Утекли персональные данные через подрядчика? Отвечать и оператору

Верховный суд России поставил точку в деле Минтруда, получившего еще в 2024 году 100 тыс. штраф за утечку данных сотрудников, которая произошла из-за доступа злоумышленника к инфраструктуре подрядчика.

«Обязанность по сохранению, обеспечению безопасности персональных данных прямо возложена законом на оператора ПДн, который не может, даже поручив подрядчику обработку ПДн в своих интересах и указав в договоре с ним на его обязанность обеспечить исполнение требований 152-ФЗ, потом просто забыть об этом. Проверить – насколько обеспечено выполнение этих требований – это его обязанность как оператора ПДн", – прокомментировал заместитель технического директора по консалтингу и аудиту ARinteg Олег Нестеровский. И при договоре-поручения оператор обязан иметь собственную систему контроля работы с ПДн, проводить аудит обработки данных, вести мониторинг инцидентов, иметь регламент немедленного реагирования и уведомления. Если оператор этого не сделает – то вне зависимости от того, на чьей стороне произошла утечка, он будет признан в ней виновным, об этом говорят статьи 18.1, 19 и 22.1 закона о персональных данных.

Также ВС РФ обратил внимание на бездействие оператора: тот не уведомил регулятора в течение 24 часов об инциденте, его причинах и принятых мерах, а в течение 72 часов не предоставил результаты внутреннего расследования и сведения о виновных лицах.

Напомним, что с мая 2025 года вступили в силу поправки в КоАП, которые ужесточили ответственность за такие утечки, были введены и оборотные штрафы. Поэтому случись подобная утечка сейчас, размер штраф был бы на порядок больше и составил несколько миллионов рублей.

До этого, конечно, лучше дело не доводить, а выстроить уже сейчас работу с персональными данными, начав с аудита ИС ПДн, в том числе у потенциального подрядчика компании.