Верховный суд разъяснил, кто отвечает за утечки персональных данных. Министерство труда пыталось переложить ответственность на подрядчика, но судебная инстанция этого не допустила. Ведомству не удалось оспорить штраф за потерянные сведения, а из разъяснений ВС следует, что отвечать за них всегда должен оператор информационной системы, даже если доступ к ним обеспечивала сторонняя организация. Минтруд допустил утечку почти 1,5 тыс. строк информации о своих сотрудниках и их родственниках, в том числе даты и места рождения, сведения о паспортах и реквизиты банковских карт.
Одним из следствий разъяснения Верховного суда станут внутренние аудиты договоров между операторами персональных данных и их подрядчиками, считает руководитель практики защиты данных Stonebridge Legal Денис Бушнев:
«Решение Верховного суда — это логическое продолжение трактовок закона и разъяснений Роскомнадзора на этот счет. Есть оператор, есть подрядчики оператора. Как правило, это так называемые обработчики либо лица, действующие по поручению. Переложить какую-то ответственность на таких обработчиков просто не получится: у нас есть оператор, который за это все отвечает.
Верховный суд провел некую черту под этим. Громкость этому делу придает то, что там фигурирует Минтруд. Сюрпризом стало то, что штраф достаточно небольшой за такое нарушение.
Исходя из этого решения, операторам стоит придерживаться того, что они, по большому счету, отвечают за все, что происходит с персональными данными, независимо от того, кого они привлекают в качестве партнеров.
Самое важное — это ввести регулярный мониторинг деятельности таких обработчиков».
Полная версия статьи доступна на сайте Коммерсантъ.