Контакты
Подписка 2025

Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных

Денис Лукаш, 21/02/24

В связи с тенденцией увеличения количества случаев утечек персональных данных продолжается активное обсуждение ужесточения мер ответственности операторов ПДн. На каких основаниях операторы ПДн привлекаются к ответственности в таких ситуациях и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?

Автор: Денис Лукаш, управляющий партнер юридической компании Lukash & Partners

В 2023 г. Роскомнадзор зафиксировал 168 случаев утечек персональных данных, в результате которых в Интернет попали порядка 300 млн записей.

Что обязан делать оператор в случае утечки ПДн?

В терминологии российского законодателя "утечка ПДн" – это неправомерная или случайная передача ПДн, повлекшая нарушение прав субъектов ПДн (ч. 3.1. ст. 21 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ) или неправомерная или случайная передача ПДн в результате компьютерного инцидента (ч. 12 ст. 19 № 152-ФЗ).

В случае установления факта такой неправомерной или случайной передачи ПДн оператор обязан уведомить Роскомнадзор.

В течение 24 часов: 

  • о произошедшем инциденте;
  • о предполагаемых причинах, повлекших нарушение прав субъектов ПДн;
  • о предполагаемом вреде, нанесенном правам субъектов ПДн;
  • о принятых мерах по устранению последствий соответствующего инцидента;
  • о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

В течение 72 часов:

  • о результатах внутреннего расследования выявленного инцидента;
  • о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Порядок уведомления и конкретные требования к его содержанию установлены приказом Роскомнадзора от 14.11.2022 № 187.

Кроме того, на оператора ПДн возложена обязанность информировать ГосСОПКА о компьютерных инцидентах, повлекших неправомерную передачу ПДн (ч. 12 ст. 19 № 152-ФЗ).

Для большинства операторов персональных данных это взаимодействие осуществляется через Роскомнадзор.

Какие штрафы предусмотрены за неправомерную или случайную передачу ПДн?

Отдельного штрафа за утечку ПДн не существует. К административной ответственности оператора привлекают за нарушение № 152-ФЗ, повлекшее неправомерную или случайную передачу ПДн.

Поскольку прямой ответственности за утечки пока нет, основание для привлечения к ответственности и вменяемая статья закона могут различаться:

  • за нарушение ч. 1 ст. 18.1 № 152-ФЗ – ч. 1 ст. 13.11 КоАП РФ;
  • за нарушение ст. 10.1 № 152-ФЗ – ч. 2 ст. 13.11 КоАП РФ.

Известен также случай назначения административного штрафа по инициативе прокуратуры по ч. 3 ст. 13.11 КоАП РФ (дело № 5-348/4/2023).

На данный момент минимальный размер штрафа за утечку ПДн для юридических лиц составлял 30 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

Однако если будет принят законопроект № 502113-8, то размер штрафов существенно возрастет:

  • в зависимости от объема и категории "утекших" ПДн максимальный размер штрафа может достигать 15–20 млн руб.;
  • за повторные случаи неправомерной или случайной передачи ПДн или передачи ПДн в результате компьютерного инцидента предполагается наложение штрафа в диапазоне 0,1–3% выручки (но не менее 15 млн и не более 500 млн руб.

При каких обстоятельствах суды оштрафуют оператора ПДн за утечки?

Доказывание факта неправомерной и (или) случайной передачи ПДн, по моим наблюдениям, основывается:

  • на признании оператором ПДн факта утечки (оно может быть представлено уведомлением о факте неправомерной или случайной передачи данных);
  • на сведениях, собранных во время внеплановой проверки Роскомнадзора.

Например, в деле № 05-0450/347/2023 [2] именно по итогам внеплановой выездной проверки было установлено нарушение оператором ст. 10.1 № 152-ФЗ. Оно выразилось в предоставлении неправомерного доступа к ИСПДн и повлекло распространение ПДн работников в Интернете. Как следует из решения суда, факт умышленного распространения баз данных компании значения не имел. Оператор был признан виновным в совершении правонарушения по ч. 2 ст. 13.11 КоАП РФ.

По итогам анализа могу отметить, что наказание следует за любую передачу, если она носит неправомерный характер.

Так, в деле № 05-0470/456/2023 утечкой была признана публикация ПДн работников на сайте работодателя без согласия на распространение в случае иных оснований для обработки ПДн. Оператор был привлечен к ответственности на основании ч. 2 ст. 13.11 КоАП РФ.

Любопытно, что в этом деле направление в Роскомнадзор уведомления о факте неправомерной передачи данных было оценено судом как обстоятельство, смягчающее административную ответственность, а также уведомление было направлено при наличии всего двух "утекших" записей.

Оператор ПДн может быть привлечен к ответственности вне зависимости от количества "утекших" записей, а утечка всего лишь двух записей может не рассматриваться как смягчающее обстоятельство.

ris1-Feb-21-2024-01-01-57-6979-PM

Как суды оценивали построение технической защиты персональных данных?

В судебных решениях отсутствовала информация об оценке применяемых мер защиты, в том числе не встречалось упоминание:

  • Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05 февраля 2021 г.;
  • Требований по защите персональных данных, утвержденных приказом ФСТЭК от 18 февраля 2013 г. № 21 и приказом ФСБ от 10 июля 2014 г. № 378.

Даже при наличии таких упоминаний рынок технологий защиты персональных данных не имеет массовых доступных решений и пока остается экспертной сферой.

Кто несет ответственность за утечку ПДн, случившуюся по вине контрагента?

Обработчик (лицо, осуществляющее обработку ПДн по поручению оператора) – это лицо, которое не имеет собственных законных заранее определенных целей перед субъектом ПДн и действует по поручению оператора на обработку.

Например, обработчиками ПДн могут быть внешняя бухгалтерия, провайдер хостинга, SaaS-сервис и пр.

За действия обработчика-контрагента ответственность несет оператор ПДн (ч. 3, ч. 5 ст. 6 № 152-ФЗ). Роскомнадзор подтвердил эту позицию. Тем не менее оператор ПДн может воздействовать на лицо, которому он поручил обработку, различными гражданско-правовыми механизмами.

Если оператор оштрафован за действия обработчика, каким образом возможно взыскать эту сумму с последнего?

По итогам анализа судебной практики могу предложить три варианта ответа на поставленный вопрос.

Возмещение убытков

Оператор вправе включить в договор с обработчиком положение, в соответствии с которым последний обязан возместить убытки в случае нарушения № 152-ФЗ и привлечения оператора к ответственности на этом основании. В судебной практике встречаются споры, аргументация сторон которых может быть применима по аналогии и в рассматриваемой ситуации.

Так, в деле № А65-19461/2016 [3] компания-поставщик обратилась в суд с иском о взыскании с контрагента убытков в связи с наложением штрафа по ч. 10. ст. 12.21.1 КоАП РФ. Договор поставки между истцом и ответчиком содержал оговорку о возмещении убытков в размере назначенных административных штрафов.

Однако ответчик полагал, что спорное положение договора противоречит основам российского правопорядка, поскольку позволяет покупателю беспрепятственно нарушать законодательство и перекладывает административную ответственность на другое лицо. Руководствуясь такой логикой, покупатель подал встречный иск с требованием признать оговорку ничтожной на основании ст. 168, 169 ГК РФ.

Тем не менее суд удовлетворил первоначальные исковые требования в полном объеме с ссылкой на ст. 309, 310, 393 ГК РФ.

В этом деле договорная оговорка о возмещении убытков в размере назначенного административного штрафа оказалась эффективным механизмом. На мой взгляд, подобным образом свои права может защищать и оператор ПДн.

Однако этот механизм может быть реализован исключительно в судебном порядке. Нужно принимать во внимание, что в случае отказа в удовлетворении исковых требований, например, из-за некачественной проработки договора права оператора ПДн останутся незащищенными.

Возмещение потерь

Еще один гражданско-правовой механизм воздействия на обработчика – это заключение соглашения, предусматривающего обязанность возместить имущественные потери оператора ПДн в случае назначения административного штрафа (п. 1 ст. 406.1 ГК РФ).

Такое соглашение можно включить в договор с обработчиком, однако сформулировать его следует ясно и недвусмысленно. В противном случае положения ст. 406.1 ГК РФ не будут подлежать применению (п. 17 постановления Пленума ВС РФ от 24.03.2016 № 7).

Заверения об обстоятельствах

В поручении на обработку ПДн должна быть установлена обязанность обработчика по запросу оператора в течение срока действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных в соответствии со ст. 6 № 152-ФЗ.

Предоставление соответствующей информации может быть оформлено как заверение об обстоятельствах (п. 1 ст. 431.2 ГК РФ). Решается это посредством юридической техники с корректировками бизнес-процесса (например, введением опросных листов).

Если обработчик предоставил недостоверные сведения о принятии необходимых мер, то на основании п. 1 ст. 431.2 ГК РФ он обязан по требованию оператора ПДн возместить убытки или уплатить предусмотренную договором неустойку.

Итоги наблюдений

Отдельного штрафа за утечку ПДн нет. В случае таковой оператор привлекается к ответственности за невыполнение требований № 152-ФЗ.

Рано или поздно серьезные штрафы непосредственно за утечки ПДн будут введены. При этом изменений в методике доказывания нарушений Роскомнадзором не предполагается, за исключением введения механизма административных расследований.

Главные доказательства факта неправомерной или случайной передачи ПДн или неправомерной передачи ПДн в результате компьютерного инцидента – признание оператора в этом, а также итог сравнения "утекших" данных с данными в ИСПДн в рамках внеплановой проверки.

Защита данных в соответствии с требованиями ФСТЭК и (или) ФСБ не исключает и не смягчает наказание за неправомерную или случайную передачу ПДн.

Но самое главное – уже сейчас следует особое внимание уделять поручениям обработки ПДн, в том числе предусматривать механизмы возмещения имущественных потерь оператора в случае утечек по вине обработчика.


  1. https://lukash.info/ 
  2. https://mos-sud.ru/347/cases/docs/content/6ea79254-d24d-4441-a189-e13210c38bec 
  3. https://base.garant.ru/39248306/ 
Темы:Персональные данныеПраво и нормативыЖурнал "Информационная безопасность" №1, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Полгода после вступления в силу 572-ФЗ. Полет нормальный?
    Федор Музалевский, Директор технического департамента RTM Group
    Прошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ1. Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает.
  • Обзор изменений в законодательстве. Май, июнь 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Методика оценки защиты ОКИИ. Дополнительные требования по защите ЗОКИИ в электроэнергетике. Защита цифрового рубля. Контроль ЦБ за импортозамещением ПО. Требования для хостинг-провайдеров. Деятельность по стандартизации.
  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Обзор изменений в законодательстве. Январь, февраль 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...