Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

«Я не я, и база не моя» больше не работает. Верховный суд разъяснил: за данные отвечает тот, кто их собрал

Россия Верховный суд персональные данные утечка Минтруд подрядчик
«Я не я, и база не моя» больше не работает. Верховный суд разъяснил: за данные отвечает тот, кто их собрал
Россия Верховный суд персональные данные утечка Минтруд подрядчик

Верховный суд запретил перекладывать вину за утечки на подрядчиков.

image

Верховный суд разъяснил, кто несет ответственность за утечки персональных данных, если к обработке привлекали подрядчика, пишет «Коммерсантъ». Поводом стало дело Министерства труда: ведомство пыталось оспорить штраф и указало, что доступ к данным обеспечивала сторонняя организация. Суд не согласился с таким подходом. Из разъяснений следует, что ответственность за сохранность персональных данных лежит на операторе информационной системы, даже если часть работ выполняет подрядчик.

В материалах дела говорится, что министерство допустило утечку почти 1,5 тыс. строк данных о сотрудниках и их родственниках. В числе утекших сведений упоминаются даты и места рождения, паспортные данные и реквизиты банковских карт.

Один из опрошенных экспертов отметил, что в подобных схемах есть оператор и есть подрядчики, которые действуют по поручению и могут выступать обработчиками. По его словам, переложить ответственность на таких обработчиков не получится, ответственность остается у оператора. Он также указал, что резонанс делу придает то, что в нем фигурирует Минтруд, и отдельно упомянул, что штраф за такое нарушение оказался небольшим.

Другой эксперт обратил внимание на практические последствия для работы с подрядчиками. По его словам, если подрядчик участвует в обработке персональных данных, оператору нельзя исходить из того, что ответственным становится исполнитель. Он говорил о необходимости прописывать в договорах подробный раздел об обязанностях подрядчика, фиксировать за собой право проверять, как именно он обрабатывает информацию, к которой получает доступ. Также эксперт указал, что в рассматриваемом деле у ведомства была возможность провести аудит, но оно этого не сделало. По его словам, если бы были представлены акты таких проверок, обсуждать ответственность можно было бы иначе, но для этого нужно выполнить ряд мер.

Кроме того, Верховный суд обратил внимание на то, что Министерство труда об утечке узнало только после запроса контролирующего органа и об инфраструктуре защиты не позаботилось. В тексте также отмечается, что с сентября 2025 года закон напрямую обязывает руководителей госорганов содействовать выявлению и ликвидации кибератак. А с марта 2026 года вступят в силу новые, более жесткие требования ФСТЭК, которые затронут защиту информации в государственных органах и учреждениях.