Персональные данные - утекли, сообщи и получи штраф
История дела N 12-31/2024: ✔️Постановлением мирового судьи судебного участка N 6 Центрального судебного района г. Кемерово, и.о. мирового судьи судебного участка N 4 Центрального судебного района г. Кемерово от 17 ноября 2023 года ООО "Эгида" признано виновной в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, подвергнута административному наказанию 60 000 рублей.
🎙В настоящее время штраф составляет на должностных лиц - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста пятидесяти тысяч до трехсот тысяч рублей.
✔️Не согласившись с вышеуказанным постановлением, ООО "Эгида" обратилось в суд с жалобой, в которой просит постановление отменить, производство по делу прекратить за отсутствием состава административного правонарушения, указав, что в материалах дела отсутствуют доказательства вины общества во вмененном ему правонарушении, причинами нарушения прав субъектов персональных данных являются хищение базы данных, а именно постороннее вмешательство в систему "Эгида" (хакерская атака), ООО "Эгида" предприняло меры, направленные на защиту персональных данных сотрудников ООО "Эгида", а именно заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем б/н от с ИП.
Доказательства:
➡️Общество заключило договор на оказание услуг с ИП по сопровождению и технической поддержке информационных систем. Исполнитель обязан был осуществлять полное обслуживание инфраструктуры ИТ заказчика. В результате хакерской атаки персональные данные работников и клиентов Общества стали доступны неопределенному кругу лиц, о чем Общество уведомило РКН.
➡️Отрицая наличие своей вины, Общество указало на следующие обстоятельства:
- Общество предприняло меры, направленные на защиту персональных данных сотрудников, а именно, заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем;
- РКН стало известно о предоставлении неправомерного доступа к базе данных Оператора только ввиду добросовестности Общества, которое добровольно направило уведомление в РКН.
➡️Позиция РКН:
-В нарушение положений ч.1 ст. 6, ст. 7 и ст. 10.1 Федерального закона № 152-ФЗ Общество допустило раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, в связи с чем Общество было привлечено к ответственности по ч.1 ст. 13.11 КоАП РФ
- заключенный договор не содержит в себе услуги по технической защите конфиденциальной информации, в этой связи позиция Общества, что ответственность за данные нарушения несет ИП – ошибочна;
➡️Действия Общества по добровольному обращению в РКН не свидетельствуют об отсутствии вины Общества, так как в данном случае оно действовало добросовестно во исполнение требований ч. 3.1 ст. 21 Федерального закона № 152-ФЗ по уведомлению РКН в случае установления факта неправомерной передачи персональных данных.
➡️Суд поддержал позицию РКН, отметив, что: - постороннее вмешательство в информационную систему Общества (хакерская атака) при наличии договора с ИП является подтверждением факта неисполнения Обществом обязанности, предусмотренной ст. 7 Федерального закона № 152-ФЗ не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных, а также подтверждением неисполнения или ненадлежащего исполнения обязательств по договору ИП.
📄Выводы и рекомендации:
1. Добровольное уведомление РКН о факте неправомерной передачи ПДн подтверждает добросовестность оператора в исполнении обязанности по уведомлению, но не свидетельствует об отсутствии вины за «утечку»
2.Договор на оказание услуг по технической защите конфиденциальной информации мог бы освободить компанию от ответственности за «утечку» ПДн. При этом компания аутсорсер должна обладать лицензией на деятельность по технической защите конфиденциальной информации - ТЗКИ. Тогда в договоре можно переложить ответственность на исполнителя.
Лицензия ТЗКИ выдается бессрочно. Лицензирующий орган: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Действие лицензии: территория Российской Федерации Срок получения лицензии: до 45 дней с момента подачи документов в лицензирующий орган Порядок лицензирования определен Постановлением Правительства РФ от 03.02.2012 г. № 79.