарифе Корпорация