mail-nation

Управляем почтой: от домена до конверсий

Новость

Реакция на утечку ПД: штрафы и регламент уведомления РКН

С 30 мая 2025 года в России действуют обновлённые нормы КоАП об ответственности за утечки персональных данных. Минимальный штраф для юрлиц — 3 млн рублей, максимальный — 500 млн или 1–3% годовой выручки.

Реакция на утечку ПД: штрафы и регламент уведомления РКН

Регламент уведомления и шкала санкций

Ст. 21 152-ФЗ в редакции, действующей с 01.07.2026, требует от оператора 24 часа на первичное уведомление Роскомнадзора и 72 часа на итоговый отчёт о результатах внутреннего расследования. Неуведомление выделено отдельным составом — штраф для организаций от 1 до 3 млн рублей. С 28.12.2025 вступил в силу ФЗ-508, передавший дела по нарушениям в сфере ПД в юрисдикцию мировых судей: апелляция в Судебную коллегию по экономическим спорам ВС РФ по таким делам исключена.

Шкала штрафов по числу пострадавших: 1–10 тыс. субъектов — 3–5 млн, свыше 100 тыс. — 10–15 млн, биометрические данные — 15–20 млн. Судебная практика 2025–2026 годов фиксирует: исход дела определяется не реакцией на инцидент, а тем, что компания делала до него. Документально подтверждённые меры защиты и своевременное уведомление — ключевые смягчающие обстоятельства. Показательный кейс — детская онлайн-школа Ukids: факт утечки выявлен через три дня из теневого форума, итоговый штраф — 400 тыс. вместо 10 млн именно за счёт процедурной дисциплины.

Что проверить на почтовом узле

Почтовый сервер — типичный канал утечки PII. Проверьте конфигурацию безотлагательно.

  • TLS на submission (587) и relay (25): принудительно, минимум TLS 1.2, отказ от plaintext на транзитных хопах.
  • PTR, SPF, DKIM, DMARC: записи валидны, DMARC выставлен в p=reject для основного домена и поддоменов.
  • Логи MTA содержат персональные данные — адреса, темы, вложения. Зафиксируйте срок хранения, права доступа, шифрование журналов.
  • DLP-фильтрация на исходящем потоке: regex-шаблоны на серию/номер паспорта, ИНН, СНИЛС, номера карт, телефонные номера в формате E.164.
  • Регламент реагирования: определены ответственные за уведомление РКН в первые 24 часа, шаблон уведомления, процедура фиксации хешей дампов и таймстемпов для отчёта в 72 часа.

Трансграничный SMTP-трафик

Госдума приняла во втором и третьем чтениях поправки к ст. 12 152-ФЗ. Вводится разрешительный порядок трансграничной передачи ПД: РКН оценивает не только нормативную базу страны-получателя, но и правоприменительную практику иностранного регулятора. Автоматическое признание адекватности стандартов Конвенции № 108 отменяется. Сервисы, не вошедшие в актуализированный реестр РКН, не смогут легально обрабатывать данные российских пользователей.

Для почтового узла следствие прямое: проведите аудит маршрутизации исходящей корреспонденции. Любая трансграничная передача PII через SMTP-шлюзы, релеи зарубежных провайдеров, облачные архивы вложений — зона отдельной проверки и документирования. Снимите территориальные ограничения на запрет передачи: РКН получает основание блокировать трафик ПД в любую юрисдикцию. Внутренние relay-хосты, smart-host-конфигурация, алиасы на зарубежных SaaS — всё под аудит до вступления нормы в силу.