суббота, 21 февраля 2026 г.

Арбитражная практика: Штраф за непредоставление оператором субъекту персональных данных информации об обработке его персональных данных

Арбитражный суд Псковской области в сентябре 2025 года рассмотрел дело №А52-3592/2025, в котором в центре внимания был  вопрос о привлечении «Псковского клинического перинатального центра» к административной ответственности по ч. 4 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ, это статья о непредоставлении оператором субъекту персональных данных информации об обработке его персональных данных).

Перинатальный центр не предоставил бывшей работнице запрошенную ею информацию об обработке ее персональных данных (ПДн) в установленный законом срок.

Для справки: Кодекс Российской Федерации об административных правонарушениях

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

- влечет наложение административного штрафа 

  • на граждан в размере от 2 до 4 тысяч рублей; 
  • на должностных лиц - от 9 до 12 тысяч рублей; 
  • на индивидуальных предпринимателей - от 20 до 30 тысяч рублей; 
  • на юридических лиц - от 40 до 80 тысяч рублей.

Суть спора

В адрес центра от гражданки в мае 2025 года поступило письменное требование об уничтожении всех её персональных данных. Через несколько дней от неё же поступил запрос, который содержал ряд вопросов, а именно: 

  • Обработка какой именно категории ПДн требуется; 

  • В каких документах содержится подтверждение факта обработки ПДн оператором;

  • Правовые основания и цели обработки ПДн, подтвержденные документально; 

  • Цели и применяемые оператором способы обработки ПДн; 

  • Сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона; 

  • Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 

  • Сроки обработки ПДн, в том числе сроки их хранения; 

  • Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.

Поскольку, по мнению центра, обращения гражданки касались одного и того же предмета, ответ по ним был совмещен, и срок ответа на обращение не был нарушен (ответ был направлен 6 июня 2025 года).

В Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Северо-Западному федеральному округу в июне 2026 года поступило обращение гражданки по вопросу о привлечении «Псковского клинического перинатального центра» к административной ответственности, установленной частью 4 статьи 13.11 КоАП РФ. Гражданка в обращении указала, что на её запрос от ответчика ответа не поступило, кроме того, оснований для отказа в предоставлении запрошенных сведений не имелось. 

В июне 2025 года Управление Роскомнадзора направило в адрес перинатального центра запрос о предоставлении письменных пояснений по факту возможных нарушений федерального закона №152-ФЗ. Из ответа центра следует, что по результатам обращения гражданки был дан письменный ответ, который, согласно реестру почтовых отправлений, был выслан в адрес гражданки обычным письмом - однако доказательств, подтверждающих направление данного письма в адрес гражданки, представлено не было.

Управлением был составлен протокол в отношении центра, и оно обратилось в суд с иском к «Псковскому клиническому перинатальному центру» о привлечении того к административной ответственности по части 4 статьи 13.11 КоАП РФ на том основании, что информация, касающаяся обработки персональных данных гражданки, ей в установленный законом срок и в полном объеме не была представлена ответчиком. Ответ, полученный гражданкой по электронной почте в июле 2025 года, был неполным; а совмещение ответа на два запроса также являлось неправомерным.

Позиция Арбитражного суда Псковской области

Суд отметил, что обращение гражданки поступило в перинатальный центр 12 мая 2025 года. Данный запрос был также направлен ответчику по электронной почте, и в ответ на запрос было получено уведомление о регистрации обращения. Таким образом, ответ на запрос следовало предоставить в срок по 26 мая 2025 года включительно.

Перинатальный центр сообщил, что по результатам обращения был дан письменный ответ, который, согласно реестру почтовых отправлений, был выслан обычным письмом. Однако, поскольку отвечающее за рассылку корреспонденции должностное лицо уволилось, установить причины, в силу которых заказное отправление с уведомлением не было направлено, не представляется возможным. Суд сделал вывод о том, что доказательств, подтверждающих направление данного письма в адрес гражданки перинатальным центром не представлено.

В адрес центра также поступило письменное требование об уничтожении всех персональных данных гражданки. Поскольку обращения, по мнению ответчика, касались одного и того же предмета, ответ по ним был совмещен, и срок ответа на обращение не был нарушен (ответ направлен 6 июня 2025). Указанный довод ответчика был отклонен судом в связи с необоснованностью.

Требование об уничтожении ПДн рассматривается в порядке, установленном частью 4 статьи 21 федерального закона №152-ФЗ - в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных настоящим федеральным законом или другими федеральными законами.

Как следует из содержания требования об уничтожении всех персональных данных и другого запроса, данные обращения имеют разное содержание, затрагивают разные обязанности оператора, и имеют различный порядок и срок рассмотрения. Следовательно, совмещение ответа является неправомерным.

В ответе отсутствуют сведения, запрашиваемые гражданкой в обращении. Трудовой договор с гражданкой был расторгнут 25 февраля 2025. 26 февраля 2025 комиссией центра был составлен акт о прекращении обработки ее персональных данных, в связи с чем, по мнению ответчика, дальнейшие обращения гражданки рассматривались в порядке, определенном федеральным законом от 02.06.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Данный довод ответчика о том, что после расторжения трудового договора обращения гражданина не рассматриваются в порядке, предусмотренном законодательством о ПДн, был отклонен судом как необоснованный.

Суд отметил, что обработка персональных данных не ограничивается пределами действия трудового договора. По смыслу федерального закона №152-ФЗ, хранение ПДн также является их обработкой. Следовательно, центр был обязан предоставить ответ на запрос в срок, установленный федеральным законом №152-ФЗ.

Доказательств, свидетельствующих о принятии центром необходимых и достаточных мер по соблюдению законодательства, по недопущению правонарушения и невозможности его предотвращения, в материалы дела не представлено, что свидетельствует о наличии вины во вмененном ему правонарушении. Указанные выше обстоятельства свидетельствуют о наличии в действиях центра объективной стороны состава правонарушения, ответственность за которое установлена частью 4 статьи 13.11 КоАП РФ.

Арбитражный суд привлек перинатальный центр» к административной ответственности, предусмотренной частью 4 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях и назначить наказание в виде административного штрафа в размере 40 тысяч рублей.

Апелляционная жалоба в Четырнадцатый арбитражный апелляционный суд не подавалась.

Мой комментарий: Ответчик пытался оспорить обвинение, выдвинув несколько доводов, ни один из них не был принят судом: 

Довод 1: Ответ был отправлен обычным письмом, при этом доказательств его отправки и вручения работодатель не представил.

Позиция суда: Бремя доказывания факта направления ответа лежит на операторе. Отсутствие доказательств (почтовой квитанции, уведомления о вручении) приравнивается к непредоставлению ответа. Факт отправки ответа должен быть подтвержден неоспоримыми доказательствами (например, заказное письмо с уведомлением о вручении, электронная почта с подтверждением доставки). Устные заявления или внутренние реестры без внешнего подтверждения судом могут быть не приняты.

Довод 2: Ответ на запрос от 08.05.2025 был совмещен с ответом на более раннее требование об уничтожении персональных данных.

Позиция суда: Запрос информации и требование об уничтожении данных - это разные виды обращений, регулируемые разными нормами закона (ст. 14 и ст. 21 закона ФЗ-152) и имеющие разные сроки рассмотрения. Совмещение ответов привело к нарушению срока по первому запросу. 

Довод 3: После увольнения сотрудницы и составления акта о прекращении обработки ее персональных данных, её обращения должны рассматриваться по общему закону №59-ФЗ «О порядке рассмотрения обращений граждан», а не по закону о персональных данных.

Позиция суда: Хранение персональных данных является их обработкой. Таким образом, даже после увольнения сотрудника и прекращения активной работы с его данными, оператор продолжает их обрабатывать (хранить). Следовательно, на него продолжают распространяться все обязанности оператора, включая обязанность предоставлять информацию по запросу субъекта данных в порядке и сроки, установленные ФЗ-152.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/


пятница, 20 февраля 2026 г.

Управление рисками для архивов, часть 4-2

(Продолжение, начало см. https://rusrim.blogspot.com/2026/02/4-1_01610966830.html )

3.5. Уничтожение

Определение: Момент уничтожения документов либо отбора на архивное хранение или уничтожение.

Риски:

  • Необратимое решение,

  • Отсутствие чётких политик в отношении сроков хранения и уничтожения (когда возможны преждевременное уничтожение или необоснованное длительное хранение),

  • Отсутствие прослеживаемости.

3.6. Обеспечение долговременной сохранности

Определение: Обеспечение долговременной доступности и сохранности документа

Риски:

  • Зависимость от технологий (моральное устаревание),

  • Потеря качества при миграции/конверсии,

  • Отсутствие стратегий миграции/эмуляции.

3.7. Контроль версий и прослеживаемость

  • Каждое действие с документом должно протоколироваться,

  • Ведение журналов аудита является обязательным. В статье показано, что должна быть обеспечена возможность аудита всех решений, регламентируемых четкими правилами (независимо от того, реализуются ли они автоматически или с участием человека), с тем, чтобы предотвратить неоправданную утрату документов, имеющих доказательную или архивную ценность.

  • Системы должны предоставлять пользователям только копии, обеспечивать проведение проверки их аутентичности и предотвращать повторный ввод измененных копий в систему взамен оригиналов.

  • Должны использоваться надёжные системы управления документами, которые обеспечивают соблюдение строгих правил в отношении модификации, управления версиями, доступа и аудита, - так что любое изменение приводит к созданию нового документа, а не к изменению существующего.

4. Предлагаемые решения

  • Автоматический захват документов в момент их создания

    • Системы должны захватывать документы в режиме реального времени, а не ретроспективно.

    • Захват должен быть интегрирован в деловые процессы.

  • Установление функциональных требований к качеству документов

    Берман настаивает на установлении:

    • требований к аутентичности,

    • требований к целостности,

    • требований к достоверности
Эти требования должны быть реализованы в информационных системах, то есть до начала этапа создания документов.

  • Использование моделей деловых процессов

    • Электронные документы могут быть защищены только в том случае, если процессы, которые их создают, стабильны и контролируемы.

    • Берман продвигает эталонную модель «Допустимого для деловой деятельности информационного обмена» (Reference Model for Business Acceptable Communications - это правила и стандарты, устанавливающие: какие каналы связи могут использоваться, для каких целей, кем, с каким уровнем безопасности и контроля, с тем, чтобы деловая деятельность могла осуществляться без ненужных рисков).

  • Реализация концептуальных рамок для политик

    • Четкие политики в отношении захвата, метаданных, доступа, миграции, обеспечения долговременной сохранности;

    • В статье подчеркивается важность проведения экспертизы ценности и принятия решений об уничтожении документов уже на ранних этапах, в идеале - на этапе проектирования систем, поскольку реализация таких решений на более поздних этапах часто оказывается рискованной и неэффективной.

  • Создание доверенных электронных хранилищ для целей архивирования

    • Хранилища должны быть сертифицированы и соответствовать стандартам,

    • Хранилища должны обеспечивать долговременное хранение и верификацию целостности.

Я подготовил следующую диаграмму, основанную на исходной диаграмме Бермана, которая была уточнена, развита и дополнена данными из его статьи:


Мой комментарий: Вертикальные столбцы диаграммы соответствуют четырём средам (создания, активного управления документами, архивной и обеспечения долговременной сохранности) – они также отражают границы между системами. Светло- и темно-зелёные блоки отражают этапы и состояния. Более жирные красные стрелки – это переходы, связанные с высоким риском. Менее рискованные переходы – обычно в рамках одной системы – показаны тонкими чёрными стрелками.

(Продолжение следует)

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Мой комментарий: Теоретические построения Дэвида Бермана выглядят красиво и правдоподобно, однако, с моей точки зрения, они охватывают лишь часть возможных ситуаций и проблем – и, если воспринимать их как полноценную теорию, а не дополнение к ней, способны принести вред.

По сути дела, эти построения исходят из опыта работы с бумажной организационно-распорядительной документацией и опираются на традиционную идеологию жизненного цикла документа. Они молчаливо предполагают, что:

  • Если документ просто лежит без внимания в одном месте длительное время (т.е. нет никаких «переходов»), то с ним ничего не случится. Это по большей части верно для бумажных документов, но совершенно не соответствует практике работы с электронными документами. Самый простой способ уничтожить электронные документы – это просто забыть о них на достаточно длительное время. Например, при уходе сотрудника достаточно «забыть» передать содержание его учётной записи электронной почты, его разделов в корпоративных информационных системах… К тому же технологии продолжают быстро устаревать – устаревают файловые форматы, программные решения, выводятся из эксплуатации информационные системы. Случаются инциденты безопасности, также приводящие к порче и утрате документов.

  • Документ последовательно проходит три стадии – активного использования в деловой деятельности, полуактивного ведомственного хранения и постоянного архивного хранения, и, соответственно, по завершении первой стадии всё, что нужно - это–сохранить документ в неизменном виде. Такая идеология не подходит многим массовым видам документов, например, научно-технической документации, которая часто активно используется и продолжает модифицироваться до тех пор, пока продолжает существовать и эксплуатироваться объект или изделие.

  • Документ в каждый момент времени находится под полным физическим и интеллектуальным контролем одного-единственного ответственного хранителя. В современных условиях коллективной работы, распределенных систем и аутсорсинга это часто не так.

(Продолжение следует)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/25/managementul-riscurilor-pentru-arhive-4/ 

Профильный технический комитет TC 307 по технологиям блокчейна и распределённых реестров Международной организации по стандартизации опубликовал ряд аналитических отчётов

Данная новость была опубликована 7 февраля 2026 года в учётной записи технического комитета TC 307 «Технологии блокчейна и распределённых реестров» Международной организации по стандартизации (ИСО) в социальной сети LinkedIn.

Объявление о публикации аналитических отчётов («белых книг»)

Мы рады представить новую подборку аналитических отчётов по технологиям блокчейна и распределённых реестров, подготовленных техническим комитетом ISO/TC 307. Эти аналитические отчёты содержат всестороннюю методологию описания и визуализации вариантов использования технологий блокчейна и распределённых реестров.

Данные свободно доступные ресурсы призваны помочь новаторам в сферах деловой деятельности и технологий создавать блокчейн-системы следующего поколения с большей ясностью и точностью.

Аналитические доступны на странице по адресу: https://www.iso.org/committee/6266604.html?view=documents 

Мой комментарий:
4 февраля в разделе технического комитета TC 307 на сайте ИСО были выложены следующие документы:

  • Аналитический отчёт «Методологии описания вариантов использования блокчейна - Полная коллекция» (White paper - Blockchain use case description methodologies - complete collection), объёмом 16 страниц;

  • Аналитический отчёт «Методологии описания вариантов использования блокчейна - Часть 1: Повествовательное описание» (Blockchain use case description methodologies. Part 1: Narrative description), объёмом 10 страниц;

  • Аналитический отчёт «Методологии описания вариантов использования блокчейна - Часть 2: Инструментальный набор для визуализации» (Blockchain use case description methodologies. Part 2: Visualization toolkit), объёмом 11 страниц.

Источник: сайт LinkedIn
https://www.linkedin.com/posts/iso-tc-307-blockchain-distributed-ledger-technologies_linkedin-activity-7425535397708955648-tI4T/ 
https://www.linkedin.com/company/iso-tc-307-blockchain-distributed-ledger-technologies/posts/ 


четверг, 19 февраля 2026 г.

Управление рисками для архивов, часть 4-1

(Продолжение, начало см. http://rusrim.blogspot.com/2026/02/3-2_01957553945.html )

Данная заметка известно го румынского архивиста Богдана-Флорина Поповичи (Bogdan-Florin Popovici, на фото) была опубликована 25 декабря 2025 года на его блоге «Bogdan's Archival Blog - Blog de arhivist».

Одной из основных работ, посвященных рискам для документов, является статья Дэвида Бермана (David Bearman) «Рискованные ситуации: Выявление угроз для электронных документов» (Moments of Risk: Identifying Threats to Electronic Records,  объёмом 32 страницы, см.  https://archivaria.ca/index.php/archivaria/article/view/12912/14148 ).

Хотя эта статья, как предполагается, ориентирована на электронные документы, я считаю, что изложенные в ней соображения вполне справедливы и в отношении аналоговых документов: например, перенос с одного носителя на другой – это идеальная ситуация для утраты / неправильного размещения документов.

1. Что такое «рискованные ситуации»?

«Рискованные ситуации» (или «моменты риска» - moments of risk) – это ключевые переходы между различными состояниями или системами в течение жизненного цикла электронного документа, когда его целостность и аутентичность подвергаются наибольшей угрозе.

Мой комментарий: Формулировка в статье Бермана следующая: «Широко признано, что электронные документы подвергаются наибольшему риску утраты своей «документности» в моменты их перехода из одного состояния в другое, - например, при передаче контроля и управления над документами от одной системы другой».

Берман подчеркивает, что риски возникают в особенности при взаимодействии технологий и организационных процессов.

Электронные документы уязвимы как до и захвата в качестве доказательств (документов, подлежащих архивному хранению), так и во время технологических изменений.

Предотвращение рисков осуществляется не путем их ретроспективного (пост-фактум) архивирования, а ппосредством интеграции требований к управлению документами и их архивированию в деловые процессы и ИТ-системы (что является сутью подхода «управление документами по умолчанию»).

2. Среды

Берман выделяет четыре основные среды, в которых циркулируют документы:

  • Среда создания (Creation Environment),

  • Среда активного управления документами (Active Records Management Environment),

  • Архивная среда (Archival Environment),

  • Среда обеспечения долговременной сохранности (Preservation Environment).

Мой комментарий: По сути дела, это всё та же хорошо знакомая с «бумажных» времён французская теория «трёх возрастов» (трёх основных этапов жизненного цикла) документов, которая нашла отражение и в российской традиции (концепция оперативного, ведомственного и архивного хранения). Отличием является то. что отдельно выделена среда создания документов.

3. Рискованные ситуации

В этих средах имеют место шесть основных рискованных ситуаций.

3.1. Момент захвата (capture)

Определение: Это момент, когда документ создан или получен, и принимается решение  о том, будет ли он сохранен, станет ли он архивным документом и будет ли он сопровождаться соответствующими метаданными.

Мой комментарий: В формулировке Бермана, «Первый «момент риска» в жизни электронного документа приходится на момент его захвата, когда определяется, будет ли он вообще (и в той же форме) сохранен в системах его создателя и захвачен в системе получателя.»

Риски:

  • Отсутствие метаданных, описывающих контекст и процесс деловой деятельности,

  • Частичный захват документов; изменение или удаление документов до захвата,

  • Потеря связи между документом и метаданными.

3.2. Оперативное хранение

Определение: Период, в течение которого документы активно используются в деловых системах организации [т.е. до передачи под управление архивно-документационной службы – Н.Х.].

Риски:

  • Неконтролируемые изменения: изменение контента, потеря метаданных, удаление контента,

  • Утрата связи с метаданными,

  • Ненадежность деловых систем в плане обеспечения сохранности документов и их ключевых качеств (поскольку целью деловых систем является манипулирование данными, а не архивирование).

3.3. Момент ввода в специализированную систему управления документами или архивную систему (ingest)

Определение: Передача документа в систему управления документами либо в среду обеспечения долговременной сохранности.

Риски:

  • Ошибки при передаче,

  • Утрата информации (контента + метаданные, контекств); приём документа «как есть»;

  • Некорректная конверсия.

3.4. Момент предоставления доступа

Определение: Момент, когда пользователи получают доступ к документу.

Риски:

  • Неумышленные изменения (например, повторный ввод в систему рабочей копии взамен оригинала);

  • Неконтролируемое раскрытие документа (любое использование программного обеспечения для целей подтверждения аутентичности вносит определенную степень риска) – речь идёт о документах, которые не управлялись должным образом в документных системах и были обнаружены в процессе раскрытия; поэтому потребуется каким-либо образом подтвердить их аутентичность – Н.Х.

  • Отсутствие механизмов аудита.

(Продолжение следует, см. https://rusrim.blogspot.com/2026/02/4-2_0407056380.html )

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/25/managementul-riscurilor-pentru-arhive-3/