Утечка персональных данных (ПД) для бизнеса — это не только финансовые издержки, но и серьёзные репутационные риски. Источником инцидентов бывают не только внешние кибератаки: значимая доля случаев связана с внутренними ошибками, нарушениями процедур и действиями (или бездействием) подрядчиков, которым предоставлялся доступ к ИТ-инфраструктуре или ПД. Возникает ключевой вопрос: кто несёт ответственность, если утечка произошла по вине подрядчика?

Кто отвечает перед государством?

Определяющим является статус оператора персональных данных — лица/организации, которые определяют цели, состав и способы обработки ПД. На оператора возлагаются обязанности по законности обработки, безопасности ПД и защите прав субъектов данных.

Если утечка произошла по вине подрядчика, ответственность перед государственными органами несёт оператор. Именно оператор уплачивает административные штрафы и взаимодействует с контролирующими органами и субъектами данных.

При этом оператор вправе взыскать с подрядчика неустойку и/или убытки в гражданско-правовом порядке. Для этого в договоре с подрядчиком должны быть прямо предусмотрены условия ответственности за утечку ПД и механизмы компенсации, в том числе соглашение о возмещении убытков по ст. 406.1 ГК РФ и договорная неустойка.

Обязательное уведомление Роскомнадзора

Закон предусматривает обязанность оператора уведомить Роскомнадзор об утечке в установленный срок, а также провести и направить результаты внутреннего расследования.

• Срок уведомления Роскомнадзора об утечке — в течение 24 часов с момента, когда о факте стало известно оператору ПД, Роскомнадзору либо любому третьему лицу. Отсрочки не предусмотрены: срок течёт и в выходные, и в праздничные дни.

• Срок направления результатов внутреннего расследования — в течение 72 часов после уведомления.

Жалобу о предполагаемой утечке могут подать конкуренты, потребители или общественные организации; Роскомнадзор вправе запросить у оператора сведения и потребовать официальный отчёт.

Административная ответственность с 30.05.2025

С 30 мая 2025 года действуют ужесточённые нормы административной ответственности за нарушения в сфере ПД, включая неуведомление или несвоевременное уведомление Роскомнадзора об утечке. Штрафы могут достигать 3 млн руб.:

• для должностных лиц государственных/муниципальных органов и НКО — от 400 000 до 800 000 руб.;
  для ИП и компаний — от 1 000 000 до 3 000 000 руб..

Практические шаги для снижения рисков 

1. Актуализировать политику обработки ПД и положения по ИБ — описать процедуры выявления, предотвращения и ликвидации утечек.

2. Закрепить в договорах с подрядчиками ответственность за сохранность ПД, обязанность оперативного уведомления об инцидентах и возмещение убытков/неустойку.

3. Задокументировать план реагирования: роли и ответственных, сбор и проверку информации, подготовку и отправку уведомлений в Роскомнадзор, информирование субъектов данных и порядок внутреннего расследования.

Источник: Федеральный закон от 30.11.2024 № 420-ФЗ