Контакты
Подписка 2025

Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных

Денис Лукаш, 21/02/24

В связи с тенденцией увеличения количества случаев утечек персональных данных продолжается активное обсуждение ужесточения мер ответственности операторов ПДн. На каких основаниях операторы ПДн привлекаются к ответственности в таких ситуациях и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?

Автор: Денис Лукаш, управляющий партнер юридической компании Lukash & Partners

В 2023 г. Роскомнадзор зафиксировал 168 случаев утечек персональных данных, в результате которых в Интернет попали порядка 300 млн записей.

Что обязан делать оператор в случае утечки ПДн?

В терминологии российского законодателя "утечка ПДн" – это неправомерная или случайная передача ПДн, повлекшая нарушение прав субъектов ПДн (ч. 3.1. ст. 21 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ) или неправомерная или случайная передача ПДн в результате компьютерного инцидента (ч. 12 ст. 19 № 152-ФЗ).

В случае установления факта такой неправомерной или случайной передачи ПДн оператор обязан уведомить Роскомнадзор.

В течение 24 часов: 

  • о произошедшем инциденте;
  • о предполагаемых причинах, повлекших нарушение прав субъектов ПДн;
  • о предполагаемом вреде, нанесенном правам субъектов ПДн;
  • о принятых мерах по устранению последствий соответствующего инцидента;
  • о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

В течение 72 часов:

  • о результатах внутреннего расследования выявленного инцидента;
  • о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Порядок уведомления и конкретные требования к его содержанию установлены приказом Роскомнадзора от 14.11.2022 № 187.

Кроме того, на оператора ПДн возложена обязанность информировать ГосСОПКА о компьютерных инцидентах, повлекших неправомерную передачу ПДн (ч. 12 ст. 19 № 152-ФЗ).

Для большинства операторов персональных данных это взаимодействие осуществляется через Роскомнадзор.

Какие штрафы предусмотрены за неправомерную или случайную передачу ПДн?

Отдельного штрафа за утечку ПДн не существует. К административной ответственности оператора привлекают за нарушение № 152-ФЗ, повлекшее неправомерную или случайную передачу ПДн.

Поскольку прямой ответственности за утечки пока нет, основание для привлечения к ответственности и вменяемая статья закона могут различаться:

  • за нарушение ч. 1 ст. 18.1 № 152-ФЗ – ч. 1 ст. 13.11 КоАП РФ;
  • за нарушение ст. 10.1 № 152-ФЗ – ч. 2 ст. 13.11 КоАП РФ.

Известен также случай назначения административного штрафа по инициативе прокуратуры по ч. 3 ст. 13.11 КоАП РФ (дело № 5-348/4/2023).

На данный момент минимальный размер штрафа за утечку ПДн для юридических лиц составлял 30 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

Однако если будет принят законопроект № 502113-8, то размер штрафов существенно возрастет:

  • в зависимости от объема и категории "утекших" ПДн максимальный размер штрафа может достигать 15–20 млн руб.;
  • за повторные случаи неправомерной или случайной передачи ПДн или передачи ПДн в результате компьютерного инцидента предполагается наложение штрафа в диапазоне 0,1–3% выручки (но не менее 15 млн и не более 500 млн руб.

При каких обстоятельствах суды оштрафуют оператора ПДн за утечки?

Доказывание факта неправомерной и (или) случайной передачи ПДн, по моим наблюдениям, основывается:

  • на признании оператором ПДн факта утечки (оно может быть представлено уведомлением о факте неправомерной или случайной передачи данных);
  • на сведениях, собранных во время внеплановой проверки Роскомнадзора.

Например, в деле № 05-0450/347/2023 [2] именно по итогам внеплановой выездной проверки было установлено нарушение оператором ст. 10.1 № 152-ФЗ. Оно выразилось в предоставлении неправомерного доступа к ИСПДн и повлекло распространение ПДн работников в Интернете. Как следует из решения суда, факт умышленного распространения баз данных компании значения не имел. Оператор был признан виновным в совершении правонарушения по ч. 2 ст. 13.11 КоАП РФ.

По итогам анализа могу отметить, что наказание следует за любую передачу, если она носит неправомерный характер.

Так, в деле № 05-0470/456/2023 утечкой была признана публикация ПДн работников на сайте работодателя без согласия на распространение в случае иных оснований для обработки ПДн. Оператор был привлечен к ответственности на основании ч. 2 ст. 13.11 КоАП РФ.

Любопытно, что в этом деле направление в Роскомнадзор уведомления о факте неправомерной передачи данных было оценено судом как обстоятельство, смягчающее административную ответственность, а также уведомление было направлено при наличии всего двух "утекших" записей.

Оператор ПДн может быть привлечен к ответственности вне зависимости от количества "утекших" записей, а утечка всего лишь двух записей может не рассматриваться как смягчающее обстоятельство.

ris1-Feb-21-2024-01-01-57-6979-PM

Как суды оценивали построение технической защиты персональных данных?

В судебных решениях отсутствовала информация об оценке применяемых мер защиты, в том числе не встречалось упоминание:

  • Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05 февраля 2021 г.;
  • Требований по защите персональных данных, утвержденных приказом ФСТЭК от 18 февраля 2013 г. № 21 и приказом ФСБ от 10 июля 2014 г. № 378.

Даже при наличии таких упоминаний рынок технологий защиты персональных данных не имеет массовых доступных решений и пока остается экспертной сферой.

Кто несет ответственность за утечку ПДн, случившуюся по вине контрагента?

Обработчик (лицо, осуществляющее обработку ПДн по поручению оператора) – это лицо, которое не имеет собственных законных заранее определенных целей перед субъектом ПДн и действует по поручению оператора на обработку.

Например, обработчиками ПДн могут быть внешняя бухгалтерия, провайдер хостинга, SaaS-сервис и пр.

За действия обработчика-контрагента ответственность несет оператор ПДн (ч. 3, ч. 5 ст. 6 № 152-ФЗ). Роскомнадзор подтвердил эту позицию. Тем не менее оператор ПДн может воздействовать на лицо, которому он поручил обработку, различными гражданско-правовыми механизмами.

Если оператор оштрафован за действия обработчика, каким образом возможно взыскать эту сумму с последнего?

По итогам анализа судебной практики могу предложить три варианта ответа на поставленный вопрос.

Возмещение убытков

Оператор вправе включить в договор с обработчиком положение, в соответствии с которым последний обязан возместить убытки в случае нарушения № 152-ФЗ и привлечения оператора к ответственности на этом основании. В судебной практике встречаются споры, аргументация сторон которых может быть применима по аналогии и в рассматриваемой ситуации.

Так, в деле № А65-19461/2016 [3] компания-поставщик обратилась в суд с иском о взыскании с контрагента убытков в связи с наложением штрафа по ч. 10. ст. 12.21.1 КоАП РФ. Договор поставки между истцом и ответчиком содержал оговорку о возмещении убытков в размере назначенных административных штрафов.

Однако ответчик полагал, что спорное положение договора противоречит основам российского правопорядка, поскольку позволяет покупателю беспрепятственно нарушать законодательство и перекладывает административную ответственность на другое лицо. Руководствуясь такой логикой, покупатель подал встречный иск с требованием признать оговорку ничтожной на основании ст. 168, 169 ГК РФ.

Тем не менее суд удовлетворил первоначальные исковые требования в полном объеме с ссылкой на ст. 309, 310, 393 ГК РФ.

В этом деле договорная оговорка о возмещении убытков в размере назначенного административного штрафа оказалась эффективным механизмом. На мой взгляд, подобным образом свои права может защищать и оператор ПДн.

Однако этот механизм может быть реализован исключительно в судебном порядке. Нужно принимать во внимание, что в случае отказа в удовлетворении исковых требований, например, из-за некачественной проработки договора права оператора ПДн останутся незащищенными.

Возмещение потерь

Еще один гражданско-правовой механизм воздействия на обработчика – это заключение соглашения, предусматривающего обязанность возместить имущественные потери оператора ПДн в случае назначения административного штрафа (п. 1 ст. 406.1 ГК РФ).

Такое соглашение можно включить в договор с обработчиком, однако сформулировать его следует ясно и недвусмысленно. В противном случае положения ст. 406.1 ГК РФ не будут подлежать применению (п. 17 постановления Пленума ВС РФ от 24.03.2016 № 7).

Заверения об обстоятельствах

В поручении на обработку ПДн должна быть установлена обязанность обработчика по запросу оператора в течение срока действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных в соответствии со ст. 6 № 152-ФЗ.

Предоставление соответствующей информации может быть оформлено как заверение об обстоятельствах (п. 1 ст. 431.2 ГК РФ). Решается это посредством юридической техники с корректировками бизнес-процесса (например, введением опросных листов).

Если обработчик предоставил недостоверные сведения о принятии необходимых мер, то на основании п. 1 ст. 431.2 ГК РФ он обязан по требованию оператора ПДн возместить убытки или уплатить предусмотренную договором неустойку.

Итоги наблюдений

Отдельного штрафа за утечку ПДн нет. В случае таковой оператор привлекается к ответственности за невыполнение требований № 152-ФЗ.

Рано или поздно серьезные штрафы непосредственно за утечки ПДн будут введены. При этом изменений в методике доказывания нарушений Роскомнадзором не предполагается, за исключением введения механизма административных расследований.

Главные доказательства факта неправомерной или случайной передачи ПДн или неправомерной передачи ПДн в результате компьютерного инцидента – признание оператора в этом, а также итог сравнения "утекших" данных с данными в ИСПДн в рамках внеплановой проверки.

Защита данных в соответствии с требованиями ФСТЭК и (или) ФСБ не исключает и не смягчает наказание за неправомерную или случайную передачу ПДн.

Но самое главное – уже сейчас следует особое внимание уделять поручениям обработки ПДн, в том числе предусматривать механизмы возмещения имущественных потерь оператора в случае утечек по вине обработчика.


  1. https://lukash.info/ 
  2. https://mos-sud.ru/347/cases/docs/content/6ea79254-d24d-4441-a189-e13210c38bec 
  3. https://base.garant.ru/39248306/ 
Темы:Персональные данныеПраво и нормативыЖурнал "Информационная безопасность" №1, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Рецепты от стагнации и формализма в защите ПДн
    В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Обзор изменений в законодательстве. Ноябрь и декабрь 2024 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Усиление ответственности в области обработки ПДн. Стандарт по системам автоматизированного управления учетными записями и правами доступа. Изменения в 187-ФЗ. Использование криптографических средств. Программа профилактики нарушений лицензионных требований от ФСТЭК России. Программа профессиональной переподготовки от ФСТЭК России.
  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...