Коротко и ясно с Трудовой практикой. HR & DIGITAL (№ 31)

Напоминаем о скором ужесточении административной ответственности за утечки и незаконную обработку персональных данных («ПДн»)

Уже ****30 мая 2025 г.**** вступит в силу Федеральный закон от 30.11.2024 № 420-ФЗ, вносящий изменения в КоАП РФ и ужесточающий ответственность за нарушения в сфере обработки ПДн, в том числе за:

• ****утечки ПДн**** (штраф до 15 млн руб. при первом нарушении, при повторном – до 3% выручки за соответствующий год);
• ****неуведомления Роскомнадзора**** об ****утечке**** ПДн (до 3 млн руб.), о намерении осуществлять ****обработку ПДн**** (до 300 000 руб.).

Подробнее о данных изменениях и рекомендациях – в нашем материале здесь.

Уже есть практика, согласно которой нарушения, связанные с утечками и неуведомлением Роскомнадзора, признаются длящимися. В этой связи нельзя исключить риски, что компании, допустившие утечки или не уведомившие об утечке до 30 мая 2025 г., могут быть оштрафованы за эти и иные нарушения после 30 мая по новым правилам.

Предлагаем ознакомиться с Решением Савеловского районного суда г. Москвы от 23.11.2023 по делу № 12-4119/23 для понимания, в каких случаях нарушение может быть признано длящимся.

Обстоятельства дела

Управление Роскомнадзора по ЦФО в ходе ****мониторинга интернет-ресурсов**** обнаружило в открытом доступе ****базу данных оператора****, содержащую ****ПДн клиентов****: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания ****уведомила**** Роскомнадзор об этой утечке 2 и 4 июня 2023 г., отметив, что информация в базе актуальна на 2006 г. и была скомпрометирована неустановленными третьими лицами.

Роскомнадзор квалифицировал этот инцидент как ****повторное нарушение**** и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ – за утечку ПДн.

Представитель компании заявил, что отсутствуют признаки повторности, а ****срок давности**** привлечения к административной ответственности истёк, так как база данных была размещена в Интернете ещё в 2006 г. Он также подчеркнул, что направление уведомления об утечке ****не является признанием вины****, а лишь исполнением обязанности, предусмотренной законом.

Суд признал нарушение ****длящимся****, установив, что датой обнаружения правонарушения является 1 июня 2023 г. – день, когда в сети появилась информация об утечке, что подтверждалось уведомлениями компании и скриншотами.

Суд отклонил довод компании о том, что уведомление об утечке не может быть основанием для возбуждения дела. Он отметил, что ****добровольное сообщение**** об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Тем не менее, это обстоятельство было учтено как ****смягчающее**** со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные ****100 000 руб.****