Кто отвечает за утечку? ВС поставил точку в этом вопросе
Январское Постановление ВС (№5-АД25-119-К2) стало важным прецедентом в сфере защиты персданных. Суд подтвердил тенденцию к ужесточению ответственности операторов: они не могут перекладывать вину на третьих лиц. Сами операторы должны активно работать над предотвращением инцидентов и своевременно реагировать на них.
Суть дела.
Оператора (Минтруд) привлекли к ответственности за компрометацию персданных сотрудников по ч.1 ст.13.11 КоАП. Оператор считал, что виноват подрядчик, так как злоумышленники получили доступ к информации через инфраструктуру именно подрядной организации. Но суд отклонил доводы Минтруда.
Позиция ВС.
- Факт несанкционированного доступа не влияет на квалификацию нарушения.
- Оператор персданных отвечает за защиту полученной информации независимо от действий иных лиц.
- Оператор должен принимать все необходимые меры для обеспечения защиты данных.
Как отметил суд, министерство не доказало, что сделало все возможное. У оператора не было должного внутреннего контроля и аудита, как того требует закон. К тому же Минтруд сам узнал об утечке только после того, как получил запрос контролирующего органа.
Данный случай демонстрирует, что недостаточный контроль за действиями сторонних исполнителей может привести к серьезным последствиям для бизнеса (ответственность не перекладывается на подрядчика). При этом с 2025 года действуют очень высокие штрафы за утечку, размер которых зависит от масштаба инцидента.
Наши рекомендации бизнесу.
- Внедрите систему внутреннего контроля и аудита.
- Организуйте техническую защиту.
- Обеспечьте немедленное реагирование на инциденты (разработайте регламент для таких случаев).
- Проинформируйте и обучите сотрудников.
- Внесите в договоры с подрядчиками пункты с обязанностями по защите данных и ответственностью за их нарушения.
- Следите за изменениями законодательства в этой сфере.
Игнорирование указанных мер может привести не только к серьезным штрафам и репутационным потерям, но и к уголовному преследованию.