Правила регистрации поставщиков информации и представления информации в Единую федеральную государственную информационную систему о землях сельскохозяйственного назначения

Правительство Российской Федерации постановлением от 29 ноября 2025 №1966 утвердило «Правила регистрации поставщиков информации и представления информации в Единую федеральную государственную информационную систему о землях сельскохозяйственного назначения и землях, используемых или предоставленных для ведения сельского хозяйства в составе земель иных категорий».

Постановление вступит в силу с 1 марта 2026 г., правила, а утвержденные настоящим постановлением, будут действовать до 1 марта 2032 г.

Правила определяют порядок регистрации федеральных органов исполнительной власти и их подведомственных организаций, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, а также правообладателей земельных участков (поставщики информации) и представления информации в Единую федеральную государственную информационную систему о землях сельскохозяйственного назначения и землях, используемых или предоставленных для ведения сельского хозяйства в составе земель иных категорий (ЕФГИС). Он включает, в том числе, сроки, форматы представления информации, ее состав, требования к информации, которые содержатся в системе, а также формы и порядок направления запросов о предоставлении информации из неё, в том числе, с использованием сети «Интернет» и Единого портала государственных и муниципальных услуг (функций) (единый портал) (п.1)

Доступ поставщиков информации к ЕФГИС и их регистрация в ней осуществляются при условии их идентификации и аутентификации с использованием ФГИС «Единая система идентификации и аутентификации …» (п.7).

Каждому зарегистрированному поставщику информации предоставляется автоматизированное рабочее место в системе, обеспечивающее доступ к соответствующим сведениям (п.8).

Представление информации в ИС осуществляется с применением стандартизированных технических и программных средств, позволяющих, в том числе, вносить и обрабатывать информацию на основе использования единых форматов и стандартных протоколов обмена данными (п.9).

Представление информации в систему поставщиками информации осуществляется посредством (п.10):

• Интерфейса взаимодействия поставщиков информации с ИС, размещенного на официальных сайтах Министерства сельского хозяйства РФ и оператора ИС в сети «Интернет», в случае если функции такого оператора переданы Министерством подведомственному ему уполномоченному государственному бюджетному учреждению;
  
  
• Прикладных программных интерфейсов представления сведений и информации в ИС, описание которых публикуется на официальных сайтах Министерства сельского хозяйства РФ и оператора ИС в сети «Интернет», в случае если функции такого оператора переданы Министерством подведомственному ему уполномоченному государственному бюджетному учреждению.

Значительная часть информации представляется в информационную систему ежедневно в автоматизированном режиме (п.12).

Представление информации поставщиками информации осуществляется с использованием УКЭП за исключением сведений, представляемых Министерством РФ по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (п.14).

Представление информации в ИС правообладателями земельных участков осуществляется с использованием УКЭП или УНЭП, в случае представления информации физическим лицом, в том числе, при представлении интересов юридического лица или индивидуального предпринимателя на основании машиночитаемой доверенности (п.14).

Ответственность за полноту, достоверность, изменение сведений и информации, формируемых для регистрации в ИС, несут поставщики информации, представившие соответствующие сведения и информацию (п.24).

Информация из ИС предоставляется по запросу заинтересованного лица о предоставлении информации, за исключением информации, доступ к которой ограничен федеральными законами (п.25).

Запрос направляется в электронной форме путем заполнения формы запроса на едином портале или путем заполнения формы запроса, размещенной в ИС (п.26).

Доступ лиц, направляющих запрос и их регистрация в ней осуществляются при условии их идентификации и аутентификации с использованием единой системы идентификации и аутентификации. Каждому лицу, зарегистрированному в ИС, предоставляется автоматизированное рабочее место (п.27).

В случае направления запроса представителем юридического лица или физического лица, в том числе, индивидуального предпринимателя, запрос направляется (п28):

• С использованием УКЭП в случае направления запроса в электронной форме лицом, действующим от имени юридического лица без доверенности, или индивидуальным предпринимателем;
  
  
• С использованием УКЭП или УНЭП в случае направления запроса в электронной форме физическим лицом, в том числе, при представлении интересов юридического лица или индивидуального предпринимателя на основании машиночитаемой доверенности.

В запросе указывается способ предоставления информации, содержащейся в Единой федеральной государственной информационной системе, в форме электронного документа (п.30):

• Посредством использования единого портала;
  
  
• На автоматизированное рабочее место в Единой федеральной государственной информационной системе;
  
  
• На адрес электронной почты, указанный в запросе.

Вне зависимости от способа направления запроса, а также способа предоставления результатов рассмотрения запроса сведения о ходе рассмотрения запроса, а также о результатах рассмотрения запроса направляются в личный кабинет на едином портале (п.31).

Направление запроса федеральными органами исполнительной власти и их подведомственными организациями, органами государственной власти субъектов Российской Федерации, органами местного самоуправления и предоставление информации, содержащейся в ИС, осуществляются посредством единой системы межведомственного электронного взаимодействия (п.32).

Мой комментарий: Постановление устанавливает детальные технические и административные правила работы с Единой федеральной государственной информационной системой (ЕФГИС) о землях сельскохозяйственного назначения. По сути, это «инструкция по эксплуатации» для всех, кто должен вносить данные в эту систему и получать их из нее. Цель - создание единого, актуального и достоверного цифрового реестра данных об агроземлях.

• Создается масштабная информационная система. Это не просто база данных, а комплексная система с автоматизированными рабочими местами (АРМ), интерфейсами взаимодействия, обязательным использованием ЕСИА и электронных подписей. Система рассчитана на долгосрочную работу (до 2032 г.);
  
  
• Приоритет - автоматизация и машинное взаимодействие. Упор делается на ежедневное автоматическое обновление данных и обмен информацией через интерфейсы взаимодействия /СМЭВ для использование их длямониторинга и аналитики в реальном времени;
  
  
• Устанавливается ответственность поставщиков за качество данных. Пункт 24 прямо возлагает ответственность за полноту и достоверность данных на того, кто их вносит (органы власти, правообладатели);
  
  
• Система ориентирована на широкий круг пользователей. Доступ к информации получают не только госорганы через СМЭВ, но и любые заинтересованные лица (бизнес, граждане) через Госуслуги;
  
  
• Используемые технологии строго определены - поставщики и пользователи обязаны встроиться в существующую государственную цифровую инфраструктуру (ЕСИА, УКЭП/УНЭП, СМЭВ, интерфейсы взаимодействия), что снижает гибкость, но повышает стандартизацию и безопасность.

Для всех сторон, которые будут работать в этой информационной системе её эксплуатация несет определенные риски.

Риски для государства (Минсельхоз, оператор, органы власти-поставщики):

• Технические: Сбои в работе ЕФГИС или смежных систем (ЕСИА, СМЭВ), неготовность интерфейсов взаимодействия;
  
  
• Операционные: Невыполнение подведомственными организациями или регионами требований по автоматической ежедневной выгрузке данных из-за несовершенства их собственных ИС;
  
  
• Репутационные / правовые: Предоставление неполной или недостоверной информации из системы пользователям, повлекшее убытки. Ответственность, согласно п.24, на поставщике, но репутационный удар - на системе в целом;
  
  
• Бюджетные: Рост затрат на техническое сопровождение, доработку и интеграцию с другими государственными системами.

Риски для правообладателей земельных участков:

• Административные / технологические: Затратность получения и использования УКЭП/УНЭП, особенно для физических лиц и малого бизнеса. Необходимость осваивать новый цифровой интерфейс (АРМ);
  
  
• Правовые / финансовые: Риск привлечения к ответственности за непредставление или искажение данных в системе, которые могут стать основой для претензий, что может потребовать привлечения юристов и кадастровых инженеров для корректного формирования первичных данных, а также ведение внутреннего журнала сверок с ЕФГИС;
  
  
• Операционные: Ошибки при самостоятельном внесении данных, ведущие к их недостоверности в государственной системе со всеми вытекающими последствиями, что может потребовать использование услуг специалистов для подачи сведений.

Риски для конечных пользователей (бизнес, аналитики, граждане):

• Качество данных: Получение неактуальной или неполной информации из-за ошибок поставщиков, что может привести к неверным бизнес-решениям. Поэтому стоит запрашивать информацию из нескольких источников для перекрестной проверки, а также уточнять дату последнего обновления сведений в системе;
  
  
• Технологический барьер: Необходимость обязательной регистрации через ЕСИА (Госуслуги) для подачи запроса, что может быть проблематично для части пользователей (у нас не все граждане зарегистрированы на Госуслугах).

Постановление создает правовую основу для совершенствование управления землями сельскохозяйственного назначения. Однако его успех напрямую зависит от технической готовности инфраструктуры и человеческого фактора (готовности тысяч поставщиков данных соблюдать регламенты).

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=520185

Становой хребет подотчётности: Обеспечение долговременной сохранности алгоритмов в автоматизированном обществе. Часть 3: Закон Евросоюза об ИИ: Слегка закамуфлированный свод требований к документированию и архивированию (1)

Данный пост эксперта в области управления электронными документами, эксперта ИСО от США Энди Поттера (Andy Potter - на фото) был опубликован 26 ноября 2025 года в социальной сети Substack.

(Продолжение, предыдущую часть см. https://rusrim.blogspot.com/2026/01/2-2.html ) 

Почему флагманский закон Евросоюза об искусственном интеллекте (ИИ) опирается на документирование, параданные и долговечность доказательств.

Описывая Закон Евросоюза об ИИ, его часто называют первой всеобъемлющей попыткой нормативно-правового регулирования искусственного интеллекта - и в узком смысле, это верно. Закон устанавливает правила для систем ИИ высокого риска, вводит обязательства по обеспечению прозрачности, требует проведения оценки соответствия и устанавливает штрафные санкции. Однако изучив текст закона внимательно и прочитав его не как специалист по технологиям или разработчик политик, а как специалист по управлению документами, я увидел несколько иную картину.

Мой комментарий: Европейский «Закон об искусственном интеллекте» был официально опубликован 13 июля 2024 года. Его текст на всех официальных языках Евросоюза доступен на европейском правовом портале EUR-Lex по адресу https://eur-lex.europa.eu/eli/reg/2024/1689/oj . Версия закона на английском языке объёмом 144 страницы доступна по адресу https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689 в формате PDF.

Закон об ИИ - это не просто концепция стратегического управления. Это не просто режим управления рисками, не просто свод правил обеспечения прозрачности. Он представляет собой свод обязательных требований к управлению документами, только написанный языком регулирующих органов, а не архивистов.

Мой комментарий: Любая деятельность в сфере государственного управления, любая коммерческая и некоммерческая деятельность всегда строится на документах, которые устанавливают правила, выполняют роль инструментов деятельности и/или образуются в качестве побочных продуктов такой деятельности. Любой надзор и контроль всегда в первую очередь опирается на документальные доказательства, создавать и сохранять которые предписано законодательством. Именно поэтому любой сколько-нибудь существенный закон всегда прямо или косвенно влияет на управление документами – и, с моей точки зрения, принципиально новым в Законе Евросоюза об ИИ является лишь то, что, поскольку закон регулирует инновационную сферу деятельности, он упоминает новые виды и формы документов и информации, которыми теперь следует управлять.

Закон предполагает, что организации могут обратиться к оставленному системой ИИ «документальному следу» спустя месяцы или годы, для того, чтобы понять, что делала эта система. Он предполагает, что следователи будут иметь возможность реконструировать состояния системы в прошлом; а также то, что решения о рисках, проектные решения и выработанные в ходе оперативной работы знания будут захвачены / зафиксированы в долговечной форме. Закон исходит из предположения о том, что документы существуют и продолжат существовать и в дальнейшем.

Именно такой подтекст формирует все аспекты закона.

Документация как становой хребет

Первый «намёк» появляется в требованиях к технической документации. Прежде чем система ИИ высокого риска сможет попасть на рынок, её поставщик должен предоставить обширную документацию, описывающую архитектуру системы, аспекты стратегического управления данными, целевое назначение, ожидаемые показатели производительности, процессы управления рисками, меры безопасности, решения по управлению жизненным циклом и историю изменений.

В Европе схема метаданных или формат документации не предписываются. Приложение IV (устанавливающее минимальный состав сведений, включаемых в техническую документацию – Н.Х.) перечисляет раскрываемые вопросы, а не структуру. В результате возникает ситуация, в которой наличие определённого контента обязательно, но способ его хранения (контейнер) может быть различным. Некоторые организации создадут красивые, структурированные документы, в то время, как другие сгенерируют нечто такое, что соответствует их внутренней зрелости.

Но, вне зависимости от используемого стиля и изощрённости, само по себе требование является очевидным: необходимо документировать систему, и необходимо сохранять эти документы в течение десяти лет.

Мой комментарий: Это требование ст.18 Закона об ИИ, относящееся к документации, подлежащей представлению компетентным национальным органам, список которой приведен в ст.11. Фиксированный 10-летний срок хранения для научно-технической документации является весьма спорным, ведь традиционно для такой документации сроки хранения отсчитываются от момента окончательного прекращения использования продукта, и учитывают также соответствующие сроки исковой давности … 

Это требование к управлению документами, а не к проектированию.

Пояснение: Почему на само деле речь идёт о параданных

Отсутствие схемы метаданных не ослабляет Закон об ИИ. Это просто говорит о том, что его акцент смещен в другую сторону.

Закон Евросоюза об ИИ фактически требует сохранения параданных в том смысле, в котором этот термин трактует Патриция Фрэнкс (Patricia C. Franks).

Параданные - это документы о действиях, решениях и процессах, которые формируют информацию. В контексте ИИ, они включают в себя сведения о том:

• как были подготовлены данные,
  
  
• как были спроектированы или настроены модели,
  
  
• как проводилась валидация,
  
  
• как оценивались риски,
  
  
• как осуществлялся надзор,
  
  
• как система менялась с течением времени.

Иными словами, параданные документируют то, как осуществляется определенная деятельность.

Мой комментарий: О термине «параданные» см. также посты на моём блоге в подборке http://rusrim.blogspot.com/search/label/параданные . В контексте ИИ – и в приведенной выше интерпретации - содержание понятия «параданные» практически ничем не отличается от содержания понятия «научно-техническая, опытно-конструкторская и эксплуатационная и т.п. документация» (НТД). Пока что термин «параданные» остаётся «широко известным в узких (академических) кругах»; и я пока не вижу в нём острой необходимости.

Закон об ИИ требует от организаций хранить именно такого рода процессно-ориентированные доказательства. Он не предписывает, каким образом их структурировать, - а лишь говорит, что они должны храниться достаточно долго, чтобы обеспечить возможность реконструкции, объяснения и расследования.

Мой комментарий: Черти кроятся в деталях, а в данном случае – в словах «достаточно долго». «Достаточно долго» - это сколько? Установление адекватного срока хранения документов, как известно, является «высшим пилотажем» для специалистов по управлению документами и архивистов… 

Кстати говоря, не в самом законе, а в п.71 Преамбулы к нему сказано следующее: «Техническая документация должна поддерживаться в актуальном состоянии на протяжении всего срока службы системы ИИ. Кроме того, системы ИИ высокого риска должны технически поддерживать автоматическую регистрацию событий, посредством использования журналов аудита, в течение всего срока службы системы.». 

Также не будем забывать о том, что указанные в Законе сроки – это сроки хранения документов в целях исполнения именно данного Закона, и не более того. Во исполнение требований иных законов и/или удовлетворения собственных потребностей организаций в документах в конечном итоге могут быть установлены более длительные сроки.

Параданные сохраняют историю поведения системы. Без них в будущем невозможно будет ничего понять. Закон опирается на этот принцип, прямо его не упоминая.

(Окончание следует)

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/bones-of-accountability-preserving-8f7 

Положение о государственной информационной системе «Единая цифровая платформа МИД России»

Правительство Российской Федерации Постановлением от 28 ноября 2025 года № 1923:

• приняло решение о создании государственной информационной системы «Единая цифровая платформа МИД России» (платформа МИД России);
  
  
• утвердило «Положение о государственной информационной системе «Единая цифровая платформа МИД России».

Формирование функциональных требований к созданию, развитию и эксплуатации платформы осуществляет Министерство иностранных дел Российской Федерации.

Оператором платформы, обеспечивающим ее создание, развитие и эксплуатацию, является Министерство иностранных дел Российской Федерации.

Положение о государственной информационной системе «Единая цифровая платформа МИД России»

Платформа МИД России представляет собой совокупность программных решений и технологий, реализованных в рамках цифровой трансформации Министерства иностранных дел РФ, обеспечивает функционирование всего комплекса информационных систем Министерства в соответствии с их назначением и функциональными возможностями, предназначена для достижения целей и задач.

Обладателем информации, содержащейся в ней, является Российская Федерация. Правомочия обладателя информации от имени РФ осуществляет Министерство иностранных дел РФ (п.3).

Платформа создается в целях повышения эффективности выполнения функций и реализации полномочий, возложенных на Министерство, а также оказания государственных услуг с использованием передовых информационных технологий (п.4).

Платформа МИД России обеспечивает решение следующих задач (п.5):

• Формирование единого защищенного цифрового пространства, объединяющего структурные подразделения центрального аппарата Министерства иностранных дел РФ;
  
  
• Обеспечение автоматизированного сбора сведений, анализа и прогнозирования международной обстановки;
  
  
• Модернизация цифровых средств поддержки российских граждан за рубежом, в том числе, в части экстренной помощи в чрезвычайных ситуациях;
  
  
• Предоставление пользователям средств цифровых коммуникаций, электронного взаимодействия;
  
  
• Поддержка процессов организационно-управленческой, кадровой, финансово-хозяйственной деятельности МИД, а также иных процессов, направленных на обеспечение основной деятельности Министерства - внешнеполитической;
  
  
• Повторное использование существующих систем и сервисов Информационной системы по внешнеполитическим вопросам Министерства;
  
  
• Обеспечение сервисов прикладного уровня устойчивой вычислительно-коммуникационной инфраструктурой с использованием распределенного центра обработки данных необходимого уровня надежности;
  
  
• Обеспечение выполнения требований о защите информации.

Платформа МИД России включает подсистемы прикладного, технологического, инфраструктурного уровней, а также подсистему информационной безопасности (п.7).

К прикладному уровню относятся следующие подсистемы платформы МИД России (п.8):

• Информационно-аналитическая подсистема по внешнеполитической деятельности с использованием искусственного интеллекта;
  
  
• Контактный центр Департамента Ситуационно-кризисный центр МИД;
  
  
• Портал Департамента Ситуационно-кризисный центр МИД и цифровой сервис «Помощник за рубежом», доступ к которому реализуется посредством мобильного приложения федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)»;
  
  
• Автоматизированная подсистема электронного документооборота;
  
  
• Портал МИД, размещенный в сети «Интернет»;
  
  
• Автоматизированная информационная подсистема «Дипломат Департамента Государственного протокола Министерства иностранных дел Российской Федерации»;
  
  
• Информационная подсистема «Служба доверенного лица Удостоверяющего центра Федерального казначейства».

Технические (аппаратные) и программные средства платформы МИД России обеспечивают, в том числе (п.22):

• Применение усиленной квалифицированной электронной подписи;
  
  
• Применение усиленной неквалифицированной электронной подписи физического лица, в том числе, физического лица, действующего на основании доверенности, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме;
  
  
• Ведение электронных журналов учета операций, выполненных с использованием технических (аппаратных) и программных средств, позволяющих обеспечивать учет всех действий по направлению, хранению и удалению документов в электронном виде, с возможностью фиксации сведений о пользователях и точного времени их действий;
  
  
• Распределенное резервное хранение документов в электронном виде;

Мой комментарий: Проект цифровой трансформации внешнеполитического ведомства продолжает общий курс на цифровизацию государственного управления в России, но с учетом особой специфики дипломатической деятельности.

Положительные аспекты и потенциальные выгоды включают:

• Централизация и единство цифрового пространства. Объединение разрозненных информационных систем в единую платформу повысит скоординированность работы центрального аппарата и его загранучреждений;
  
  
• Улучшение сервисов для граждан. Интеграция с «Госуслугами» и развитие сервиса «Помощник за рубежом», в том числе в контексте различных кризисных ситуаций (эвакуации, консульская помощь и т.д.)может повысить оперативность и доступность услуг для граждан за рубежом;
  
  
• Внедрение современных технологий. Заявленное использование искусственного интеллекта для анализа международной обстановки направлено на решение задачи оперативной обработки больших данных для прогнозирования и принятия управленческих решений в области международных отношений;
  
  
• Следование принципам технологического суверенитета. Принцип «технологической независимости» и импортозамещения снижает риски санкционного давления на критическую ИТ-инфраструктуру дипломатии.

При этом создание такого рода платформ несет в себе и серьезные риски обеспечения информационной безопасности, учитывая характер обрабатываемых данных (внешняя политика, разведданные, персональные данные дипломатов и граждан, кризисное управление).

• Объединение всех систем в единую платформу создает очень привлекательную цель для кибератак (в т.ч. со стороны иностранных спецслужб). Успешная атака может парализовать работу всего министерства;
  
  
• Риски инсайдерских угроз. Доступ к платформе получают тысячи сотрудников по всему миру. Риск утечки информации по неосторожности или умыслу резко возрастает;
  
  
• Взаимодействие с другими государственными системами (п.15е) расширяет поверхность для атаки. Недостаточно защищенная система-партнер может стать «слабым звеном».

Стоит также отметить, что с помощью платформы будут решаться слишком много разнородных задач одновременно - от аналитики ИИ до кадрового учета. Это грозит распылением ресурсов, срывом сроков и созданием громоздкой, недружелюбной для пользователей системы.

Законодательство и внешнеполитическая ситуация сейчас очень быстро меняются быстро. Архитектура платформы должна быть изначально модульной и гибкой, что сложно и дорого.

Успешная эксплуатация таких систем требует высококвалифицированных ИТ-специалистов и «цифровых дипломатов» внутри МИД. Возникает риск кадрового голода, а также сопротивления изменениям со стороны сотрудников.

Министерство иностранных дел РФ выступает одновременно как заказчик (формирует требования), оператор и обладатель информации. Это создает потенциальный конфликт интересов и риск отсутствия независимого контроля за реализацией проекта, эффективностью расходов и соблюдением сроков.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=520075

Арбитражная практика: Почта России оштрафована на 150 тысяч рублей за утечку персональных данных

Арбитражный суд г. Москвы в ноябре 2025 года вынес решение по делу №А40-263126/25-121-1089, в котором общество АО «Почта России» было привлечено к ответственности за предоставление неправомерного доступа к своей информационной системе «Сервис отслеживания регистрируемых почтовых отправлений», что повлекло за собой распространение персональных данных (ПДн) клиентов оператора неограниченному кругу лиц посредством их размещения в сети Интернет.

Суть спора

Управление Роскомнадзора по Центральному федеральному округу обратилось в Арбитражный суд г. Москвы в связи с тем, что в ходе мониторинга электронных средств массовой информации на Интернет-ресурсах был выявлен факт наличия базы данных АО «Почта России», содержащей персональные данные клиентов в объеме более 26 млн. записей, содержавших такие сведения, как фамилия, имя, отчество, номер телефона, адрес электронной почты, сведения о почтовых отправлениях.

Во исполнение требований части 3.1 статьи 21 Закона «О персональных данных» «Почта России» уведомила Роскомнадзор о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн, и о результатах внутреннего расследования выявленного инцидента. Согласно уведомлению причиной, повлекшей нарушение прав субъектов ПДн, являются действия внутреннего нарушителя.

Согласно представленной АО «Почта России» информации, датой выявления инцидента являлось 5 декабря 2024 года.

Управлением Роскомнадзора в июле 2025 года была проведена внеплановая выездная проверка. Был проведен осмотр информационной системы «Сервис отслеживания регистрируемых почтовых отправлений» (информационная система АО «Почта России»). В ходе осмотра было установлено, что ПДн клиентов АО «Почта России», размещенные в сети «Интернет», совпадают с данными клиентов оператора, содержащимися в информационной системе.

В ходе внеплановой выездной проверки было установлено, что общество нарушило части 1 статьи 6 и статьи 7 Закона «О персональных данных» в части предоставления неправомерного доступа к информационной системе «Сервис отслеживания регистрируемых почтовых отправлений», что повлекло за собой распространение персональных данных клиентов оператора неограниченному кругу лиц путем размещения в сети Интернет.

На основании выявленных нарушений был составлен протокол об административном правонарушении.

Для справки: Часть 1 статьи 13.11 КоАП РФ предусматривает административную ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных.

Управление Роскомнадзора по Центральному федеральному округу обратилось в Арбитражный суд г. Москвы с заявлением о привлечении АО «Почта России» к административной ответственности по ч. 1 ст. 13.11 КоАП РФ.

Позиция Арбитражного суда г. Москвы

Суд отметил, что в настоящем случае имеющиеся в материалах дела доказательства свидетельствуют о том, что у общества АО «Почта России» имелась возможность для соблюдения правил и норм, за нарушение которых ч. 1 ст. 13.11 КоАП РФ предусмотрена административная ответственность, но обществом не были приняты все зависящие от него меры по их соблюдению.

Суд также подчеркнул, что состав административного правонарушения, предусмотренный ч. 1 ст. 13.11 КоАП РФ, является формальным, и для квалификации действий по названной норме не требуется обязательного наступления неблагоприятных последствий.

Существенная угроза охраняемым общественным отношениям в настоящем случае заключается в пренебрежительном отношении общества к исполнению своих публично-правовых обязанностей.

Суд привлек АО «Почта России» к административной ответственности по части 1 статьи 13.11 КоАП РФ и назначил штраф в размере 150 тысяч рублей.

Апелляция в Девятый арбитражный апелляционный суд не подавалась.

Мой комментарий: Масштабная утечка персональных данных (более 26 млн. записей), согласно утверждению оператора, произошла по вине внутреннего нарушителя. Это указывает на недостаточность мер по контролю доступа и обеспечению внутренней безопасности.

Соблюдение процедур по уведомлению Роскомнадзора не снимает ответственности: «Почта России» формально исполнила обязанность по уведомлению регулятора об инциденте (ч. 3.1 ст. 21 ФЗ-152), но это не защитило общество от штрафа. Основная обязанность оператора по предотвращению собственно нарушений не была исполнена.

Вина «внутреннего нарушителя» не служит оправданием для общества. Организация-оператор обязана выстроить такие технические и организационные меры защиты, которые минимизируют риски как извне, так и изнутри. Недостаточность этих мер является основанием для привлечения к ответственности самой организации.

Позиция суда о «пренебрежительном отношении... к исполнению обязанностей» указывает, что инцидент был расценен не как досадное исключение, а как следствие системных пробелов в политике безопасности.

Ущерб не сводится к штрафу. Репутационные и операционные потери от утечки данных, потенциальные иски со стороны субъектов ПДн и повышенное внимание регулятора в будущем многократно превышают сумму административного штрафа.

Стоит обратить внимание на то, что Роскомнадзор активно ведёт мониторинг интернета, а суд поддерживает формальный подход к квалификации нарушений, где важен сам факт утечки, а не ее последствия.

Организационно-правовые меры, которые следует предпринять организациям

В числе организационно-правовых мер, которые следует предпринять организациям для обеспечения надёжной защиты ПДн можно назвать следующие:

• Актуализация локальных нормативных актов: Политики обработки ПДн, Перечень мер защиты, оценка актуальных угроз и т.д. Документы должны быть рабочими, а не формальными;
  
  
• Чёткий регламент реагирования на инциденты: Кто, что и в какие сроки делает при обнаружении утечки, включая взаимодействие с регулятором;
  
  
• Назначение ответственных лиц: Контроль за исполнением мер защиты должен быть персонифицирован.

После серьёзных инцидентов, даже при своевременном уведомлении, организациям следует быть готовыми к внеплановым проверкам. Все меры защиты должны быть задокументированы, и организация должна быть готова предъявить эту документацию проверяющим.

После инцидента по результатам внутреннего расследования необходимо принять корректирующие меры, которые можно будет продемонстрировать Роскомнадзору как доказательство усилий по устранению системных причин.

Регулятор и суды ожидают от операторов ПДн доказательств продуманной эффективной системы защиты, способной предотвратить подобные инциденты. Невыполнение этого требования ведет к административной ответственности, репутационным потерям и серьезным бизнес-рискам.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
https://kad.arbitr.ru/Card/1a6a6987-9475-43a1-8721-8ba8a7fcf4cd