Как мы увидели Решение Суда:
1. Добровольное уведомление РКН о факте неправомерной передачи персональных данных подтверждает добросовестность оператора в исполнении обязанности по уведомлению, но не свидетельствует об отсутствии вины за «утечку».
2. Договор на оказание услуг по технической защите конфиденциальной информации мог бы освободить компанию от ответственности за «утечку» персональных данных (нужна лицензия ТЗКИ) и переложить ее на исполнителя по договору.
Общество заключило договор на оказание услуг с ИП по сопровождению и технической поддержке информационных систем. Исполнитель обязан был осуществлять полное обслуживание инфраструктуры ИТ заказчика. В результате хакерской атаки персональные данные работников и клиентов Общества стали доступны неопределенному кругу лиц, о чем Общество уведомило РКН. В нарушение положений ч.1 ст. 6, ст. 7 и ст. 10.1 Федерального закона № 152-ФЗ Общество допустило раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, в связи с чем Общество было привлечено к ответственности по ч.1 ст. 13.11 КоАП РФ.
Отрицая наличие своей вины, Общество указало на следующие обстоятельства:
- Общество предприняло меры, направленные на защиту персональных данных сотрудников, а именно, заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем;
- РКН стало известно о предоставлении неправомерного доступа к базе данных Оператора только ввиду добросовестности Общества, которое добровольно направило уведомление в РКН.
Позиция РКН:
- заключенный договор не содержит в себе услуги по технической защите конфиденциальной информации, в этой связи позиция Общества, что ответственность за данные нарушения несет ИП – ошибочна;
- действия Общества по добровольному обращению в РКН не свидетельствуют об отсутствии вины Общества, так как в данном случае оно действовало добросовестно во исполнение требований ч. 3.1 ст. 21 Федерального закона № 152-ФЗ по уведомлению РКН в случае установления факта неправомерной передачи персональных данных.
Суд поддержал позицию РКН, отметив, что:
- постороннее вмешательство в информационную систему Общества (хакерская атака) при наличии договора с ИП является подтверждением факта неисполнения Обществом обязанности, предусмотренной ст. 7 Федерального закона № 152-ФЗ не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных, а также подтверждением неисполнения или ненадлежащего исполнения обязательств по договору ИП.
На сайте Восьмого кассационного суда общей юрисдикции отсутствуют сведения об обжаловании решения.
