Договор с ФИО попал на сайт по ошибке: разбор по 152-ФЗ и пошаговый план действий

Случайная публикация документов с персональными данными — это уже инцидент со штрафами до 3 млн рублей. Что делать в первые 24 часа и как не допустить повторения.

Почему это происходит чаще, чем кажется

Сотрудник маркетинга выгружает на сайт пакет документов для раздела «Клиентам». Договор оказания услуг с реальным ФИО и паспортными данными клиента попадает в публичный каталог вместо шаблона. Или бухгалтер публикует закрытый прайс-лист, а к нему прикреплён акт с данными конкретного физлица. Или CMS сайта индексирует папку загрузок, куда кто-то положил отсканированный договор.

Это не гипотетические сценарии — это рутинные инциденты, с которыми сталкивается практически каждая компания, активно работающая с физическими лицами. До 2025 года последствия были относительно мягкими. Теперь — нет.

С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ, который кратно увеличил штрафы за нарушения в сфере ПДн и ввёл обязательное уведомление РКН об инцидентах. Разбираемся, что именно нарушается при случайной публикации, какова ответственность и что делать в первые часы после обнаружения проблемы.

Что содержат договор и акт: почему это персональные данные

Прежде чем говорить об ответственности, важно понять, что именно в типичном договоре или акте является персональными данными (ПДн).

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу» [1]. Открытый перечень: ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и иная информация.

Стандартный договор с физлицом содержит:

1. Фамилию, имя, отчество — общепризнанно являются ПДн даже по отдельности (в совокупности с другими реквизитами договора идентификация очевидна) [2].
2. Дату рождения — усиливает идентификацию, сама по себе относится к ПДн.
3. Серию и номер паспорта — несмотря на ряд старых судебных решений, ставивших это под сомнение, преобладающая позиция и практика РКН: паспортные данные однозначно идентифицируют физлицо и являются ПДн [3].
4. Адрес регистрации — персональные данные.
5. Подпись и её расшифровку (инициалы, фамилия) — реквизит документа, содержащий ПДн.
6. ИНН, СНИЛС — если указаны, относятся к персональным данным.
7. Банковские реквизиты физлица — в части лицевого счёта относятся к ПДн и требуют особой осторожности.

Таким образом, типичный договор или акт с физлицом — документ с несколькими категориями персональных данных. Публикация такого документа в открытом доступе без согласия субъекта нарушает сразу несколько требований закона.

Правовая квалификация: что именно нарушается

Обязанность конфиденциальности (ст. 7 № 152-ФЗ)

Статья 7 Федерального закона № 152-ФЗ обязывает операторов и лиц, получивших доступ к ПДн, «не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом» [1]. Публикация на сайте — это открытие доступа неограниченному кругу лиц, то есть прямое нарушение этой нормы.

Отсутствие правового основания для распространения (ст. 6 и ст. 10.1 № 152-ФЗ)

Обработка ПДн допускается без согласия субъекта только в строго определённых случаях. В частности, п. 2 ч. 1 ст. 6 закона допускает обработку без согласия для исполнения договора, стороной которого является субъект. Однако это основание позволяет обрабатывать ПДн внутри компании для исполнения обязательств — но не публиковать документы в открытом интернете [4]. Публичная публикация требует отдельного согласия на распространение по ст. 10.1 № 152-ФЗ [5].

Принцип минимизации (ст. 5 № 152-ФЗ)

Оператор обязан ограничить состав обрабатываемых ПДн и не допускать их избыточного использования. Публикация персонального договора в открытом доступе нарушает принцип «обрабатывать только то, что необходимо, и только тем способом, который нужен для достигаемой цели» [1].

Умысел не имеет значения

Принципиально важно: закон не разграничивает случайное и намеренное раскрытие ПДн. Статья 13.11 КоАП РФ применяется к действиям (бездействию) оператора, повлёкшим неправомерную передачу (предоставление, распространение, доступ) к ПДн — независимо от того, была ли публикация ошибочной или преднамеренной [6]. Роскомнадзор фиксирует факт, а не мотив.

Ответственность в 2025–2026 годах: что грозит

С 30 мая 2025 года вступили в силу поправки в КоАП РФ (Федеральный закон № 420-ФЗ от 30.11.2024), многократно увеличившие штрафы [7].

Штрафы за само раскрытие ПДн (чч. 12–15 ст. 13.11 КоАП РФ)

Размер штрафа для юридического лица зависит от числа затронутых субъектов:

1. До 1 000 субъектов (малое число) — до 6 млн рублей по базовому составу (ч. 1 ст. 13.11).
2. От 1 000 до 10 000 субъектов — от 3 до 5 млн рублей.
3. От 10 000 до 100 000 субъектов — от 5 до 10 млн рублей.
4. Более 100 000 субъектов или биометрия — от 15 до 20 млн рублей.
5. Повторная утечка — оборотный штраф от 1% до 3% годовой выручки (не менее 20 млн, не более 500 млн рублей) [8].

При случайной публикации одного-двух договоров с физлицами речь идёт о единичном числе субъектов, что попадает под базовые составы ч. 1 ст. 13.11 КоАП. Но даже при небольшом масштабе инцидента последствия для организации ощутимы.

Важно: с 30 мая 2025 года для всех составов ст. 13.11 КоАП РФ исключена возможность уплатить штраф с 50-процентной скидкой [9].

Штрафы за несвоевременное уведомление РКН (ч. 11 ст. 13.11 КоАП РФ)

Если оператор не уведомил Роскомнадзор об инциденте в течение 24 часов — штраф для организации от 1 до 3 млн рублей; для должностных лиц — от 400 тысяч до 800 тысяч рублей [6]. Это самостоятельный состав: штраф за несвоевременное уведомление назначается в дополнение к штрафу за само раскрытие.

Гражданская ответственность перед субъектом ПДн

Субъект персональных данных, чьи данные оказались в открытом доступе, вправе обратиться в суд с иском о взыскании морального вреда и убытков. Практика взыскания морального вреда в РФ за нарушения ПДн пока формируется, суммы небольшие, но иски становятся частым явлением [10].

Уголовная ответственность (ст. 137 УК РФ и новая ст. 272.1 УК РФ)

Статья 137 УК РФ о незаконном собирании или распространении сведений о частной жизни теоретически применима, но на практике к операторам, допустившим техническую ошибку, не применяется — требуется наличие умысла.

Новая ст. 272.1 УК РФ (введена ФЗ № 421-ФЗ от 30.11.2024, вступила в силу 11.12.2024) устанавливает уголовную ответственность за незаконное использование, передачу и хранение компьютерной информации, содержащей ПДн. Однако ключевое условие — данные должны быть получены незаконным путём [11]. К добросовестному оператору, случайно опубликовавшему свой же договор, эта статья не применяется. Она направлена против тех, кто работает с чужими, краденными базами данных.

Как узнаёт Роскомнадзор

Роскомнадзор давно перешёл от реактивной модели к активному мониторингу. Из анализа 219 судебных дел 2022–2025 годов известно, что РКН фиксирует утечки, создавая скриншоты страниц с опубликованными данными [12]. После фиксации возможны два сценария:

1. «Без проверки» (65% случаев) — РКН направляет оператору запрос с требованием пояснений, затем составляет протокол.
2. «С проверкой» (35% случаев) — инициируется внеплановая проверка, документарная или выездная.

Помимо этого, поводом для жалобы в РКН может стать сам субъект ПДн — физлицо, обнаружившее свои данные в открытом доступе [13]. С ростом правовой грамотности таких обращений становится больше.

Что делать, если документ уже опубликован: пошаговый план

Это практический раздел для тех, кто обнаружил проблему. Каждый час имеет значение.

Шаг 1. Немедленно удалить файл (в течение первых минут)

Первое действие — удалить файл с сервера и закрыть доступ к URL. Это не снимает ответственность, но останавливает дальнейшее распространение.

Шаг 2. Зафиксировать момент обнаружения (в течение первых минут)

Создайте внутренний акт с указанием: кто обнаружил, когда, что именно было опубликовано (URL, содержание), сколько примерно времени файл был в открытом доступе. Этот документ понадобится для расследования и для уведомления РКН.

Шаг 3. Уведомить Роскомнадзор — в течение 24 часов

Закон требует уведомить РКН об инциденте не позднее чем через 24 часа с момента его обнаружения. Уведомление подаётся через портал Роскомнадзора: pd.rkn.gov.ru, раздел «Инциденты (утечки ПД)». Для подачи потребуется авторизация через Госуслуги. В уведомлении указывают:

• описание инцидента и предполагаемые причины;
• категории и примерное число затронутых субъектов;
• предварительную оценку возможного вреда субъектам [14].

Если уведомление не подано в срок — штраф от 1 до 3 млн рублей для организации назначается автоматически и не зависит от того, насколько быстро был устранён сам инцидент [6].

Шаг 4. Провести внутреннее расследование — в течение 72 часов

В течение 72 часов с момента обнаружения оператор обязан направить в РКН дополнительное уведомление с результатами расследования [15]. В нём фиксируют:

• установленные причины инцидента (ошибка сотрудника, технический сбой CMS, ошибка настроек сервера и т.д.);
• точное число затронутых субъектов и категории скомпрометированных данных;
• принятые меры по устранению последствий;
• информацию о привлечении виновных к ответственности.

Второе уведомление подаётся через тот же портал pd.rkn.gov.ru.

Шаг 5. Уведомить субъекта персональных данных

Закон прямо не устанавливает срок уведомления субъектов об инциденте, однако это предусмотрено требованиями реагирования: оператор должен сообщить потерпевшим в течение 10 дней [16]. На практике уведомление субъекта — важный элемент смягчения последствий. Его следует направить в письменной форме или по электронной почте (если она есть в договоре) с объяснением ситуации и описанием принятых мер.

Шаг 6. Удалить данные из кэша поисковых систем

Если страница успела попасть в индекс Яндекса или Google, удаления файла с сервера недостаточно — кэшированная копия может оставаться в поисковой выдаче несколько недель.

Для Яндекса: через панель Яндекс.Вебмастер можно запросить удаление страницы из индекса и кэша (webmaster.yandex.ru/delurl.xml).

Для Google: через Google Search Console или специальную форму запроса на удаление персональных данных (support.google.com/websearch/answer/9673730). После удаления файла с сервера можно также запросить очистку кэша непосредственно в интерфейсе Search Console [17].

Важное ограничение: удаление из поисковой выдачи убирает только ссылки, но не сами данные с других сайтов-агрегаторов или веб-архивов. Гарантировать полное исчезновение данных из интернета невозможно — поэтому предотвращение всегда эффективнее, чем устранение последствий.

Шаг 7. Принять корректирующие меры

После расследования оператор обязан задокументировать и внедрить меры, исключающие повторение:

• ужесточение прав доступа к папкам загрузок на сервере и CMS;
• введение процедуры проверки файлов перед публикацией;
• обучение ответственных сотрудников;
• обновление локальных нормативных актов по работе с ПДн.

Типичные ошибки и как их избежать

Ошибка 1. «Мы просто удалили файл — всё»

Удаление файла останавливает текущее распространение, но не устраняет юридическую обязанность уведомить РКН. Многие операторы тихо удаляют документ и считают инцидент закрытым, — а потом получают штраф за несвоевременное уведомление.

Ошибка 2. Не определить момент обнаружения

Закон привязывает 24-часовой срок к моменту «установления факта» инцидента. Если компания узнала о публикации от клиента утром, но оформила это как «обнаружение» через три дня — это не поможет избежать ответственности. Момент обнаружения нужно фиксировать сразу и честно.

Ошибка 3. Смешать уведомление о начале обработки с уведомлением об инциденте

Это два разных типа уведомлений в РКН. Уведомление об инциденте (утечке) подаётся по специальной форме на pd.rkn.gov.ru/incidents/form/ — отдельно от реестрового уведомления.

Ошибка 4. Не уведомить субъекта ПДн

Субъект имеет право знать, что его данные оказались в открытом доступе. Отсутствие уведомления — дополнительный фактор риска в случае обращения физлица в суд.

Ошибка 5. Надеяться на «давность»

Роскомнадзор фиксирует публикации с помощью автоматизированного мониторинга с применением ИИ-технологий. Даже если файл был опубликован и удалён за несколько часов, скриншоты страниц могут уже оказаться у регулятора.

Ситуации, когда ответственность может быть снижена

Закон и практика допускают ряд смягчающих обстоятельств:

1. Самостоятельное и своевременное уведомление РКН. Роскомнадзор не штрафует за сам факт утечки, если оператор выполнил все действия вовремя и документально подтвердил принятые меры [18].
2. Малое время экспозиции и отсутствие признаков фактического вреда субъекту.
3. Первичность нарушения (для компаний без истории штрафов по ст. 13.11 КоАП).
4. Оперативное принятие корректирующих мер и их документирование.
5. Для микропредприятий: КоАП РФ предусматривает расчёт штрафа с применением коэффициента, снижающего нагрузку (ч. 1 ст. 4.1.2 КоАП РФ) — применение зафиксировано судебной практикой 2026 года [19].

Как предотвратить: организационные меры

Профилактика существенно дешевле ликвидации последствий. Минимальный пакет мер:

1. Разграничение доступа к папкам с документами на сервере и в CMS: файлы с ПДн не должны лежать в публичном каталоге загрузок.
2. Процедура двойной проверки перед публикацией любых документов: кто проверяет, что именно, как фиксируется.
3. Закрытие индексации папок с внутренними документами через robots.txt (Disallow) и мета-теги noindex на страницах, не предназначенных для публичного доступа.
4. Использование шаблонов без ПДн для публичных разделов сайта: размещать не реальные договоры, а обезличенные образцы.
5. Периодический аудит файловой структуры сайта и сервера — что лежит в открытом доступе.
6. Обучение сотрудников: не только юристов и ИТ, но и маркетологов, контент-менеджеров, всех, кто имеет доступ к системе управления сайтом.
7. Наличие утверждённого плана реагирования на инциденты: кто звонит кому, какой документ заполнять, кто уведомляет РКН.

Пятый фактор: как автоматизировать контроль за ПДн

Описанная ситуация — частный случай системной проблемы: компании не знают, где и какие персональные данные хранятся у них в ИТ-инфраструктуре. Договор попадает на сайт, потому что нет карты данных, нет контроля за тем, что и куда попадает.

Именно эту задачу решает платформа Пятый фактор — on-premises инструмент для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах файлов, CRM, 1С, почте и API.

Что это даёт на практике:

• Живая «карта ПДн»: вы видите, где и какие категории данных хранятся, кто является их владельцем, что изменилось с момента последней проверки. Договоры с физлицами, попавшие в публичную зону файлового сервера, будут замечены и отражены в карте.
• Раннее обнаружение рисков: когда новый сотрудник загружает документы «не туда» или CMS открывает доступ к папке с документами — это фиксируется до того, как инцидент стал публичным.
• Подготовка к проверкам: вместо ручного аудита, занимающего недели, вы получаете актуальный реестр обрабатываемых ПДн по требованию. Это напрямую влияет на готовность к проверкам РКН.
• Privacy-by-design без компромиссов: платформа работает с метаданными, профилями и агрегатами — сырые значения ПДн не хранятся и не передаются, а значит, сам инструмент контроля не создаёт дополнительных рисков.

В ситуации, когда штрафы за один инцидент могут составить несколько миллионов рублей, инвестиции в постоянный мониторинг ПДн становятся вопросом экономической рациональности.

Заключение

Случайная публикация договора или акта с персональными данными — не мелкая техническая оплошность, а полноценный инцидент с точки зрения 152-ФЗ и КоАП. С 30 мая 2025 года цена ошибки выросла: штрафы за раскрытие данных и несвоевременное уведомление РКН измеряются миллионами рублей.

Главное, что нужно запомнить:

• Умысел не важен — факт открытия доступа третьим лицам уже является нарушением.
• 24 часа — это жёсткий срок уведомления РКН, считающийся с момента обнаружения инцидента.
• Удаление файла — лишь первый из семи шагов реагирования.
• Предотвращение в разы дешевле ликвидации: разграничение прав, проверка перед публикацией, регулярный аудит файловой структуры — стандартный минимум.

Источники

[1] consultant.ru — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] consultant.ru — КоАП РФ Статья 13.11. Нарушение законодательства РФ в области персональных данных — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

[3] vc.ru — Почему бизнесу важно указывать в договоре паспортные данные физ. лица — https://vc.ru/legal/2019998-pochemu-vazhno-ukazyvat-pasportnye-dannye-v-dogovorah-dlya-biznesa

[4] 25.rkn.gov.ru — Роскомнадзор: ответы на вопросы о персональных данных — https://25.rkn.gov.ru/p17348/p32646/

[5] buhsoft.ru — Согласие на обработку, передачу, распространение персональных данных (образцы 2026) — https://www.buhsoft.ru/article/4565-soglasie-na-obrabotku-peredachu-rasprostranenie-personalnyh-dannyh-obraztsy

[6] consultant.ru — КоАП РФ ст. 13.11 (полный текст новой редакции с 30.05.2025) — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

[7] b-152.ru — Закон о персональных данных: что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[8] data-sec.ru — Штрафы за персональные данные в 2026 году — https://data-sec.ru/personal-data/fines/

[9] barnaul.org — Административная ответственность по ст. 13.11 КоАП РФ с 30.05.2025 — https://barnaul.org/committee_information/pravovoj-komitet/pravovaya-informatsiya/informatsionnye-materialy-po-administrativnoy-otvetstvennosti/administrativnaya-otvetstvennost-po-st-13.11-KoAP.html

[10] itsec.ru — Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 — https://www.itsec.ru/articles/otvetstvennost-za-utechki-personalnyh-dannyh-obzor-sudebnoj-praktiki-2022-2025-gg

[11] advodom.ru — Статья 272.1 УК РФ: уголовная ответственность за персональные данные — https://www.advodom.ru/practice/ugolovnaya-otvetstvennost-za-nezakonnoe-obrashhenie-s-elektronnymi-personalnymi-dannymi.php

[12] itsec.ru — Анализ судебной практики: как РКН фиксирует утечки — https://www.itsec.ru/articles/otvetstvennost-za-utechki-personalnyh-dannyh-obzor-sudebnoj-praktiki-2022-2025-gg

[13] 77.rkn.gov.ru — Роскомнадзор: мои персональные данные опубликованы в интернете, как удалить? — https://77.rkn.gov.ru/p3852/p3852/p13239/p13309/

[14] 152fz.cyberosnova.ru — Утечка персональных данных: уведомление РКН, штрафы, порядок действий — https://152fz.cyberosnova.ru/blog/utechka-personalnykh-dannykh

[15] utlab.ru — 152-ФЗ о персональных данных: требования 2025 года, штрафы и обязанности операторов — https://www.utlab.ru/blog/152-fz-chto-dolzhen-znat-vladelets-lyubogo-sayta/

[16] stakhanovets.ru — 152-ФЗ о защите персональных данных: требования и штрафы в 2026 году — https://stakhanovets.ru/blog/152-fz-o-zashhite-personalnyh-dannyh-trebovaniya-i-shtrafy-v-2026-godu/

[17] support.google.com — Как удалить из Google Поиска личную информацию — https://support.google.com/websearch/answer/9673730?hl=ru

[18] utlab.ru — Роскомнадзор не штрафует за сам факт утечки при выполнении уведомлений — https://www.utlab.ru/blog/152-fz-chto-dolzhen-znat-vladelets-lyubogo-sayta/

[19] garant.ru — В России назначены первые штрафы за крупные утечки персональных данных (март 2026) — https://www.garant.ru/news/2026629/