Утечка данных в почтовых сервисах: как соблюсти сроки уведомления Роскомнадзора
По данным публикации «ВФокусе Mail», оператор персональных данных обязан уведомить Роскомнадзор об обнаруженной утечке в течение 24 часов, а о результатах внутреннего расследования — в течение 72 часов.

Для почтовой инфраструктуры это означает, что компрометация базы адресов, CRM-выгрузки или почтового ящика уже должна рассматриваться как инцидент с ПДн, а не как локальная проблема MTA.
Почтовый адрес, номер телефона и другие идентификаторы из клиентских баз прямо влияют на оценку утечки. Игнорировать событие или откладывать фиксацию до «полного понимания картины» — неверная тактика.
Утечка адресной базы — не инцидент рассылки
В материале отмечается: ответственность не снимается с компании даже в том случае, если причиной стала внешняя атака. Для email-команд это критично. Утечка может происходить не только через взлом корпоративной почты, но и через доступ к панели ESP, открытую выгрузку получателей, скомпрометированный аккаунт сотрудника, ошибочные права на хранилище резервных копий.
Проверяйте состав затронутых данных. Отдельно фиксируйте:
- какие адреса электронной почты раскрыты;
- сколько субъектов и идентификаторов затронуто;
- были ли в наборе иные категории данных;
- первична ли утечка либо подобное нарушение уже фиксировалось;
- через какой компонент прошёл доступ: веб-почта, CRM, SMTP-учётная запись, API интеграции, файловое хранилище.
Эта классификация нужна не для отчёта постфактум. Она определяет масштаб внутреннего расследования и подготовку к проверке.
Сроки нельзя подменять расследованием
Как указывает источник, первое уведомление Роскомнадзора должно быть направлено в течение 24 часов с момента обнаружения утечки и содержать сведения об инциденте и возможных причинах. На уведомление о результатах внутреннего расследования отведено 72 часа с момента выявления факта утечки.
Следовательно, процесс должен быть разделён на два контура. Первый — оперативный: зафиксируйте время обнаружения, ограничьте доступ, сохраните логи MTA, веб-почты, IAM, CRM и систем рассылок. Не удаляйте события авторизации, SMTP-логи, журналы API и записи об экспорте данных. Второй — аналитический: установите маршрут доступа, объём выгрузки, скомпрометированные учётные записи и меры устранения.
Не ждите завершения анализа, чтобы начать отсчёт срока первого уведомления. Внутреннее расследование не отменяет обязанность сообщить об инциденте.
Подготовьте почтовый контур к проверке
Источник также указывает, что утечка является основанием для внеплановой проверки Роскомнадзора; о ней должны уведомить за 24 часа до прихода инспектора. В такой ситуации проверяется не только конкретный канал компрометации, но и общий порядок обработки ПДн.
Приведите в порядок документы по обработке и защите данных, включая опубликованную на сайте политику конфиденциальности и порядок получения согласий. Параллельно проверьте эксплуатационные меры: отключите неиспользуемые почтовые учётные записи, пересмотрите права на экспорт баз, смените скомпрометированные пароли и ключи API, запретите общий доступ к архивам рассылок.
Если причиной стали действия бывшего сотрудника или внешняя атака, публикация рекомендует обратиться в полицию. Это не заменяет уведомление регулятора, но фиксирует обстоятельства инцидента. Для почтовой службы базовое правило одно: адресная база — часть периметра ПДн. Ведите логи, разделяйте доступы, сохраняйте доказательства.