SAID, март 2026

Практический разбор: как подготовиться к оборотным штрафам за утечки ПДн

420-ФЗ вступил в силу. Штрафы выросли в сотни раз. Что конкретно делать: от проверки реестра РКН до шаблонов уведомлений и защиты от AI-рисков — пошаговое руководство для бизнеса.

1-3 млн ₽ штраф за неуведомление

400-800 тыс ₽ штраф на должностное лицо

72 часа на расширенный отчёт

3 года окно повторного нарушения

Кто попадает под 420-ФЗ

Короткий ответ: практически все. Если у вашей компании есть CRM-система, база клиентов, HR-отдел, email-рассылка или хотя бы список контрагентов — вы оператор персональных данных в смысле Федерального закона №152-ФЗ, и на вас распространяются штрафы 420-ФЗ.

Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу. ФИО, телефон, email, адрес, дата рождения, паспортные данные, даже IP-адрес в определённых контекстах — всё это ПДн. Если вы храните хотя бы имя и телефон клиента, вы оператор.

Многие компании до сих пор не осознают свой статус. По данным РКН, в реестре операторов зарегистрировано около 800 000 организаций, тогда как фактических операторов — миллионы. Каждый интернет-магазин с формой заказа, каждая клиника с записью пациентов, каждая компания с отделом кадров обрабатывает персональные данные. И каждая из них находится под действием 420-ФЗ.

Штрафы за неуведомление: отдельная категория

420-ФЗ ввёл отдельные штрафы за нарушение обязанности уведомить Роскомнадзор об утечке. Это важно: штраф за неуведомление налагается дополнительно к штрафу за саму утечку. Компания может получить два штрафа одновременно.

Субъект ответственности	Штраф за неуведомление
Юридическое лицо	1 — 3 млн ₽
Должностное лицо	400 — 800 тыс ₽
Индивидуальный предприниматель	400 — 800 тыс ₽

Обратите внимание на штраф для должностных лиц: 400-800 тысяч рублей — это персональная ответственность конкретного человека. Если ответственный за ПДн не уведомил РКН в срок, он лично заплатит до 800 тысяч рублей из своих средств. Это серьёзная мотивация для того, чтобы процедура уведомления была отработана заранее.

Что считается утечкой

Это ключевой вопрос, и ответ на него шире, чем думает большинство руководителей. Утечка персональных данных — это любая неконтролируемая передача ПДн третьим лицам или их неправомерный доступ. Сюда входят:

Классические утечки: взлом базы данных, кража ноутбука с CRM, несанкционированный доступ сотрудника
Случайные инциденты: отправка файла с ПДн не тому адресату, публикация внутреннего документа на общедоступном ресурсе
Передача третьим лицам без основания: отправка данных подрядчику без договора поручения обработки ПДн
AI-каналы: ввод ПДн клиента в ChatGPT, Claude, Copilot или любой другой облачный AI-сервис

AI-утечка в цифрах: менеджер вставил данные клиента в ChatGPT для генерации ответа. Это передача ПДн одного субъекта третьему лицу (OpenAI). Если за месяц так обработано 5 000 обращений — это утечка данных 5 000 субъектов. Штраф: 3-5 млн рублей. За повторное нарушение — от 25 млн рублей.

Пошаговая подготовка к 420-ФЗ

Проверьте реестр операторов РКН

Зайдите на pd.rkn.gov.ru и проверьте, зарегистрирована ли ваша организация как оператор персональных данных. Если нет — подайте уведомление. Отсутствие регистрации не освобождает от штрафов за утечку, но само по себе является дополнительным нарушением (штраф до 300 тыс. рублей).

При регистрации укажите все категории обрабатываемых ПДн, цели обработки, правовые основания и срок хранения. Это не формальность — при проверке РКН сверяет фактическую обработку с заявленной.

Назначьте ответственного за ПДн

Определите должностное лицо, ответственное за организацию обработки персональных данных. Это требование 152-ФЗ, и с учётом штрафов 420-ФЗ оно приобретает практическую значимость. Ответственный — это человек, который в пятницу вечером получит звонок о выявленной утечке и должен будет за 24 часа отправить уведомление в РКН.

Убедитесь, что у ответственного есть: контактные данные для круглосуточной связи, доступ к реестру субъектов ПДн, полномочия принимать решения о реагировании, шаблоны уведомлений РКН.

Подготовьте шаблоны уведомлений

24 часа — это очень мало для составления юридически корректного уведомления с нуля. Подготовьте шаблоны заранее:

Первичное уведомление (24 часа) — дата обнаружения, предварительный масштаб, категории скомпрометированных данных, предпринятые меры по ограничению инцидента.

Расширенный отчёт (72 часа) — точное количество пострадавших субъектов, детальное описание инцидента, причины, результаты расследования, план мероприятий по предотвращению повторения.

Проведите аудит обработки ПДн

Составьте полную карту обработки персональных данных в компании. Для каждого процесса зафиксируйте: какие ПДн обрабатываются, на каком правовом основании, где хранятся, кому передаются, каков срок хранения.

Особое внимание — каналам передачи данных третьим лицам: облачные сервисы, подрядчики, партнёрские интеграции. И отдельной строкой — AI-сервисы, которые используют сотрудники.

Внедрите DLP-систему

Data Loss Prevention — технический контроль, который предотвращает утечку данных по различным каналам. Современная DLP-система должна контролировать не только email, USB и печать, но и обращения к AI-сервисам.

Настройте политики, блокирующие отправку ПДн (ФИО, телефоны, паспортные данные, ИНН) в облачные AI-сервисы. Используйте паттерны распознавания: форматы телефонов, паспортов, СНИЛС, ИНН.

Обучите сотрудников

Проведите обучение для всех сотрудников, работающих с ПДн. Ключевые сообщения должны быть конкретными:

— «Вставить ФИО и телефон клиента в ChatGPT = утечка = штраф от 3 миллионов рублей»
— «Если вы обнаружили утечку, немедленно сообщите ответственному — у нас 24 часа на уведомление»
— «Использование личных AI-аккаунтов для рабочих задач с ПДн запрещено»

AI-специфичные риски: чеклист

Помимо общих мер подготовки, компаниям, использующим AI-инструменты, необходимо адресовать специфические риски, которые 420-ФЗ делает финансово критичными:

Shadow AI

Shadow AI — использование AI-сервисов сотрудниками без ведома компании — главный неконтролируемый риск. По оценкам, до 70% сотрудников, использующих AI на работе, делают это без корпоративной санкции. Каждый из них — потенциальный канал утечки ПДн.

Что делать: провести анонимный опрос для оценки масштаба, внедрить мониторинг обращений к AI-сервисам на уровне сети, предложить легитимную корпоративную альтернативу (локальная модель или корпоративный аккаунт с DLP).

Автоматические промпты с ПДн

Многие компании автоматизируют работу с AI: скрипты, которые отправляют данные клиентов на обработку, автоматические обогащения профилей через AI-API, генерация персонализированных коммуникаций. Каждый автоматический промпт, содержащий ПДн, — это передача данных третьему лицу.

Что делать: провести аудит всех автоматических интеграций с AI-сервисами, добавить слой маскировки ПДн перед отправкой (замена ФИО на плейсхолдеры, удаление телефонов и адресов), вести журнал всех обращений к AI-API с указанием категорий переданных данных.

Отсутствие логирования

Если сотрудник вставил ПДн клиента в ChatGPT через браузер, в большинстве компаний не останется никакого следа этого действия. При инциденте невозможно определить масштаб утечки, что затрудняет выполнение требования 420-ФЗ об уведомлении с указанием количества пострадавших субъектов.

Что делать: развернуть прокси для доступа к AI-сервисам с полным логированием запросов (без хранения содержимого ответов), внедрить корпоративную платформу для работы с AI с журналированием, настроить DLP на запись инцидентов блокировки.

Playbook реагирования на инцидент

Готовый сценарий действий при обнаружении утечки — не рекомендация, а необходимость. С 24-часовым дедлайном на уведомление нет времени на импровизацию. Playbook должен включать:

Первые 2 часа: оценка и эскалация

Подтвердить факт инцидента (не ложная тревога)
Определить предварительный масштаб: какие данные, сколько субъектов
Уведомить ответственного за ПДн и руководство
Изолировать источник утечки (отключить скомпрометированную систему, заблокировать учётную запись)

2-12 часов: расследование и подготовка

Провести техническое расследование: как произошла утечка, какие системы затронуты
Уточнить масштаб: точные категории данных и количество субъектов
Подготовить текст уведомления в РКН по шаблону
Определить, нужно ли уведомлять субъектов данных

12-24 часа: уведомление

Отправить первичное уведомление в РКН (через портал pd.rkn.gov.ru)
Зафиксировать дату и время отправки
Начать подготовку расширенного отчёта (дедлайн — 72 часа)

24-72 часа: расширенный отчёт

Завершить внутреннее расследование
Подготовить и отправить расширенный отчёт с результатами расследования, причинами и планом мероприятий
При необходимости уведомить пострадавших субъектов

Чеклист готовности: самопроверка

Используйте этот чеклист для оценки готовности вашей организации к требованиям 420-ФЗ:

Организация зарегистрирована в реестре операторов ПДн
Назначен ответственный за обработку ПДн с круглосуточной доступностью
Подготовлены шаблоны уведомлений РКН (24 ч и 72 ч)
Проведён аудит всех процессов обработки ПДн
Внедрена DLP-система с контролем AI-каналов
Существует формальная политика использования AI-сервисов
Проведено обучение сотрудников (с подтверждением)
Составлен реестр всех AI-инструментов в компании
Настроено логирование обращений к AI-сервисам
Есть playbook реагирования на инциденты
Проведены учебные тренировки по сценарию утечки
Бюджет на ИБ составляет не менее 0.1% выручки (смягчающее обстоятельство)

Экономика подготовки

Распространённый аргумент: «подготовка стоит дорого». Сравним затраты:

Мера	Ориентировочная стоимость
Аудит обработки ПДн	300-800 тыс ₽
Внедрение DLP	1-5 млн ₽
Обучение сотрудников	100-300 тыс ₽
Разработка playbook	200-500 тыс ₽
Итого подготовка	2-7 млн ₽
Минимальный штраф (первый раз)	3 млн ₽
Минимальный оборотный штраф (повторно)	25 млн ₽
Максимальный оборотный штраф	500 млн ₽

Полный комплекс мер подготовки стоит меньше, чем один минимальный штраф за первичную утечку. А в сравнении с оборотным штрафом за повторное нарушение — инвестиции в подготовку выглядят символическими. Кроме того, наличие документально подтверждённых мер защиты является смягчающим обстоятельством, что может снизить штраф при реальном инциденте.

Типичные ошибки

Анализ практики показывает несколько системных ошибок, которые компании допускают при подготовке к 420-ФЗ:

«У нас нет ПДн». Есть. Если есть сотрудники — есть трудовые договоры с ПДн. Если есть клиенты — есть база контактов. Даже cookie-файлы на сайте могут содержать ПДн.
«Мы передаём данные обезличенно». Обезличивание должно быть необратимым. Если по хэшу email можно восстановить адрес, или если данные сопровождаются идентификатором пользователя — это не обезличивание.
«AI обрабатывает данные автоматически, это не передача». Передача данных третьему лицу (провайдеру AI-сервиса) не зависит от способа обработки. Автоматическая отправка через API — это та же передача, что и ручной ввод в браузер.
«У нас есть согласие на обработку». Согласие на обработку не покрывает передачу третьим лицам без явного указания получателя. Если в согласии не указан OpenAI как третье лицо, передача данных в ChatGPT не покрыта.
«Мы используем корпоративную версию ChatGPT, данные защищены». Корпоративная версия снижает, но не устраняет риски. Необходимо изучить DPA (Data Processing Agreement) с провайдером и убедиться, что условия обработки соответствуют требованиям 152-ФЗ, включая локализацию данных.

Резюме: три приоритета

Если ресурсы ограничены и нужно выбрать, с чего начать, — три самых критичных действия:

Шаблоны уведомлений + назначение ответственного. Это можно сделать за один день и это защитит от штрафа за неуведомление (до 3 млн рублей).
Политика использования AI + обучение. Формальный запрет на ввод ПДн в AI-сервисы, доведённый до сотрудников под подпись. Снижает риск shadow AI.
DLP на AI-каналах. Технический контроль, который блокирует отправку ПДн в облачные AI-сервисы вне зависимости от осведомлённости сотрудников.

Эти три меры не обеспечат полного соответствия, но закроют самые критичные риски и продемонстрируют добросовестность при проверке.

Источники

RTM Group — «Практические рекомендации по подготовке к 420-ФЗ» (июнь 2025)
КонсультантПлюс — Федеральный закон от 30.11.2024 №420-ФЗ (полный текст)
Гарант.ру — «Оборотные штрафы за утечки ПДн: разъяснения РКН» (май 2025)
Роскомнадзор — «Порядок уведомления об инцидентах с персональными данными» (2025)
InfoWatch — «Стоимость утечки данных в России: исследование 2024-2025»

Как SAID решает эту проблему

SAID (Safe AI Development) предоставляет практические инструменты для соответствия 420-ФЗ в контексте AI:

Классификация данных в промптах: автоматическое обнаружение ПДн (ФИО, телефоны, паспорта, СНИЛС) перед отправкой в AI-сервис
DLP-правила для AI: готовые политики блокировки ПДн на уровне прокси к AI-сервисам
Playbook инцидентов: пошаговый сценарий с готовыми шаблонами уведомлений РКН для 24-часового и 72-часового дедлайнов
Аудит shadow AI: методология обнаружения и инвентаризации неконтролируемого использования AI-сервисов
Чеклист готовности: самопроверка на соответствие требованиям 420-ФЗ с привязкой к AI-рискам

Подготовка к 420-ФЗ — это не разовый проект, а непрерывный процесс. SAID помогает встроить его в повседневную работу.