Арбитражный суд города Санкт-Петербурга и Ленинградской области в ноябре 2025 года вынес решение по делу № А56-72349/2025, в котором Санкт-Петербургская академия постдипломного педагогического образования имени К.Д.Ушинского (далее СПб АППО) была привлечена к ответственности за то, что на сайте организации не был реализован функционал по получению согласия пользователей сайта на обработку их персональных данных (далее ПДн).
Суть спора
В мае 2025 года была проведена внеплановая выездная проверка в отношении Государственного бюджетного учреждения дополнительного профессионального образования «Санкт-Петербургская академия постдипломного педагогического образования имени К.Д.Ушинского». В ходе проверки было установлено, что академии принадлежит интернет-ресурс https://spbappo.ru . В ходе оценки содержания сайта было установлено, что на нём размещены формы, посредством которых осуществляется сбор персональных данных посетителей Интернет-сайта в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты.
На одной из страниц сайта были опубликованы документы, определяющие политику оператора в отношении персональных данных; однако на остальных страницах сайта, где собственно осуществлялся сбор ПДн, определяющий политику оператора в отношении ПДн документ отсутствовал.
Также в ходе оценки содержания сайта было установлено, что на нём используется Яндекс-Метрика, использование функционала которой позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку его ПДн. Вместе с тем, на сайте не реализован функционал по получению согласия пользователей сайта на обработку их ПДн, обрабатываемых с использованием подобных сервисов, а также не обеспечено наличие иных правовых оснований обработки персональных данных, предусмотренных ч.1 ст.6 федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».
В соответствии с п.18 «Условий использования сервиса Яндекс.Метрика» все данные, собираемые и хранимые сервисом, компания Яндекс рассматривает как персональные данные и конфиденциальную информацию пользователя ( https://yandex.ru/legal/metrica_termsofuse ).
В выложенных на сайте документах отсутствуют сведения об обработке персональных данных пользователей интернет-сайта https://spbappo.ru с использованием сервисов Яндекс.Метрика, что не соответствует требованиям ч.2 ст.18.1 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по северо-западному федеральному округу обратилось в Арбитражный суд города Санкт-Петербурга и Ленинградской области с заявлением о привлечении академии к административной ответственности, предусмотренной частью 3 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).
Позиция Арбитражного суда города Санкт-Петербурга и Ленинградской области
Суд отметил, что функционалом сайта не предусмотрено предоставление согласия посетителей сайта на обработку персональных данных, собираемых, посредством метрических программ.
В действиях СПб АППО было допущено административное правонарушение, ответственность за которое установлена ч. 3 ст. 13.11 КоАП РФ.
Доказательств, свидетельствующих о принятии академией необходимых и достаточных мер по соблюдению законодательства, по недопущению правонарушения и невозможности его предотвращения, в материалы дела не представлено, что свидетельствует о наличии вины академии во вмененном ей правонарушении.
Арбитражный суд привлек Санкт-Петербургскую академию постдипломного педагогического образования имени К.Д.Ушинского к административной ответственности, предусмотренной частью 3 статьи 13.11 КоАП РФ и назначил наказание в виде штрафа в размере 30 тыс. руб.
Позиция Тринадцатого арбитражного апелляционного суда
Тринадцатый арбитражный апелляционный суд в марте 2026 года принял во внимание устранение академией нарушения путем реализации на сайте механизма получения согласия на обработку персональных данных, доработки формы обратной связи и раздела «отзывы и благодарности» путем добавления чек-боксов «Даю согласие на обработку персональных данных» и «Ознакомлен с политикой конфиденциальности» с соответствующими ссылками на документы учреждения.
Суд также отметил, что правонарушение было совершено академией впервые и не нанесло существенного ущерба охраняемым законом правам и интересам. По мнению суда апелляционной инстанции, при таких обстоятельствах административное наказание в форме предупреждения согласуется с принципами юридической ответственности и обеспечивает достижение целей административного наказания, перечисленных в статье 3.1 КоАП РФ.
Тринадцатый арбитражный апелляционный суд изменил решение Арбитражного суда города Санкт-Петербурга и Ленинградской области, заменив административный штраф на предупреждение.
В Арбитражном суде Северо-Западного округа решение не обжаловалось.
Мой комментарий: Суды подтвердили, что:
- Использование метрических программ – это обработка персональных данных, и на это нужно получать согласие субъекта ПДн;
- Документы, определяющие политику оператора в отношении персональных данных, должны быть доступны на всех страницах сайта, где обрабатываются ПДн – в противном случае имеет место нарушение установленных требований;
- При своевременном добровольном устранении нарушения возможно смягчение наказания до предупреждения.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
