Федеральное ведомство не смогло оспорить штраф по ч. 1 ст. 13.11 КоАП РФ (норма в редакции на дату правонарушения, ноябрь 2023 г.), который был наложен судом в связи с утечкой 1400 строк персональных данных сотрудников ведомства и их родственников, в том числе ФИО, даты и места рождения, паспортные данные, адреса регистрации, реквизиты банковских карт, сведения о гражданстве и другие сведения.
Само ведомство настаивало на отсутствии своей вины в инциденте, поясняя, что
- серверы и рабочие станции ведомства были частично зашифрованы экземпляром вредоносной программы, предположительно, инфраструктуру ведомства атаковали иностранные спецслужбы,
- эта инфраструктура скомпрометирована через подрядную организацию,
- неустановленное третье лицо получило доступ к инфраструктуре подрядчика, а затем к VPN подрядчика, подключилось к инфраструктуре ведомства и частично зашифровало ее вредоносными программами
Однако суды, включая Верховный Суд РФ, единодушно пришли к следующему:
- согласно п. 3 постановления Правительства РФ от 01.11.2012 N 1119 об утверждении требований к защите ПДн при их обработке в ИС ПДН безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в ИС.
Нужна консультация?
Оставьте заявку удобным для Вас способом и наш специалист свяжется с вами в ближайшее время!
