Отказ в возбуждении дела об административном правонарушении не может быть дан в простой форме письменного ответа
🔹Арбитражный суд Московского округа отменил судебные акты нижестоящих инстанций и признал незаконным отказ Роскомнадзора в возбуждении дела об административном правонарушении, оформленный в виде письма.
🔹Суть спора:
Гражданин обратился в Роскомнадзор с заявлением по вопросу нарушения Банком законодательства о персональных данных, связанного с обработкой его биометрических персональных данных без письменной формы согласия, через банкомат.
По результатам рассмотрения заявления Роскомнадзор направил заявителю письмо, в котором сообщил об отсутствии оснований для проведения внеплановой проверки.
Гражданин обратился в арбитражный суд, полагая, что данное письмо по своей сути является определением об отказе в возбуждении дела об административном правонарушении, оформленным ненадлежащим образом.
🔹Суд первой инстанции отметил, что для возбуждения дела об административном правонарушении отсутствует состав правонарушения, а также счёл ответ Роскомнадзора Гражданину в виде письма определением, оформленным надлежащим образом.
🔹Апелляционный суд указал, что Роскомнадзором не принималось процессуальное решение в порядке главы 30 КоАП РФ, по существу жалоба не рассматривалась, письмо Роскомнадзора ни по форме, ни по содержанию процессуальным решением, содержащим отказ в удовлетворении жалобы, не является. И, таким образом, письмо Роскомнадзора оформлено надлежащим образом, является обоснованным, мотивированным, и вынесено в соответствии с нормами КоАП РФ.
🔹Суд кассационной инстанции не согласился с выводами нижестоящих судов и указал следующее:
1. В случае отказа в возбуждении дела об административном правонарушении, в том числе и при проверке сообщений, заявлений, должностным лицом выносится мотивированное определение об отказе в возбуждении дела об административном правонарушении (ч. 5 ст. 28.1 КоАП РФ). Иная форма отказа законом не предусмотрена.
2. Согласно разъяснениям Конституционного Суда РФ в Постановлении от 30.03.2021 № 9-П отказ в возбуждении дела, вынесенный в иной форме (не в виде определения об отказе в возбуждении дела об административном правонарушении), может быть оспорен и признан незаконным по мотиву несоответствия его формы требованию ч. 5 ст. 28.1 КоАП РФ и предполагает удовлетворение требования о признании его незаконным в случае, если будет установлено несоблюдение формы отказа.
3. Кассационный суд постановил:
- судебные акты первой и апелляционной инстанций отменить;
- выраженный в письме Роскомнадзора отказ в возбуждении дела об административном правонарушении признать незаконным;
- обязать Роскомнадзор рассмотреть заявление в установленном порядке.
#практика
🔹Арбитражный суд Московского округа отменил судебные акты нижестоящих инстанций и признал незаконным отказ Роскомнадзора в возбуждении дела об административном правонарушении, оформленный в виде письма.
🔹Суть спора:
Гражданин обратился в Роскомнадзор с заявлением по вопросу нарушения Банком законодательства о персональных данных, связанного с обработкой его биометрических персональных данных без письменной формы согласия, через банкомат.
По результатам рассмотрения заявления Роскомнадзор направил заявителю письмо, в котором сообщил об отсутствии оснований для проведения внеплановой проверки.
Гражданин обратился в арбитражный суд, полагая, что данное письмо по своей сути является определением об отказе в возбуждении дела об административном правонарушении, оформленным ненадлежащим образом.
🔹Суд первой инстанции отметил, что для возбуждения дела об административном правонарушении отсутствует состав правонарушения, а также счёл ответ Роскомнадзора Гражданину в виде письма определением, оформленным надлежащим образом.
🔹Апелляционный суд указал, что Роскомнадзором не принималось процессуальное решение в порядке главы 30 КоАП РФ, по существу жалоба не рассматривалась, письмо Роскомнадзора ни по форме, ни по содержанию процессуальным решением, содержащим отказ в удовлетворении жалобы, не является. И, таким образом, письмо Роскомнадзора оформлено надлежащим образом, является обоснованным, мотивированным, и вынесено в соответствии с нормами КоАП РФ.
🔹Суд кассационной инстанции не согласился с выводами нижестоящих судов и указал следующее:
1. В случае отказа в возбуждении дела об административном правонарушении, в том числе и при проверке сообщений, заявлений, должностным лицом выносится мотивированное определение об отказе в возбуждении дела об административном правонарушении (ч. 5 ст. 28.1 КоАП РФ). Иная форма отказа законом не предусмотрена.
2. Согласно разъяснениям Конституционного Суда РФ в Постановлении от 30.03.2021 № 9-П отказ в возбуждении дела, вынесенный в иной форме (не в виде определения об отказе в возбуждении дела об административном правонарушении), может быть оспорен и признан незаконным по мотиву несоответствия его формы требованию ч. 5 ст. 28.1 КоАП РФ и предполагает удовлетворение требования о признании его незаконным в случае, если будет установлено несоблюдение формы отказа.
3. Кассационный суд постановил:
- судебные акты первой и апелляционной инстанций отменить;
- выраженный в письме Роскомнадзора отказ в возбуждении дела об административном правонарушении признать незаконным;
- обязать Роскомнадзор рассмотреть заявление в установленном порядке.
#практика
👍23❤12💯1
28 января в день защиты персональных данных проведем онлайн-конференцию Privacy Forum 2026.
Что ждёт участников:
🔹Выступление представителя ФГУП "ГРЧЦ" Екатерины Ефимовой
🔹Панельные дискуссии с инхаус экспертами из крупных компаний и внешними консультантами
🔹Секции по актуальным темам:
1. Изменения в законодательстве о персональных данных
2. Биометрия в системе персональных данных
3. Персональные данные в маркетинге и продажах
4. Обработка персональных данных в кадровых процессах
5. Легализация персональных данных в службах безопасности
6. Разделение функций DPO и отдела ИБ
Среди спикеров Privacy Forum 2026 представители
ФГУП ГРЧЦ, Управления ИБ ДИТ г. Москвы, ЦБТ, Сбера, Авито, ГК «ГАРДА», Wildberries, ТБанка, Городисский и партнеры, АЛРУД, RTM Group и других крупных компаний.
Формат: онлайн
Дата и время: 28.01 с 10:00 - 16:00 по мск
Организатор: юридическая компания Lukash & Partners
Участие бесплатно, необходима регистрация
📧 Если вы эксперт в сфере data privacy и хотите поделиться своим опытом со слушателями и коллегами, напишите нам на электронную почту info@lukash.partners.
Что ждёт участников:
🔹Выступление представителя ФГУП "ГРЧЦ" Екатерины Ефимовой
🔹Панельные дискуссии с инхаус экспертами из крупных компаний и внешними консультантами
🔹Секции по актуальным темам:
1. Изменения в законодательстве о персональных данных
2. Биометрия в системе персональных данных
3. Персональные данные в маркетинге и продажах
4. Обработка персональных данных в кадровых процессах
5. Легализация персональных данных в службах безопасности
6. Разделение функций DPO и отдела ИБ
Среди спикеров Privacy Forum 2026 представители
ФГУП ГРЧЦ, Управления ИБ ДИТ г. Москвы, ЦБТ, Сбера, Авито, ГК «ГАРДА», Wildberries, ТБанка, Городисский и партнеры, АЛРУД, RTM Group и других крупных компаний.
Формат: онлайн
Дата и время: 28.01 с 10:00 - 16:00 по мск
Организатор: юридическая компания Lukash & Partners
Участие бесплатно, необходима регистрация
📧 Если вы эксперт в сфере data privacy и хотите поделиться своим опытом со слушателями и коллегами, напишите нам на электронную почту info@lukash.partners.
🔥22❤12👌1💯1
Последние дни плотно занимался подготовкой к Privacyforum, который пройдет уже завтра. Небольшие спойлеры о том, что ждет слушателей:
Секция "Изменения в законодательстве о персональных данных"
Роскомнадзор согласовал нам представителя. Екатерина Ефимова выступит от РКН с презентацией. Я, Герман Сабиров (Сбербанк) и Екатерина Ефимова в конце секции обсудим изменения и вытекающие из них подходы к законной обработке ПД. Слушатели смогут писать вопросы, но у меня их уже много, а времени мало.
Секция "Биометрия в системе персональных данных"
Секция пройдет с участием представите Центра биометрических технологий (оператор ЕБС). Кто в теме - обязательно быть. Среди прочего затронем новую модальность в 572-ФЗ, обсудим кто оператор и "обработчик" в разных биометрических процессах/продуктах. На секции также будут эксперты из компаний - КБС (Сбер, Тбанк).
Секция "Персональные данные в маркетинге и продажах"
Затронем отслеживание поведения покупателей в магазинах автоматизированными средствами. Также поговорим и более приземленно, например, о ст. 15 152-ФЗ. Среди спикеров эксперты из Сбера, WB.
Секция "Обработка персональных данных в кадровых процессах"
Обсудим минимизацию согласий. Поднимем вопросы внутренних порталов и справочников работников. Будем делиться как легализуют ПД работников и кандидатов на практике. Среди спикеров эксперты из Сбера, Авито.
Секция "Легализация персональных данных в службах безопасности"
Все еще сомневаюсь, что эту секцию нужно делать под запись, очень острые вопросы. Специалистам СБ лучше запланировать подключение во время конференции.
Секция "Разделение функций DPO и отдела ИБ"
Когда Вы заказывали услуги по аудиту процессов обработки ПД, вам наверняка предлагали "модель угроз". Нужна ли она на данном этапе?
Обсудим плюсы и минусы DPO в службе ИБ.
Среди спикеров эксперты из ДИТ Москвы, Гарда, RTM Group.
Секция "Искусственный интеллект и персональные данные"
Секцию добавили 3 дня назад, подискутировать на privacyforum согласились известные в этой сфере спикеры. Ключевым вопросом станет "Как использовать законно ПД в ИИ", затронем еще роль DPO и вопросы ИБ. Среди спикеров эксперты ТБанка, Yango, Т1.
Запись будет, но не сразу. Что бы не потерять ссылки на видео, отправим их по почте. Для этого просьба зарегистрироваться.
По официальным вопросам пишите организатору - Lukash & Partners на корпоративный адреc info@lukash.partners, команда возьмет письмо в работу.
Секция "Изменения в законодательстве о персональных данных"
Роскомнадзор согласовал нам представителя. Екатерина Ефимова выступит от РКН с презентацией. Я, Герман Сабиров (Сбербанк) и Екатерина Ефимова в конце секции обсудим изменения и вытекающие из них подходы к законной обработке ПД. Слушатели смогут писать вопросы, но у меня их уже много, а времени мало.
Секция "Биометрия в системе персональных данных"
Секция пройдет с участием представите Центра биометрических технологий (оператор ЕБС). Кто в теме - обязательно быть. Среди прочего затронем новую модальность в 572-ФЗ, обсудим кто оператор и "обработчик" в разных биометрических процессах/продуктах. На секции также будут эксперты из компаний - КБС (Сбер, Тбанк).
Секция "Персональные данные в маркетинге и продажах"
Затронем отслеживание поведения покупателей в магазинах автоматизированными средствами. Также поговорим и более приземленно, например, о ст. 15 152-ФЗ. Среди спикеров эксперты из Сбера, WB.
Секция "Обработка персональных данных в кадровых процессах"
Обсудим минимизацию согласий. Поднимем вопросы внутренних порталов и справочников работников. Будем делиться как легализуют ПД работников и кандидатов на практике. Среди спикеров эксперты из Сбера, Авито.
Секция "Легализация персональных данных в службах безопасности"
Все еще сомневаюсь, что эту секцию нужно делать под запись, очень острые вопросы. Специалистам СБ лучше запланировать подключение во время конференции.
Секция "Разделение функций DPO и отдела ИБ"
Когда Вы заказывали услуги по аудиту процессов обработки ПД, вам наверняка предлагали "модель угроз". Нужна ли она на данном этапе?
Обсудим плюсы и минусы DPO в службе ИБ.
Среди спикеров эксперты из ДИТ Москвы, Гарда, RTM Group.
Секция "Искусственный интеллект и персональные данные"
Секцию добавили 3 дня назад, подискутировать на privacyforum согласились известные в этой сфере спикеры. Ключевым вопросом станет "Как использовать законно ПД в ИИ", затронем еще роль DPO и вопросы ИБ. Среди спикеров эксперты ТБанка, Yango, Т1.
Запись будет, но не сразу. Что бы не потерять ссылки на видео, отправим их по почте. Для этого просьба зарегистрироваться.
По официальным вопросам пишите организатору - Lukash & Partners на корпоративный адреc info@lukash.partners, команда возьмет письмо в работу.
privacyforum.ru
Privacy Forum - конференция о персональных данных в бизнесе
28 января, начало в 10:00, online
🔥23❤21👍8💯1
Конференция началась, представитель Роскомнадзора начал презентацию
Ссылка на трансляцию
https://pruffme.com/landing/u4981097/tmp1768395263
Ссылка на трансляцию
https://pruffme.com/landing/u4981097/tmp1768395263
🔥21🤔4❤3😁2
Media is too big
VIEW IN TELEGRAM
PrivacyForum 2026. Секция "Изменения в законодательстве о персональных данных".
Модератор:
Денис Лукаш, управляющий партнер «Lukash & Partners»
Участники:
Екатерина Ефимова, представитель Роскомнадзора, руководитель направления персональных данных ФГУП "ГРЧЦ"
Герман Сабиров, руководитель направления правовой защиты данных и интеллектуальной собственности ПАО Сбербанк
Модератор:
Денис Лукаш, управляющий партнер «Lukash & Partners»
Участники:
Екатерина Ефимова, представитель Роскомнадзора, руководитель направления персональных данных ФГУП "ГРЧЦ"
Герман Сабиров, руководитель направления правовой защиты данных и интеллектуальной собственности ПАО Сбербанк
🔥43❤17👍11
https://xn--r1a.website/rkn_tg/1790
Комментарии ГРЧЦ и Роскомнадзора по итогам Privacy Forum 2026, организованного Lukash & Partners
Комментарии ГРЧЦ и Роскомнадзора по итогам Privacy Forum 2026, организованного Lukash & Partners
Telegram
РоскомнадZор
📃Отраслевые стандарты обработки персональных данных: как избавиться от избыточных согласий
28 января прошла посвященная персональным данным конференция Privacy Forum. Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного…
28 января прошла посвященная персональным данным конференция Privacy Forum. Екатерина Ефимова, руководитель направления персональных данных Главного радиочастотного…
🔥13👍3❤1
Запись секции "Искусственный интеллект и персональные данные" Privacy Forum 2026
Участники:
- Шермет Курбанов, старший юрист, соруководитель практики интеллектуальной собственности и цифрового права SL LEGAL
- Александр Тюльканов, консультант по управлению ИИ и данными, Responsible Innovations
- Алена Геращенко, комплаенс-менеджер ДИБ АО «ТБанк»
- Михаил Кравцов, руководитель группы по персональным данным, ООО "ГК "Иннотех"
Модератор:
Денис Садовников, Head of Privacy and Chief Counsel, Yango
Что обсудили эксперты:
🔹ответственность за защиту персональных данных в зависимости от роли компании в жизненном цикле ИИ
🔹корреляцию между минимизацией и репрезентативностью дата-сетов
🔹регулирование технологий искусственного интеллекта
🔹как законно можно использовать персональные данные в жизненном цикле ИИ?
Запись доступна VKvideo
Участники:
- Шермет Курбанов, старший юрист, соруководитель практики интеллектуальной собственности и цифрового права SL LEGAL
- Александр Тюльканов, консультант по управлению ИИ и данными, Responsible Innovations
- Алена Геращенко, комплаенс-менеджер ДИБ АО «ТБанк»
- Михаил Кравцов, руководитель группы по персональным данным, ООО "ГК "Иннотех"
Модератор:
Денис Садовников, Head of Privacy and Chief Counsel, Yango
Что обсудили эксперты:
🔹ответственность за защиту персональных данных в зависимости от роли компании в жизненном цикле ИИ
🔹корреляцию между минимизацией и репрезентативностью дата-сетов
🔹регулирование технологий искусственного интеллекта
🔹как законно можно использовать персональные данные в жизненном цикле ИИ?
Запись доступна VKvideo
VK Видео
ИИ и персональные данные | Yango, ТБанк, Иннотех, Responsible Innovations и SL LEGAL на Privacy Forum 2026
В данной секции конференции Privacy Forum эксперты обсудили вопросы ответственности за защиту персональных данных в жизненном цикле ИИ, регулирование технологий искусственного интеллекта, баланс между сокращением данных и их репрезентативностью и другое.…
🔥21❤1
Денис Лукаш | Privacy Expert
PrivacyForum 2026. Секция "Изменения в законодательстве о персональных данных". Модератор: Денис Лукаш, управляющий партнер «Lukash & Partners» Участники: Екатерина Ефимова, представитель Роскомнадзора, руководитель направления персональных данных ФГУП…
На секции с представителем Роскомнадзора обсуждали отраслевые стандарты в области обработки персональных данных. Напомню, что они в первую очередь призваны уменьшить случаи использования согласий на обработку ПД. Прозвучало предложение к отраслевым экспертам (по -настоящему разбирающимся в своих сферах) присоединяться к разработке.
Вполне можно такой отраслевой стандарт разработать в области прохождения государственной гражданской службы (назовем это отраслью).
Не смотря на детальное регулирование вопросов прохождения госсслужбы совокупно законами N 79-ФЗ и ТК РФ, Минприроды утвердило типовую форму согласия, предусматривающее согласие на исполнение закона о госслужбе, выплату зарплаты и даже на обработку исполнительных листов. Зачем нужно согласие на исполнение закона?
Исходя из документа обработка ПД продолжится в силу закона, только если госслужащий отзовет согласие.
Госслужащие тоже субъекты персональных данных, быстрый поиск через ИИ озвучил количество в 3,3 миллиона в РФ. На подходы госорганов может смотреть бизнес, ни раз с этим сталкивался.
Вполне можно такой отраслевой стандарт разработать в области прохождения государственной гражданской службы (назовем это отраслью).
Не смотря на детальное регулирование вопросов прохождения госсслужбы совокупно законами N 79-ФЗ и ТК РФ, Минприроды утвердило типовую форму согласия, предусматривающее согласие на исполнение закона о госслужбе, выплату зарплаты и даже на обработку исполнительных листов. Зачем нужно согласие на исполнение закона?
Исходя из документа обработка ПД продолжится в силу закона, только если госслужащий отзовет согласие.
Госслужащие тоже субъекты персональных данных, быстрый поиск через ИИ озвучил количество в 3,3 миллиона в РФ. На подходы госорганов может смотреть бизнес, ни раз с этим сталкивался.
😁10❤4🔥3👍2🤔1
Запись секции Privacy Forum 2026 "Биометрия в системе персональных данных"
Участники:
- Артем Мажукин, директор векторного направления, Центр Биометрических Технологий
- Алена Геращенко, комплаенс-менеджер ДИБ АО «ТБанк»
- Владимир Шор, главный юрисконсульт направления правовой защиты данных и интеллектуальной собственности ПАО Сбербанк
Модератор:
Денис Лукаш, управляющий партнер юридической компании «Lukash & Partners»
Что обсудили:
🔹 Соотношение 152-ФЗ и 572-ФЗ — как они работают вместе
🔹 Кто является оператором биометрических данных при работе с ЕБС и КБС
🔹 Позицию "обработчика" в цепочке обработки биометрии
🔹 Запущенные и перспективные биометрические сервисы
Запись доступна по ссылке VKvideo
Участники:
- Артем Мажукин, директор векторного направления, Центр Биометрических Технологий
- Алена Геращенко, комплаенс-менеджер ДИБ АО «ТБанк»
- Владимир Шор, главный юрисконсульт направления правовой защиты данных и интеллектуальной собственности ПАО Сбербанк
Модератор:
Денис Лукаш, управляющий партнер юридической компании «Lukash & Partners»
Что обсудили:
🔹 Соотношение 152-ФЗ и 572-ФЗ — как они работают вместе
🔹 Кто является оператором биометрических данных при работе с ЕБС и КБС
🔹 Позицию "обработчика" в цепочке обработки биометрии
🔹 Запущенные и перспективные биометрические сервисы
Запись доступна по ссылке VKvideo
VK Видео
Биометрия в системе персональных данных: представители ЦБТ, ТБанка и Сбербанка на Privacy Forum 2026
В данной секции эксперты обсудили сферы действия 152-ФЗ и 572-ФЗ, вопросы отнесения к категории оператор/обработчик при векторном и транзакционном взаимодействии, тенденции развития биометрических технологий в России и другое. Модератор: Денис Лукаш, управляющий…
🔥16👍4👏1
Постановление ВС РФ: оператор несёт ответственность за неправомерный доступ к своим базам ПДн, осуществлённый через инфраструктуру подрядчика (часть 1)
ВС РФ оставил без удовлетворения жалобу Минтруда России. Министерство пыталось оспорить привлечение по ч.1 ст.13.11 КоАП РФ за «утечку» ПДн, которая была осуществлена через инфраструктуру подрядчика.
🔹Суть дела:
Выявлен факт распространения в Telegram-каналах базы данных Минтруда России (1400 строк), содержащей ПДн сотрудников и их родственников. Минтруд России привлечен к административной ответственности за обработку ПДн, которая не предусмотрена законодательством в области ПДн и несовместима с целью сбора ПДн.
🔹ВС РФ подтвердил позицию нижестоящих инстанций (подробнее ниже).
Доводы жалобы о невиновности Министерства в неправомерном доступе к персональным данным своих сотрудников, который произошел через доступ злоумышленника к инфраструктуре подрядной организации, не обеспечившей защиту этих данных, несостоятельны.
Доказательств, подтверждающих, что Министерством были приняты меры, предусмотренные ст.18.1, ст. 19, ст. 22.1 152-ФЗ по обеспечению безопасности ПДн, материалы дела не содержат.
Размещение ПДн сотрудников Министерства в сети Интернет было подтверждено Министерством лишь после направления территориальным органом Роскомнадзора запроса о предоставлении информации по факту выявленного инцидента.
Таким образом, действия (бездействие) Министерства, не принявшего, несмотря на имевшуюся возможность, всех зависящих от него мер по соблюдению требований законодательства в сфере ПДн, квалифицированы по ч. 1 ст. 13.11 КоАП РФ в соответствии с установленными обстоятельствами, нормами КоАП РФ и законодательства в области ПДн.
ВС РФ оставил без удовлетворения жалобу Минтруда России. Министерство пыталось оспорить привлечение по ч.1 ст.13.11 КоАП РФ за «утечку» ПДн, которая была осуществлена через инфраструктуру подрядчика.
🔹Суть дела:
Выявлен факт распространения в Telegram-каналах базы данных Минтруда России (1400 строк), содержащей ПДн сотрудников и их родственников. Минтруд России привлечен к административной ответственности за обработку ПДн, которая не предусмотрена законодательством в области ПДн и несовместима с целью сбора ПДн.
🔹ВС РФ подтвердил позицию нижестоящих инстанций (подробнее ниже).
Доводы жалобы о невиновности Министерства в неправомерном доступе к персональным данным своих сотрудников, который произошел через доступ злоумышленника к инфраструктуре подрядной организации, не обеспечившей защиту этих данных, несостоятельны.
Доказательств, подтверждающих, что Министерством были приняты меры, предусмотренные ст.18.1, ст. 19, ст. 22.1 152-ФЗ по обеспечению безопасности ПДн, материалы дела не содержат.
Размещение ПДн сотрудников Министерства в сети Интернет было подтверждено Министерством лишь после направления территориальным органом Роскомнадзора запроса о предоставлении информации по факту выявленного инцидента.
Таким образом, действия (бездействие) Министерства, не принявшего, несмотря на имевшуюся возможность, всех зависящих от него мер по соблюдению требований законодательства в сфере ПДн, квалифицированы по ч. 1 ст. 13.11 КоАП РФ в соответствии с установленными обстоятельствами, нормами КоАП РФ и законодательства в области ПДн.
👍2❤1👌1
Позиции судов и Минтруда России (часть 2)
🔹Минтруда России:
Министерством в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности ПДн, в том числе государственные информационные системы, обрабатывающие ПДн, имеют аттестаты соответствия требованиям информационной безопасности. Также приняты иные меры для обеспечения информационной безопасности.
В рамках обеспечения информационной безопасности осуществляется мониторинг защищенности информационных систем Минтруда России силами ФСБ России.
Сервера и рабочие станции Министерства были заражены вредоносным ПО. Установлено предположительное участие иностранных спецслужб. Компрометация осуществлена через подрядную организацию. Неустановленное третье лицо, получив доступ к инфраструктуре подрядчика, а затем к его VPN, подключилось к инфраструктуре Минтруда России и частично зашифровало её вредоносным ПО.
Подрядная организация в рамках заключенного договора имела легитимный доступ к инфраструктуре Министерства и должна была обеспечивать соблюдение требований информационной безопасности при подключении к ней, а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц.
Не доказано, что обрабатываемая информация относилась к инфраструктуре Минтруда России, поскольку информационные системы Министерства не содержат той совокупности ПДн, которые были размещены в Telegram-канале.
Министерство уведомило Роскомнадзор об «утечке». Оценило предполагаемый вред, нанесенный правам субъектов ПДн как «низкий».
🔹Позиции судов:
Постановление мирового судьи
Министерство является оператором ПДн, содержание скомпрометированной базы данных относится к ПДн клиентов (прим. – в редакции постановления) оператора.
Министерством нарушены требования ч.1 ст. 6 , ст. 7 и ст. 10.1 152-ФЗ. Являясь оператором ПДн, Министерство неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих ПДн сотрудников Министерства, опубликованных в сети Интернет, что является обработкой ПДн, которая не предусмотрена законодательством и несовместима с целью сбора.
Безопасность ПДн при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе (п. 3 Постановления Правительства РФ № 1119).
Министерством не предоставлено доказательств отсутствия возможности исполнения требований законодательства, а также принятия всех зависящих от него мер по исполнению ч. 1 ст. 19 152-ФЗ. Не обеспечена конфиденциальность информации и допущена обработка в случаях, не предусмотренных законодательством, факт несанкционированного доступа к персональным данным в данном случае не имеет значения для квалификации, содеянного по ч. 1 ст. 13.11 КоАП РФ.
Довод защиты о том, что доступ к ПДн был осуществлён через инфраструктуру подрядчика не снимает ответственности с Министерства, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением защиты у подрядчика.
Отклонены доводы о малозначительности совершенного правонарушения (ст. 2.9 КоАП РФ), оснований замены административного штрафа на предупреждение не имеется (ч. 3 ст. 3.4 и ч. 1 ст. 4.1.1 КоАП РФ).
Назначен административный штраф в размере 100 тыс. руб. (max по ч. 1 ст. 13.11 КоАП РФ на тот момент).
Апелляция и кассация согласились с доводами мирового судьи.
#практика
🔹Минтруда России:
Министерством в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности ПДн, в том числе государственные информационные системы, обрабатывающие ПДн, имеют аттестаты соответствия требованиям информационной безопасности. Также приняты иные меры для обеспечения информационной безопасности.
В рамках обеспечения информационной безопасности осуществляется мониторинг защищенности информационных систем Минтруда России силами ФСБ России.
Сервера и рабочие станции Министерства были заражены вредоносным ПО. Установлено предположительное участие иностранных спецслужб. Компрометация осуществлена через подрядную организацию. Неустановленное третье лицо, получив доступ к инфраструктуре подрядчика, а затем к его VPN, подключилось к инфраструктуре Минтруда России и частично зашифровало её вредоносным ПО.
Подрядная организация в рамках заключенного договора имела легитимный доступ к инфраструктуре Министерства и должна была обеспечивать соблюдение требований информационной безопасности при подключении к ней, а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц.
Не доказано, что обрабатываемая информация относилась к инфраструктуре Минтруда России, поскольку информационные системы Министерства не содержат той совокупности ПДн, которые были размещены в Telegram-канале.
Министерство уведомило Роскомнадзор об «утечке». Оценило предполагаемый вред, нанесенный правам субъектов ПДн как «низкий».
🔹Позиции судов:
Постановление мирового судьи
Министерство является оператором ПДн, содержание скомпрометированной базы данных относится к ПДн клиентов (прим. – в редакции постановления) оператора.
Министерством нарушены требования ч.1 ст. 6 , ст. 7 и ст. 10.1 152-ФЗ. Являясь оператором ПДн, Министерство неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих ПДн сотрудников Министерства, опубликованных в сети Интернет, что является обработкой ПДн, которая не предусмотрена законодательством и несовместима с целью сбора.
Безопасность ПДн при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе (п. 3 Постановления Правительства РФ № 1119).
Министерством не предоставлено доказательств отсутствия возможности исполнения требований законодательства, а также принятия всех зависящих от него мер по исполнению ч. 1 ст. 19 152-ФЗ. Не обеспечена конфиденциальность информации и допущена обработка в случаях, не предусмотренных законодательством, факт несанкционированного доступа к персональным данным в данном случае не имеет значения для квалификации, содеянного по ч. 1 ст. 13.11 КоАП РФ.
Довод защиты о том, что доступ к ПДн был осуществлён через инфраструктуру подрядчика не снимает ответственности с Министерства, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением защиты у подрядчика.
Отклонены доводы о малозначительности совершенного правонарушения (ст. 2.9 КоАП РФ), оснований замены административного штрафа на предупреждение не имеется (ч. 3 ст. 3.4 и ч. 1 ст. 4.1.1 КоАП РФ).
Назначен административный штраф в размере 100 тыс. руб. (max по ч. 1 ст. 13.11 КоАП РФ на тот момент).
Апелляция и кассация согласились с доводами мирового судьи.
#практика
🔥9❤4
Запись секции "Персональные данные в маркетинге и продажах" Privacy Forum 2026
Участники:
- Станислав Румянцев, старший юрист, юридическая фирма «Городисский и партнеры»
- Наталия Балекина, operations Privacy Expert, Wildberries&Russ
- Андрей Турчин, заместитель руководителя направления в Центре правовой защиты технологий и данных ПАО Сбербанк
- Андрей Корсунский, заместитель руководителя юридического отдела ГК «Родная Речь»
Модератор:
Марина Чурова, ведущий юрист «Lukash & Partners», DPO ООО «АкадемСити»
Что обсудили эксперты:
🔹формирование профиля посетителя в ритейле/ведение статистики/опознавание эмоций/присвоение ID/использование собранных данных для показа персонализированной рекламы
🔹правовые основания обработки для маркетинговой аналитики и коммуникаций/продажа данных для таргетинга
🔹требования в части соблюдения 152-ФЗ в случае привлечения к работе маркетинга CRM платформ
Запись доступна VKvideo
Участники:
- Станислав Румянцев, старший юрист, юридическая фирма «Городисский и партнеры»
- Наталия Балекина, operations Privacy Expert, Wildberries&Russ
- Андрей Турчин, заместитель руководителя направления в Центре правовой защиты технологий и данных ПАО Сбербанк
- Андрей Корсунский, заместитель руководителя юридического отдела ГК «Родная Речь»
Модератор:
Марина Чурова, ведущий юрист «Lukash & Partners», DPO ООО «АкадемСити»
Что обсудили эксперты:
🔹формирование профиля посетителя в ритейле/ведение статистики/опознавание эмоций/присвоение ID/использование собранных данных для показа персонализированной рекламы
🔹правовые основания обработки для маркетинговой аналитики и коммуникаций/продажа данных для таргетинга
🔹требования в части соблюдения 152-ФЗ в случае привлечения к работе маркетинга CRM платформ
Запись доступна VKvideo
VK Видео
Персональные данные в маркетинге и продажах | Сбербанк, Родная Речь, Городисский и партнеры, Wildberries&Russ на Privacy Forum
В данной секции конференции Privacy Forum эксперты разобрали применение биометрии в ритейле, законные основания для таргетинга, работу с DMP-платформами и требования к CRM-системам в условиях российского регулирования. Модератор: Марина Чурова, ведущий юрист…
❤9