У ВАШЕЙ НЕБОЛЬШОЙ КОМПАНИИ УКРАЛИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТОВ? ВАС ЗА ЭТО ЕЩЁ И ОШТРАФУЮТ

◼️В ходе мониторинга интернет-ресурсов Роскомнадзор обнаружил на двух телеграм-каналах, специализирующихся на сливах, базы данных предприятия малого бизнеса ООО «А.». В обнародованных базах содержались имена (часто без фамилии и отчества), телефоны и адреса электронной почты клиентов предприятия. Указанные сведения клиенты предоставляли в ходе оформления электронных заявок на сайте предприятия.

Несмотря на то, что всю вину взяла на себя организация, которая по договору с ООО «А.» разрабатывала платформу, сайт и приложение и с чьего сервера и произошла утечка данных, суд признал виновным в административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, именно ООО «А.», так как именно эта организация по смыслу закона является оператором персональных данных. Утечка стала возможной в результате недостаточного (ненадлежащего) контроля ООО «А.» за обработкой персональных данных, производимой по его поручению третьим лицом (постановление мирового судьи судебного участка № 15 Кировского судебного района г. Самары от 15.01.2025 по делу № 5-7/2025).

🚨В настоящее время за утечку персональных данных более тысячи физических лиц (ч. 12 ст. 13.11 КоАП РФ) для юридических лиц предусмотрено наказание в виде штрафа в размере от 3 млн до 5 млн рублей.

🔥Совет № 11: Помните, что ответственность за персональные данные лежит на операторе (владельце сайта), несмотря на то, что вы поручили обработки данных третьим лицам. Даже если вы субъект малого бизнеса ваши информационные системы могут взломать и выложить данные в Интернет, где их обнаружит РКН и привлечет вас к ответственности.

Для полного же аудита вашей деятельности на предмет соблюдения законодательства о персональных данных обратитесь к специалистам.

#утечки

Консультации по вопросам ПДн / адвокат Корешников Дмитрий / адвокатское бюро LOYS

КОЛОНИЯ ВЫПЛАТИЛА КОМПЕНСАЦИЮ ОСУЖДЕННОМУ ЗА УТЕЧКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНТЕРНЕТ

◼️В Интернете были опубликованы конфиденциальные документы и видеозапись, касающиеся лица, отбывавшего наказание в исправительной колонии № 20 Вологодской области.

В открытый доступ попали документы колонии с ФИО, датой рождения, адресом регистрации, подписью, статьей УК РФ, сроком отбывания наказания, характеристикой, справкой о поощрениях и взысканиях, а также видео с участием осужденного, снятое в служебном помещении колонии.

✍ Осужденный обратился в суд с иском о компенсации морального вреда, причиненного разглашением его персональных данных.

Представители ФСИН России просили отказать в удовлетворении иска, указывая, что невозможно установить конкретного виновного в публикации, а также оспаривая сам факт причинения нравственных страданий.

⚖️Однако суды трех инстанций встали на сторону истца. Они установили, что колония, как оператор персональных данных, нарушила правила их хранения и обработки, что привело к утечке. С Российской Федерации в лице ФСИН России взыскана компенсация морального вреда в пользу истца в размере 80 тыс. рублей (Определение Третьего кассационного суда общей юрисдикции от 07.10.2024 по делу № 88- 21449/2024).

🔥Совет № 12. Помните, что оператора персональных данных могут привлечь не только к административной ответственности, но и к гражданско-правовой. Компенсировать моральный вред необходимо будет каждому гражданину, чьи данные были незаконно обнародованы. Важно: ответственность за сохранность данных всегда лежит на операторе, даже если утечка произошла по вине неустановленного лица.

Для полного же аудита вашей деятельности на предмет соблюдения законодательства о персональных данных обратитесь к специалистам.

#утечки #ГражданскаяОтветственность

Консультации по вопросам ПДн / адвокат Корешников Дмитрий / адвокатское бюро LOYS

ПОДЛЕЖАТ ЛИ СПЕЦИАЛИСТЫ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТВЕТСТВЕННОСТИ ПО СТ. 272.1 УК РФ? ПОЗИЦИЯ МИНЦИФРЫ РОССИИ.

Статья 272.1 УК РФ, введенная в действие в конце 2024 года, предусматривает уголовную ответственность за кражу и распространение украденных данных, но при этом, по мнению Минцифры России, не ограничивает работу специалистов по информационной безопасности, которые расследуют взломы и утечки.

👮‍♂️Кому грозит уголовная ответственность:

✔️ тем, кто незаконно использует, передаёт, собирает и хранит персональные данные, доступ к которым получен неправомерно

✔️ тем, кто создаёт и обеспечивает работу ресурсов, где хранится и распространяется такая информация

Под неправомерным доступом понимается незаконное воздействие на серверы, компьютеры и сети для нарушения процесса обработки и хранения персональных данных. Например, взлом, незаконное проникновение и кража.

👨‍💻Как закон защищает ИБ-специалистов

Специалистам по кибербезопасности часто приходится выяснять причины и источник утечек. Чтобы лучше противодействовать мошенникам, им приходится иметь дело с незаконно распространяемыми данными. Чтобы ИБ-специалисты могли не бояться уголовного преследования за свою работу, в законе установлены основания, при которых допускается обработка таких персданных. Например, для обеспечения защиты жизни, здоровья и других интересов граждан.
При соблюдении установленных законом условий добросовестные ИБ-компании могут, как и прежде, заниматься защитой персональных данных.
Ссылка на позицию Минцифры от 28.07.2025

🔥 Совет № 13: Правоприменительная практика по ст. 272.1 УК РФ только формируется. В связи с этим крайне важно тщательно документировать все действия, связанные с обработкой персональных данных, и иметь четкие правовые основания для такой обработки.

Для полного же аудита вашей деятельности на предмет соблюдения законодательства о персональных данных обратитесь к специалистам.

#УголовнаяОтветственность #272_1УКРФ

Консультации по вопросам ПДн / адвокат Корешников Дмитрий / адвокатское бюро LOYS

МВД ОТЧИТАЛОСЬ О ПРЕСЕЧЕНИИ РАБОТЫ КРУПНЕЙШЕГО СЕРВИСА ПО ТОРГОВЛЕ ПЕРСОНАЛЬНЫМИ ДАННЫМИ

🌐Сервис через веб-форму и API предоставлял платный доступ к массиву данных объемом более 25 ТБ, собранных в результате многочисленных утечек. За деньги любой желающий мог получить паспортные данные, адреса, сведения о месте работы, доходах и кредитной истории граждан.

💲Стоимость подписки доходила до 1 млн рублей в месяц. Это породило схему перепродажи доступа через Telegram-каналы и даркнет, что многократно увеличивало масштабы распространения информации. Поступления только по двум расчетным счетам подозреваемых с декабря 2024 года превысили 66 млн рублей.

Последствия:
⛔Возбуждено уголовное дело по ст. 272.1 УК РФ (незаконная обработка компьютерной информации с персональными данными, полученной в результате неправомерного доступа).
⛔Организатор и технический администратор сервиса взяты под стражу.
⛔ Установлено более 2000 пользователей сервиса, среди которых — коммерческие организации, коллекторы и частные детективы. В отношении них также проводятся проверочные мероприятия.
Источник

🔥Совет № 14: Помните, покупка персональных данных может быть расценена как преступление.

Если же вы оказались вовлечены в уголовное разбирательство, связанное с персональными данными, обязательно обратитесь за юридической помощью к адвокату.

#УголовнаяОтветственность #272_1УКРФ

Консультации по вопросам ПДн / адвокат Корешников Дмитрий / адвокатское бюро LOYS

ВЕРХОВНЫЙ СУД НЕ СОГЛАСИЛСЯ С ПРИВЛЕЧЕНИЕМ К ОТВЕТСТВЕННОСТИ ЗА ПЕРЕДАЧУ ПЕРСОНАЛЬНЫХ ДАННЫХ СТОРОНОЙ В СУДЕ. ВАЖНЫЙ ПРЕЦЕДЕНТ ДЛЯ ЮРИСТОВ.

Постановление ВС РФ от 20.03.2025 по делу №25-АД25-1-К4

◼️Детали дела
С. работала начальником юридической службы в коммерческой организации. Ее должность попала под сокращение. Просматривая служебные документы в рамках своих должностных обязанностей (важно — у нее был законный доступ к кадровым приказам), она обнаружила приказ о приеме на работу сотрудницы А. на должность «администратора-дежурного». С. без согласия сотрудницы А. сделала ксерокопию приказа и в последующем приобщила его к материалам гражданского дела, чтобы опровергнуть позицию работодателя и доказать, что вакансия «администратора-дежурного» существовала, но ей ее незаконно не предложили.

🚨 Позиция Роскомнадзора и судов трех инстанций
Копирование, хранение и передача приказа в суд – это «обработка персональных данных». Поскольку это прямо не входило в ее полномочия и не было согласия сотрудницы А., то С. совершила правонарушение, предусмотренное ч. 1 ст. 13.11 КоАП РФ (незаконная обработка персональных данных).

❗️Позиция Верховного Суда
Нижестоящие суды, вынося решения, не учли ключевые обстоятельства:

1️⃣ Цель — защита прав. Копирование и предоставление документа в суд было направлено на защиту собственных прав С. в споре с работодателем.

2️⃣ Законное основание. В таком случае обработка ПДн допустима без согласия субъекта на основании п. 3 ч. 1 ст. 6 152-ФЗ (в связи с осуществлением правосудия) и подп. 6 п. 2 ст. 10 152-ФЗ (для установления или осуществления прав субъекта ПДн или третьих лиц).

3️⃣ Не было «распространения». Предоставление документа суду и другой стороне в рамках гражданского процесса — это не «распространение» ПДн (раскрытие неопределенному кругу лиц), а часть процедуры доказывания.

⚖️Итог. Решения нижестоящих судов, в том числе Четвертого кассационного суда общей юрисдикции, отменены. Дело направлено на новое рассмотрение.
Ссылка на решение

🔥Совет № 15. Использование персональных данных другого лица допустимо без его согласия, если доступ к ним был правомерным и "обработка" необходима для защиты прав в суде. Важно, чтобы не было злоупотребления, а действия были соразмерны цели защиты.

#ЗащитаВСуде

Консультации по вопросам ПДн / адвокат Корешников Дмитрий / адвокатское бюро LOYS