Содержание

Скандальная утечка: почему штраф получил оператор ПДн, а не подрядчик

Федеральное ведомство оштрафовали за потерю 1400 строк личных сведений сотрудников и их родственников. Утечка произошла из-за передачи данных через незащищенный канал связи подрядчика. Надзор и суды указали: даже если технический сбой допустил контрагент, платить и устранять последствия обязан оператор персональных данных, потому что именно он определяет цели и средства обработки и отвечает за выбор и контроль подрядчиков.

Кто за что отвечает: быстрый ориентир

Роль	За что отвечает по закону	Ключевые документы	Что проверить сейчас
Оператор ПДн	Определяет цели/состав обработки, обеспечивает безопасность ПДн, инструктирует подрядчика, контролирует соблюдение мер	Политика ПДн, модель угроз, регламенты инцидентов, договор поручения обработки	Есть ли защищенные каналы, аудит подрядчика, запреты на несанкционированные каналы, журнал инцидентов
Подрядчик (обработчик)	Действует по поручению оператора, соблюдает конфиденциальность и меры защиты, немедленно уведомляет об инцидентах	Договор и ТЗ, SLA/OLA, план реагирования, акты уничтожения/возврата ПДн	Назначены ответственные, применяются шифрование/ЖЦД, ведется логирование и доступ по принципу необходимого минимума

Юридическая база: почему отвечает оператор

Ст. 18.1 и 19 Закона 152‑ФЗ: оператор обязан принимать необходимые и достаточные меры для обеспечения безопасности ПДн, в том числе при поручении обработки иному лицу.
Поручение обработки: лицо, обрабатывающее ПДн по поручению оператора, действует в рамках целей оператора и по его инструкциям; оператор несет ответственность перед субъектами ПДн за действия такого лица.
КоАП РФ ст. 13.11: административная ответственность за нарушение правил обработки и обеспечения безопасности ПДн (состав и размер штрафа зависят от характера нарушения).
ТК РФ ст. 86–90: дополнительные обязанности работодателя при обработке ПДн работников.

Читать далее Штрафы до 2 млн руб. за нелегальный майнинг: в КоАП РФ предложены жесткие санкции

Типичные ошибки, которые приводят к штрафам

Передача ПДн через незащищенные каналы (обычная эл. почта/мессенджеры без шифрования, публичные файлообменники).
Отсутствие или формальность договора поручения обработки с четкими мерами безопасности и запретами.
Нет оценки и документирования рисков (модель угроз, категорирование систем, правила доступа).
Не проводится аудит и контроль подрядчика, не ведутся логи, нет проверки субподрядчиков.
Задержка с реагированием на инцидент и уведомлением надзорного органа/субъектов ПДн (когда это требуется).

Чек‑лист защиты: что сделать уже сейчас

Инвентаризация потоков ПДн: кто, какие данные и по каким каналам передает.
Перевод на защищенные каналы: шифрование на передаче и хранении, VPN, почтовые шлюзы DLP, запрет открытых облаков.
Договорная база: актуализировать договоры поручения, запрет несанкционированных мессенджеров/почты, регламенты инцидентов и SLA уведомления.
Доступы по принципу необходимости: минимизация, сегментация, журналирование и регулярная ревизия прав.
Обучение и ответственность: инструктаж сотрудников и подрядчика, тестовые фишинговые рассылки, локальные акты о дисциплинарной ответственности.
План реагирования: роли, контакты, порядок локализации, фиксации и уведомления; периодические учения.

Договор с подрядчиком: какие пункты спасают в суде

Условие	Что фиксируем	Какой риск закрываем
Статус и роль	Подрядчик — обработчик по поручению; цели/объем/категории ПДн	Выход за цели, излишняя обработка
Меры безопасности	Шифрование, защищенные каналы, хранение на серверах в РФ, DLP/SIEM/логирование	Утечка через незащищенные каналы
Запрет несанкционированных каналов	Нельзя передавать ПДн через публичные облака/мессенджеры без согласования	Человеческий фактор и «теневые» ИТ
Субподрядчики	Только с письменного согласия оператора; те же требования безопасности	Неуправляемая цепочка обработки
Аудит и контроль	Право оператора на проверки, отчеты, тесты на проникновение по согласованию	Формальный контроль
Инциденты	Сроки и формат уведомления, совместное реагирование, ответственность за просрочку	Задержки и эскалации
Возврат/уничтожение ПДн	Порядок и подтверждение уничтожения или возврата после окончания работ	Достоверность удаления
Ответственность	Штрафы, возмещение ущерба, компенсация морального вреда субъектам ПДн	Распределение рисков

Читать далее Судебная защита владельцев цифровой валюты: позиция КС РФ

Что решил суд в этом деле и почему это важно

Факт утечки: потеря 1400 строк ПДн сотрудников и их родственников при передаче через незащищенный канал подрядчика.
Позиция надзора и судов: оператор не обеспечил надлежащие меры – не установил запрет на небезопасные каналы, не организовал контроль, не доказал достаточность инструктажа.
Вывод: подрядчик нарушил регламенты, но ответственность перед государством и субъектами ПДн несет оператор; эта позиция подтверждается судебной практикой, включая акценты Верховного Суда РФ на обязанности оператора по выбору и контролю исполнителя.

Алгоритм действий при инциденте утечки

Локализация: немедленно остановить передачу по небезопасному каналу, изолировать затронутые системы.
Фиксация: собрать логи, хеш‑суммы, скриншоты, перечень затронутых записей без лишнего распространения ПДн.
Оценка влияния: категории ПДн, объем, риски для субъектов, география, участие третьих лиц.
Уведомления: проинформировать руководство, юридический блок; уведомить надзорный орган и субъектов ПДн, если это требуется законом и внутренними регламентами.
Устранение причин: перевести обмен на защищенные каналы, отозвать избыточные доступы, применить дополнительные меры защиты.
Профилактика: обновить политики, провести обучение, пересмотреть договоры с подрядчиками.

Ответы на вопросы

Вопрос	Ответ
Можно ли переложить ответственность на подрядчика?	Перед субъектами и государством отвечает оператор. Договором можно установить регресс и штрафы, но это не освобождает оператора от публичной ответственности.
Если утечка через мессенджер подрядчика, кто платит штраф?	При отсутствии надлежащих мер и запретов платит оператор. Подрядчик может возместить оператору убытки по договору.
Нужно ли согласие работников на передачу ПДн подрядчику?	Как правило, обработка для кадровых целей основана на законе/трудовых отношениях. Но поручение подрядчику должно быть оформлено договором с мерами безопасности.
Что считать «защищенным каналом»?	Канал с актуальным шифрованием и контролем доступа, подтвержденный корпоративной политикой ИБ (например, VPN, шифрованная почта с DLP). Публичные мессенджеры без контроля — не подходят.
Нужно ли уведомлять субъектов ПДн об утечке?	Да, если того требует закон и если инцидент создает риски для прав и свобод субъектов. Практически это уменьшает репутационный ущерб и претензии.
Чем поможет модель угроз и журналирование?	Позволяют обосновать достаточность мер, быстро расследовать инцидент и доказать добросовестность оператора в споре.
Как быть с субподрядчиками обработчика?	Только с письменного согласия оператора и при полном зеркалировании требований безопасности. Иначе риски возрастают кратно.
Можно ли хранить ПДн за рубежом по договору с подрядчиком?	Требуется соблюдение требований к трансграничной передаче ПДн и локализации — оцените правовой режим страны и обеспечьте договорные гарантии.

Читать далее Госдума одобрила проект о причинении вреда критической инфраструктуре (КИИ)

Ссылки на законы

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (ст. 18.1, 19, положения о поручении обработки)
КоАП РФ, ст. 13.11
Трудовой кодекс РФ (ст. 86–90)
ГК РФ, ст. 1064 (возмещение вреда)

За утечку персданных через незащищенный канал подрядчика отвечает оператор ПДн