Суть дела
Выявлен факт распространения в Telegram-каналах базы данных Минтруда России (1400 строк), содержащей ПДн сотрудников и их родственников. Минтруд России привлечен к административной ответственности за обработку ПДн, которая не предусмотрена законодательством в области ПДн и несовместима с целью сбора ПДн.
Позиция Минтруда России
Министерством в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности ПДн, в том числе государственные информационные системы, обрабатывающие ПДн, имеют аттестаты соответствия требованиям информационной безопасности. Также приняты иные меры для обеспечения информационной безопасности.
В рамках обеспечения информационной безопасности осуществляется мониторинг защищенности информационных систем Минтруда России силами ФСБ России.
Сервера и рабочие станции Министерства были заражены вредоносным ПО. Установлено предположительное участие иностранных спецслужб. Компрометация осуществлена через подрядную организацию. Неустановленное третье лицо, получив доступ к инфраструктуре подрядчика, а затем к его VPN, подключилось к инфраструктуре Минтруда России и частично зашифровало её вредоносным ПО.
Подрядная организация в рамках заключенного договора имела легитимный доступ к инфраструктуре Министерства и должна была обеспечивать соблюдение требований информационной безопасности при подключении к ней, а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц.
Не доказано, что обрабатываемая информация относилась к инфраструктуре Минтруда России, поскольку информационные системы Министерства не содержат той совокупности ПДн, которые были размещены в Telegram-канале.
Министерство уведомило Роскомнадзор об «утечке». Оценило предполагаемый вред, нанесенный правам субъектов ПДн как «низкий».
Постановление мирового судьи
Министерство является оператором ПДн, содержание скомпрометированной базы данных относится к ПДн клиентов (прим. – в редакции постановления) оператора.
Министерством нарушены требования ч.1 ст. 6 , ст. 7 и ст. 10.1 152-ФЗ. Являясь оператором ПДн, Министерство неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих ПДн сотрудников Министерства, опубликованных в сети Интернет, что является обработкой ПДн, которая не предусмотрена законодательством и несовместима с целью сбора.
Безопасность ПДн при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе (п. 3 Постановления Правительства РФ № 1119).
Министерством не предоставлено доказательств отсутствия возможности исполнения требований законодательства, а также принятия всех зависящих от него мер по исполнению ч. 1 ст. 19 152-ФЗ. Не обеспечена конфиденциальность информации и допущена обработка в случаях, не предусмотренных законодательством, факт несанкционированного доступа к персональным данным в данном случае не имеет значения для квалификации, содеянного по ч. 1 ст. 13.11 КоАП РФ.
Довод защиты о том, что доступ к ПДн был осуществлён через инфраструктуру подрядчика не снимает ответственности с Министерства, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением защиты у подрядчика.
Отклонены доводы о малозначительности совершенного правонарушения (ст. 2.9 КоАП РФ), оснований замены административного штрафа на предупреждение не имеется (ч. 3 ст. 3.4 и ч. 1 ст. 4.1.1 КоАП РФ).
Апелляция и кассация согласились с доводами мирового судьи.
ВС РФ подтвердил позицию нижестоящих инстанций
Доводы жалобы о невиновности Министерства в неправомерном доступе к персональным данным своих сотрудников, который произошел через доступ злоумышленника к инфраструктуре подрядной организации, не обеспечившей защиту этих данных, несостоятельны.
Доказательств, подтверждающих, что Министерством были приняты меры, предусмотренные ст. 18.1, ст. 19, ст. 22.1 152-ФЗ по обеспечению безопасности ПДн, материалы дела не содержат.
Размещение ПДн сотрудников Министерства в сети Интернет было подтверждено Министерством лишь после направления территориальным органом Роскомнадзора запроса о предоставлении информации по факту выявленного инцидента.
Таким образом, действия (бездействие) Министерства, не принявшего, несмотря на имевшуюся возможность, всех зависящих от него мер по соблюдению требований законодательства в сфере ПДн, квалифицированы по ч. 1 ст. 13.11 КоАП РФ в соответствии с установленными обстоятельствами, нормами КоАП РФ и законодательства в области ПДн.
Назначен административный штраф в размере 100 тыс. руб. (max по ч. 1 ст. 13.11 КоАП РФ на тот момент).
