В течение 24 часов после утечки персональных данных их оператор обязан проинформировать уполномоченный орган о случившемся инциденте, его причинах, последствиях и принятых мерах, а в течение 72 часов предоставить результаты расследования и информацию о виновных, уточняет Верховный суд (ВС) РФ в изученном РАПСИ определении.
Суть дела
Мировой судья признал Министерство труда и социальной защиты виновным по части 1 статьи 13.11 КоАП РФ (нарушение законодательства в области персональных данных) и оштрафовал на 100 тысяч рублей. Как установил суд, министерство допустило утечку персональных данных своих сотрудников и их родственников, предоставив несанкционированный доступ к своим информационным системам. В результате чего эти данные были опубликованы на нескольких интернет-страницах.
Районный и кассационный суды оставили решение мирового судьи без изменения. Тогда Минтруд обратился с жалобой в ВС, сославшись на отсутствие своей вины в произошедшем. Так, заявитель указал, что утечка персональных данных его сотрудников произошла из-за доступа злоумышленника к инфраструктуре подрядной организации, не обеспечившей защиту конфиденциальной информации.
Позиция ВС
Согласно части 3.1 статьи 21 Федерального закона «О персональных данных», в течение 24 часов после утечки персональных данных их оператор обязан проинформировать уполномоченный орган об инциденте, его причинах, последствиях и принятых мерах, а в течение 72 часов предоставить результаты расследования и информацию о виновных, указывает Верховный суд.
Он отмечает, что в материалах дела отсутствуют какие-либо доказательства, подтверждающие принятие министерством указанных мер. Более того, утечка персональных данных была подтверждена Минтрудом лишь после направления должностным лицом контролирующего органа запроса о предоставлении информации по факту выявленного инцидента.
Таким образом, мировой судья правильно квалифицировал действия министерства, не принявшего, несмотря на имевшуюся у него возможность, всех необходимых мер по соблюдению требований законодательства в сфере персональных данных, резюмирует ВС.
«Порядок и срок давности привлечения министерства к административной ответственности соблюдены. Право учреждения на защиту при производстве по делу реализовано. Административное наказание назначено учреждению в пределах санкции части 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (в редакции, действовавшей на момент совершения административного правонарушения)», — уточняет высшая инстанция.
На основании изложенного ВС отказал в удовлетворении кассационной жалобы министерства труда и социальной защиты и оставил в силе постановления нижестоящих судов. (№ 5-АД25-119-К2)
Никита Ширяев
