Кто должен нести ответственность за безопасность персональных данных
Верховный суд разъяснил, кто отвечает за утечки персональных данных. Министерство труда пыталось переложить ответственность на подрядчика, но судебная инстанция этого не допустила. Ведомству не удалось оспорить штраф за потерянные сведения, а из разъяснений ВС следует, что отвечать за них всегда должен оператор информационной системы, даже если доступ к ним обеспечивала сторонняя организация. Минтруд допустил утечку почти 1,5 тыс. строк информации о своих сотрудниках и их родственниках, в том числе даты и места рождения, сведения о паспортах и реквизиты банковских карт.
Одним из следствий разъяснения Верховного суда станут внутренние аудиты договоров между операторами персональных данных и их подрядчиками, считает руководитель практики защиты данных Stonebridge Legal Денис Бушнев: «Решение Верховного суда — это логическое продолжение трактовок закона и разъяснений Роскомнадзора на этот счет. Есть оператор, есть подрядчики оператора. Как правило, это так называемые обработчики либо лица, действующие по поручению. Переложить какую-то ответственность на таких обработчиков просто не получится: у нас есть оператор, который за это все отвечает.
Верховный суд провел некую черту под этим. Громкость этому делу придает то, что там фигурирует Минтруд. Сюрпризом стало то, что штраф достаточно небольшой за такое нарушение.
Исходя из этого решения, операторам стоит придерживаться того, что они, по большому счету, отвечают за все, что происходит с персональными данными, независимо от того, кого они привлекают в качестве партнеров.
Самое важное — это ввести регулярный мониторинг деятельности таких обработчиков».
Верховный суд указал на то, что ответственным операторам персональных данных следует разработать четкую и прозрачную процедуру взаимодействия со своими подрядчиками, обращает внимание руководитель практики комплаенса юридической фирмы LCH.LEGAL Елена Шершнева:
«Очень прозрачное разъяснение: если вы привлекаете подрядчика, который участвует в обработке персональных данных, то вам нельзя спокойно почивать на лаврах, считая, что ответственным теперь будет он. Пишите в договорах четкий, большой, подробный раздел, что они обязаны делать, фиксируйте за собой право проверить, что они надлежащим образом обрабатывают такую информацию, к которой получают доступ.
Минтруд, имея возможность провести аудит, ничего не предпринял. Если бы истец принес акты таких проверок, то можно было бы переложить ответственность на подрядчика, только для этого нужно выполнить ряд мер. И первыми выигрывают юристы, которые пытаются своих клиентов убедить в том, как правильно работать. Раньше у них не было нужного решения. Теперь оно есть, есть конкретный штраф, да еще в адрес госструктуры. Куда уж убедительнее! Вторыми выиграют те, кто прислушался к таким советам: у кого-то что-то пошло не так, а ты вовремя подстелил соломку и можешь спать спокойно».
ВС также обратил внимание, что Министерство труда об утечке узнало только после запроса контролирующего органа и об инфраструктуре защиты не позаботилось. При этом с сентября 2025-го закон напрямую обязывает руководителей госорганов содействовать выявлению и ликвидации кибератак. Кроме того, с марта 2026-го вступят в силу новые и более жесткие требования Федеральной службы по техническому контролю, которые затронут защиту информации в государственных органах и учреждениях.
Станислав Крючков