Арбитражный суд г. Москвы в ноябре 2025 года вынес решение по делу №А40-263126/25-121-1089, в котором общество АО «Почта России» было привлечено к ответственности за предоставление неправомерного доступа к своей информационной системе «Сервис отслеживания регистрируемых почтовых отправлений», что повлекло за собой распространение персональных данных (ПДн) клиентов оператора неограниченному кругу лиц посредством их размещения в сети Интернет.
Суть спора
Управление Роскомнадзора по Центральному федеральному округу обратилось в Арбитражный суд г. Москвы в связи с тем, что в ходе мониторинга электронных средств массовой информации на Интернет-ресурсах был выявлен факт наличия базы данных АО «Почта России», содержащей персональные данные клиентов в объеме более 26 млн. записей, содержавших такие сведения, как фамилия, имя, отчество, номер телефона, адрес электронной почты, сведения о почтовых отправлениях.
Во исполнение требований части 3.1 статьи 21 Закона «О персональных данных» «Почта России» уведомила Роскомнадзор о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн, и о результатах внутреннего расследования выявленного инцидента. Согласно уведомлению причиной, повлекшей нарушение прав субъектов ПДн, являются действия внутреннего нарушителя.
Согласно представленной АО «Почта России» информации, датой выявления инцидента являлось 5 декабря 2024 года.
Управлением Роскомнадзора в июле 2025 года была проведена внеплановая выездная проверка. Был проведен осмотр информационной системы «Сервис отслеживания регистрируемых почтовых отправлений» (информационная система АО «Почта России»). В ходе осмотра было установлено, что ПДн клиентов АО «Почта России», размещенные в сети «Интернет», совпадают с данными клиентов оператора, содержащимися в информационной системе.
В ходе внеплановой выездной проверки было установлено, что общество нарушило части 1 статьи 6 и статьи 7 Закона «О персональных данных» в части предоставления неправомерного доступа к информационной системе «Сервис отслеживания регистрируемых почтовых отправлений», что повлекло за собой распространение персональных данных клиентов оператора неограниченному кругу лиц путем размещения в сети Интернет.
На основании выявленных нарушений был составлен протокол об административном правонарушении.
Для справки: Часть 1 статьи 13.11 КоАП РФ предусматривает административную ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных.
Управление Роскомнадзора по Центральному федеральному округу обратилось в Арбитражный суд г. Москвы с заявлением о привлечении АО «Почта России» к административной ответственности по ч. 1 ст. 13.11 КоАП РФ.
Позиция Арбитражного суда г. Москвы
Суд отметил, что в настоящем случае имеющиеся в материалах дела доказательства свидетельствуют о том, что у общества АО «Почта России» имелась возможность для соблюдения правил и норм, за нарушение которых ч. 1 ст. 13.11 КоАП РФ предусмотрена административная ответственность, но обществом не были приняты все зависящие от него меры по их соблюдению.
Суд также подчеркнул, что состав административного правонарушения, предусмотренный ч. 1 ст. 13.11 КоАП РФ, является формальным, и для квалификации действий по названной норме не требуется обязательного наступления неблагоприятных последствий.
Существенная угроза охраняемым общественным отношениям в настоящем случае заключается в пренебрежительном отношении общества к исполнению своих публично-правовых обязанностей.
Суд привлек АО «Почта России» к административной ответственности по части 1 статьи 13.11 КоАП РФ и назначил штраф в размере 150 тысяч рублей.
Апелляция в Девятый арбитражный апелляционный суд не подавалась.
Мой комментарий: Масштабная утечка персональных данных (более 26 млн. записей), согласно утверждению оператора, произошла по вине внутреннего нарушителя. Это указывает на недостаточность мер по контролю доступа и обеспечению внутренней безопасности.
Соблюдение процедур по уведомлению Роскомнадзора не снимает ответственности: «Почта России» формально исполнила обязанность по уведомлению регулятора об инциденте (ч. 3.1 ст. 21 ФЗ-152), но это не защитило общество от штрафа. Основная обязанность оператора по предотвращению собственно нарушений не была исполнена.
Вина «внутреннего нарушителя» не служит оправданием для общества. Организация-оператор обязана выстроить такие технические и организационные меры защиты, которые минимизируют риски как извне, так и изнутри. Недостаточность этих мер является основанием для привлечения к ответственности самой организации.
Позиция суда о «пренебрежительном отношении... к исполнению обязанностей» указывает, что инцидент был расценен не как досадное исключение, а как следствие системных пробелов в политике безопасности.
Ущерб не сводится к штрафу. Репутационные и операционные потери от утечки данных, потенциальные иски со стороны субъектов ПДн и повышенное внимание регулятора в будущем многократно превышают сумму административного штрафа.
Стоит обратить внимание на то, что Роскомнадзор активно ведёт мониторинг интернета, а суд поддерживает формальный подход к квалификации нарушений, где важен сам факт утечки, а не ее последствия.
Организационно-правовые меры, которые следует предпринять организациям
В числе организационно-правовых мер, которые следует предпринять организациям для обеспечения надёжной защиты ПДн можно назвать следующие:
- Актуализация локальных нормативных актов: Политики обработки ПДн, Перечень мер защиты, оценка актуальных угроз и т.д. Документы должны быть рабочими, а не формальными;
- Чёткий регламент реагирования на инциденты: Кто, что и в какие сроки делает при обнаружении утечки, включая взаимодействие с регулятором;
- Назначение ответственных лиц: Контроль за исполнением мер защиты должен быть персонифицирован.
После серьёзных инцидентов, даже при своевременном уведомлении, организациям следует быть готовыми к внеплановым проверкам. Все меры защиты должны быть задокументированы, и организация должна быть готова предъявить эту документацию проверяющим.
После инцидента по результатам внутреннего расследования необходимо принять корректирующие меры, которые можно будет продемонстрировать Роскомнадзору как доказательство усилий по устранению системных причин.
Регулятор и суды ожидают от операторов ПДн доказательств продуманной эффективной системы защиты, способной предотвратить подобные инциденты. Невыполнение этого требования ведет к административной ответственности, репутационным потерям и серьезным бизнес-рискам.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
https://kad.arbitr.ru/Card/1a6a6987-9475-43a1-8721-8ba8a7fcf4cd
Комментариев нет:
Отправить комментарий