В обзоре изменений за сентябрь 2024 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Вступили в силу изменения, внесенные в Правила категорирования объектов КИИ РФ, утвержденные постановлением Правительства РФ от 08.02.2018 № 127
2. Персональные данные
Представлен законопроект, направленный на защиту от создания фальшивых изображений и голоса, а также на защиту биометрических ПДн
3. Безопасность финансовых организаций
Вступили в силу Указания о порядке обеспечения бесперебойности функционирования платежной системы Банка России.
4. Иное
Рассмотрим требования о защите информации, предъявленные к провайдерам хостинга при предоставлении вычислительной мощности, проект Правил признания сайта в сети «Интернет» копией заблокированного Роскомнадзором сайта, законопроект, которым предлагается закрепить право гражданина на его голос и его охрану, вопросы, посредством которых ФСТЭК России осуществляет государственный контроль за гостайной и иное.
5. Деятельность ФСТЭК России
Опубликована справка-доклад за август о ходе работ по плану ТК 362 на 2024 год.
6. Судебная практика
Рассмотрим судебную практику в области ПДн 3 квартал 2024 года.
Критическая информационная инфраструктура
Исключение требования по формированию перечня объектов КИИ
19 сентября 2024 года было официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 19.09.2024 № 1281 «О внесении изменений в постановление Правительства РФ от 08.02.2018 № 127».
Согласно постановлению из Правил категорирования объектов критической информационной инфраструктуры (далее – КИИ) РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений», будут исключены требования к субъектам КИИ по формированию, утверждению и направлению в Федеральную службу по техническому и экспортному контролю РФ (далее – ФСТЭК России) перечня объектов КИИ, подлежащих категорированию, а также по подготовке предложений для включения в перечень объектов КИИ и оценке необходимости категорирования вновь создаваемых информационных систем (далее – ИС), автоматизированных систем управления, информационно-телекоммуникационных сетей.
Изменения связаны с тем, что согласно подпункту «ж» пункта 10 Правил категорирования объектов КИИ РФ в качестве исходных данных при категорировании объектов КИИ должны использоваться перечни типовых отраслевых объектов КИИ, дополнительное формирование перечней объектов КИИ субъектами КИИ является избыточным.
Изменения вступили в силу 27 сентября 2024 года.
Персональные данные
Ответственность за создание фальшивых изображений и голоса
В Государственную думу представлен на рассмотрение законопроект № 718538-8 «О внесении изменений в Уголовный кодекс РФ», который направлен на защиту от создания фальшивых изображений и голоса, а также на защиту биометрических персональных данных (далее – ПДн).
Законопроект предлагает ввести в ряд статей Уголовного кодека РФ дополнительный квалифицирующий признак – совершение преступления с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) или биометрических ПДн и установить следующую ответственность:
Статья |
Содержание |
Ответственность |
ч.2.1 ст. 128.1 |
Клевета, совершенная с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) потерпевшего или иного лица, а равно с использованием биометрических ПДн потерпевшего или иного лица |
Либо: ‒ штраф до 1,5 млн. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев; ‒ обязательные работы на срок до 320 часов; ‒ принудительные работы на срок до 3 лет; ‒ арест на срок до 3 месяцев; ‒ лишение свободы на срок до 2 лет |
ч.3 ст. 158 |
Кража, совершенная с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) потерпевшего или иного лица, а равно с использованием биометрических ПДн потерпевшего или иного лица (при отсутствии признаков преступления, предусмотренного ст. 159) |
Либо: ‒ штраф в размере от 100 до 500 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от 1 до 3 лет; ‒ принудительные работы на срок до 5 лет с ограничением свободы на срок до 1,5 лет или без такового; ‒ лишение свободы на срок до 6 лет со штрафом в размере до 80 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 6 месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового |
ч.2.1 ст.159 |
Мошенничество, совершенное с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) потерпевшего или иного лица, а равно с использованием биометрических ПДн потерпевшего или иного лица |
Либо: ‒ штраф в размере до 400 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет; ‒ обязательные работы на срок до 480 часов; ‒ исправительные работы на срок до 2 лет; ‒ принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового; ‒ лишение свободы на срок до 6 лет с ограничением свободы на срок до 1,5 лет или без такового |
ч.3 ст.159.6 |
Мошенничество в сфере компьютерной информации с использованием биометрических ПДн потерпевшего или иного лица |
Либо: ‒ штраф в размере от 100 до 500 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от 1 до 3 лет; ‒ принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового; ‒ лишение свободы на срок до 6 лет со штрафом в размере до 80 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 6 месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового |
ч.2 ст.163 |
Вымогательство, совершенное с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) потерпевшего или его близких |
Лишение свободы на срок от 7 до 15 лет со штрафом в размере до 1 млн. руб. или в размере заработной платы или иного дохода осужденного за период до 5 лет либо без такового и с ограничением свободы на срок до 2 лет либо без такового |
ч.2 ст. 165 |
Причинение имущественного ущерба путем обмана или злоупотребления доверием с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) известного потерпевшему лица |
Либо: ‒ принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового; ‒ Лишение свободы на срок до 5 лет со штрафом в размере до 80 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 6 месяцев или без такового и с ограничением свободы на срок до 2 лет или без такового |
Безопасность финансовых организаций
Порядок обеспечения бесперебойности функционирования платежной системы Банка России
1 октября 2024 года вступило в силу указание Центрального банка РФ от 09.01.2024 № 6653-У «О внесении изменений в Положение Банка России от 27.10.2020 № 738-П «О порядке обеспечения бесперебойности функционирования платежной системы Банка России».
Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за июнь 2024 года, подготовленном Аналитическим центром УЦСБ.
Иное
Требования к провайдерам хостинга при предоставлении вычислительной мощности
10 сентября 2024 года вступил в силу приказ Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) от 31.07.2024 № 677 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет», операторам государственных ИС (далее – ГИС), муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений», согласно которому провайдеры хостинга при предоставлении вычислительной мощности должны соблюдать:
‒ Требования о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет» (утв. приказом Минцифры России от 01.11.2023 № 936), среди которых:
o непрерывное взаимодействие Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА);
o назначение структурного подразделения или должностного лица, ответственного за защиту информации;
o сбор и хранение данных о взаимодействии лиц, которым провайдер хостинга предоставляет вычислительные мощности, с пользователями сети «Интернет» в течение одного года со дня окончания осуществления взаимодействия;
o принимать меры по обнаружению и предотвращению вторжений в случае их обнаружения и иные;
‒ Требования к вычислительной мощности, используемой провайдером хостинга, для проведения уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности РФ, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач (утв. приказом Минцифры России от 01.11.2023 № 935):
‒ требования приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС» (далее – приказ ФСТЭК России № 17) и приказа Федеральной службы безопасности РФ (далее – ФСБ России) от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в ГИС, с использованием шифровальных (криптографических) средств».
Разработка дополнительных профессиональных программ по ИБ
Официально опубликован приказ Министерства науки и высшего образования РФ (далее – Минобрнауки России) от 04.09.2024 № 579 «О внесении изменений в Порядок разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности (далее – ИБ), утвержденный приказом Минобрнауки России от 19.10.2020 № 1316». Согласно изменениям программы профессиональной переподготовки в области ИБ необходимо будет согласовывать с ФСТЭК России и ФСБ России в соответствии с их компетенцией.
ФСТЭК России и ФСБ России рассматривают содержание программы переподготовки, планируемые результаты обучения, программы дисциплин, цели реализации программы и иное. После чего согласовывают программу переподготовки, в случае ее соответствия требованиям, или возвращают образовательной организации на доработку с указанием причин отказа.
Признание сайта в сети «Интернет» копией заблокированного сайта
Правительство РФ предложило для общественного обсуждения проекты приказов «Об утверждении Правил принятия мотивированного решения о признании сайта в сети «Интернет» копией заблокированного сайта» и «О порядке направления владельцу копии заблокированного сайта уведомления о принятом мотивированном решении о признании сайта в сети «Интернет» копией заблокированного сайта».
Согласно проектам Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) на основании:
‒ внешнего сходства сайта, доступ к которому ограничен по решению Московского городского суда в связи с неоднократным и неправомерным размещением информации, содержащей объекты авторских или смежных прав (далее – заблокированный сайт) и его копии (шаблон, цветовая гамма, расположение элементов);
‒ сходства доменных имен;
‒ совпадения размещенной на сайтах информации, содержащей объекты авторских или смежных прав, или информации, необходимой для их получения;
‒ совпадения учетных записей пользователей, необходимых для их аутентификации и предоставления доступа к их личным данным и настройкам;
‒ признаков технического взаимодействия заблокированного сайта и его копии (автоматическая переадресация, синхронизация индекса положений в поисковой выдаче, использование одной системы управления, резервирование имен на сетевом адресе) и иных признаков,
может принимать мотивированное решение о признании сайта копией заблокированного сайта. Уведомление о принятии мотивированного решения направляется владельцу ресурса в течение суток с момента поступления в Роскомнадзор информации о копии заблокированного сайта.
Уведомление и мотивированное решение включают:
‒ доменные имена заблокированного сайта и копии заблокированного сайта;
‒ реквизиты решения Московского городского суда.
Мотивированное решение в качестве обоснования содержит критерии, которые учитывались при признании сайта копией заблокированного сайта.
Публичное обсуждение проектов завершилось 18 сентября 2024 года.
Охрана голоса гражданина
В Государственную думу представлен для рассмотрения законопроект № 718834-8 «О внесении изменений в часть первую Гражданского кодекса РФ».
Согласно законопроекту Гражданский кодекс РФ предлагается дополнить статьей об охране голоса гражданина. Обнародование и использование голоса (в том числе записи голоса или записи, на которой голос воссоздан с помощью технологий синтеза речи) гражданина допускается только с согласия этого гражданина, а после его смерти с согласия ближайших родственников.
Гражданин сможет требовать:
‒ удалить записи голоса, созданные или используемые без его согласия
‒ уничтожить находящиеся в обороте носители, содержащие его голос.
Согласие на использование голоса не требуется, если:
‒ использование голоса осуществляется в государственных, общественных или иных публичных интересах;
‒ голос записан при видео- или аудиозаписи, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях, за исключением случаев, когда голос является основным объектом использования;
‒ запись голоса производилась за плату.
Передача данных об абонентах сотовой связи в систему мониторинга
Минцифры России представило для общественного обсуждения проект постановления Правительства РФ «Об утверждении Правил направления операторами подвижной радиотелефонной связи информации, необходимой для осуществления мониторинга соблюдения операторами связи обязанности по проверке достоверности сведений об абонентах, и сведений о пользователях услугами связи абонентов – юридических лиц либо индивидуальных предпринимателей в ГИС Мониторинга исполнения операторами связи обязанностей при оказании услуг связи, а также перечня таких сведений (далее – ГИС КСИМ)».
Целью проекта постановления является определение порядка взаимодействия операторов подвижной радиотелефонной связи с ГИС КСИМ, а также перечня передаваемой операторами связи информации, включая состав сведений об абонентах, оказываемых им услугах связи, а также сроки представления такой информации и требования к формату ее представления.
Операторы предоставляют информацию о:
‒ способах подтверждения сведений об абонентах и факте подтверждения или не подтверждения достоверности имеющихся у оператора сведений;
‒ пользователях и абонентах:
o для физического лица: фамилию, имя, отчество (при наличии), дату рождения, место рождения, реквизиты документа, удостоверяющего личность;
o для юридического лица: наименование организации, основной государственный регистрационный номер (далее – ОГРН), идентификационный номер налогоплательщика (далее – ИНН);
o для индивидуального предпринимателя: фамилию, имя, отчество (при наличии), дату рождения, реквизиты документа, удостоверяющего личность, ОГРН, ИНН;
‒ статусе функционирования идентификационных модулей, используемых абонентами и пользователями услугами связи абонентов;
‒ периоде и объеме оказания услуг связи;
‒ реквизитах договора об оказании услуг связи, включая абонентский номер, предоставляемый по договору;
‒ пользовательском оборудовании (об оконечном оборудовании), в том числе о его идентификаторе, в случае заключения договора об оказании услуг с иностранным гражданином или лицом без гражданства и иное.
Публичное обсуждение проекта постановления завершилось 1 октября 2024 года.
ГИС «Нормотворчество»
20 сентября 2024 года вступило в силу постановление Правительства РФ от 11.09.2024 № 1230 «Об утверждении Положения о государственной информационной системе «Национальная единая среда взаимодействия участников нормотворческого процесса», согласно которому будет создана ГИС «Нормотворчество».
В целях защиты данных, размещенных в ГИС, а также для подготовки и согласования проектов правовых актов, содержащих информацию ограниченного распространения (с пометкой «Для служебного пользования»), предъявляются следующие требования:
‒ интеграционное взаимодействие и информационный обмен ГИС с внешними ИС и сайтами должны осуществляться с учетом наличия у этих систем и сайтов действующих аттестатов соответствия требованиям безопасности информации;
‒ взаимодействие внешних ИС и сайтов с ГИС должно осуществляться в соответствии с требованиями законодательства РФ в области ПДн;
‒ оператор ГИС должен обеспечивать принятие организационных и технических мер, направленных на защиту информации, в том числе организацию мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, реагированию на компьютерные инциденты и непрерывному взаимодействию с ГосСОПКА;
‒ в ГИС должны применяться сертифицированные по требованиям безопасности информации средства защиты информации (далее – СрЗИ), а также средства криптографической защиты информации (далее – СКЗИ), прошедшие процедуру оценки соответствия;
‒ программно-технические средства, предназначенные для обработки информации, содержащейся в ГИС, должны соответствовать требованиям законодательства РФ о техническом регулировании.
Приостановление полномочий Минцифры России по закупке ПО
Минцифры России опубликовало проект приказа «О внесении изменения в постановление Правительства Российской Федерации от 29.12.2023 № 2381».
Проектом предлагается приостановить действие «Правил взаимодействия Минцифры России с федеральными органами исполнительной власти, руководство деятельностью которых осуществляет Правительство РФ, при планировании и осуществлении централизованных закупок офисного программного обеспечения (далее –ПО) и ПО в сфере ИБ, а также взаимодействия Федерального казначейства с федеральными органами исполнительной власти, руководство деятельностью которых осуществляет Правительство РФ, и подведомственными им федеральными казенными учреждениями при планировании и осуществлении централизованных закупок ПО для ведения бюджетного учета» и полномочий Минцифры России в части централизованных закупок офисного ПО и ПО в сфере ИБ до 31 декабря 2025 года.
Напомним, что ранее вышеуказанные Правила и полномочия были приостановлены до 31 декабря 2024 года.
Общественное обсуждение проекта приказа завершилось 19 сентября 2024 года.
Государственный контроль за гостайной
Официально опубликован приказ ФСТЭК России от 26.06.2024 № 126 «Об определении перечня подлежащих проверке вопросов при осуществлении ФСТЭК России и ее территориальными органами федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России».
Приказ устанавливает перечень вопросов, которые подлежат проверке в рамках государственного контроля за защитой государственной тайны, среди которых соблюдение требований о:
‒ недопустимости подключения ИС, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых при обработке сведений, составляющих государственную тайну, к сети «Интернет», а также к сетям, позволяющим осуществлять передачу информации через государственную границу;
‒ подключении к сетям международного обмена только с использованием специально предназначенных для этого СрЗИ и СКЗИ, прошедших сертификацию;
‒ выполнении условий п.7 Положения о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием СрЗИ, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (утв. постановлением Правительства РФ от 15.04.1995 № 333):
o соблюдение требований законодательства по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
o наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для защиты государственной тайны;
o наличие на предприятии СрЗИ, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности и иные требования.
Деятельность ФСТЭК России
Деятельность ТК 362
На официальном сайте ФСТЭК России опубликована справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2024 год по состоянию на 30.08.2024.
В интересах выполнения плана проведены следующие работы:
‒ председателю ТК 362 представлены предложения по результатам рассмотрения инициативы Ассоциации больших данных по вопросу подготовки предварительных национальных стандартов в области методов и технологий повышения конфиденциальности, а также оценки рисков деобезличивания при обработке ПДн с использованием соответствующих методов и технологий;
‒ организовано голосование по вопросу представления проектов национальных стандартов:
o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации СрЗИ, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом» в Федеральное агентство по техническому регулированию и метрологии РФ (далее – Росстандарт) на утверждение;
‒ проводятся работы по издательскому редактированию и подготовке к утверждению проектов национальных стандартов:
o ГОСТ Р 56939 «Защита информации. Разработка безопасного ПО. Общие требования» (пересмотр ГОСТ Р 56939-2016);
o ГОСТ Р «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
‒ председателю ТК 362 представлен для принятия решения об организации голосования по вопросу представления в Росстандарт на утверждение проект национального стандарта ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
‒ доработан проект национального стандарта ГОСТ Р «Защита информации. Композиционный анализ ПО. Общие требования»;
‒ запрошен результат работы по доработке проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
Судебная практика в части ПДн
Незаконное требование о предоставлении согласия на обработку ПДн по установленной форме
Советский районный суд г. Брянска признал незаконным лишение работника ООО «Нестле Россия» льгот, которые положены работникам организации в соответствии с внутренней Политикой организации, в связи с отказом работника от предоставления согласия на обработку ПДн по установленной работодателем форме.
Ранее работником было предоставлено согласие на обработку ПДн по иной, не установленной работодателем форме, с целью заключения, исполнения, изменения, расторжения договоров добровольного медицинского страхования, для оформления справок с места работы и проведения специальной оценки условий труда. Никаких разъяснений о том, что представленное истцом согласие не содержит обязательных сведений, без предоставления которых работодатель лишен возможности включить его в список лиц для получения льгот, работодатель работнику не предоставил, дополнительные сведения с указанием причин и обоснований у работника запрошены не были.
Суд, ссылаясь на ч.1 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), где говорится, что согласие на обработку ПДн может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, вынес решение о незаконности действий ООО «Нестле Россия» и выплате работнику компенсации морального вреда в размере 20 тыс. рублей.
Штраф за невыполнение требований по локализации ПДн граждан РФ
Мировой судья г. Москвы, рассмотрев дело об административном правонарушении в отношении дайвингового агентства NAUI Worldwide, вынес решение о признании его виновным в совершении административного правонарушения по ч. 8 ст. 13.11 Кодекса РФ об административных правонарушениях (далее – КоАП РФ).
NAUI Worldwide, являясь оператором ПДн, при сборе ПДн не выполнил обязанности по локализации баз данных, содержащих сведения о российских пользователях сайта www.naui.org. Судом был назначен штраф в размере 2 млн. рублей.
Отказ в удовлетворении иска о защите ПДн
Пресненский районный суд принял решение в отказе удовлетворения исковых требований гражданки о защите ПДн к ООО «СК Энмув Рус».
Гражданка, являющаяся бывшим работником ООО «СК Энмув Рус», обратилась в суд с иском о нарушении порядка обработки ее ПДн, а именно об обработке ПДн без ее согласия, а также о передаче ее ПДн третьему лицу – аутсорсинговому агентству, которое выполняет функцию оператора по кадровому администрированию и расчету заработной платы для сотрудников ООО «СК Энмув Рус».
Суд установил, что несмотря на то, что при устройстве на работу истец не подписывала никаких документов, которые разрешали бы работодателю обрабатывать и хранить ее ПДн, а также передавать их третьим лиц, нарушения законодательства не было. В соответствии с п.5 ч.1 ст.6 152-ФЗ обработка ПДн работника при выполнении работодателем возложенных на него трудовым законодательством обязанностей не требует согласия работника, а отношения между истцом и ООО «СК Энмув Рус» возникли именно на основании трудового договора. Соответственно, ООО «СК Энмув Рус» осуществляло обработку ПДн истца в связи с необходимостью оформления трудовых отношений и выполнения обязательств, принятых на себя в рамках подписанного с работником трудового договора.
В соответствии с ч.3 и ч.4 ст.6 152-ФЗ оператор ПДн имеет право поручить обработку ПДн другому лицу с согласия субъекта ПДн, при этом дополнительное согласие лицу, которому поручена обработка, получать не требуется. Передача аутсорсинговому агентству ПДн работников была произведена в рамках поручения, зафиксированного в договоре, и предусматривающего соблюдение конфиденциальности полученных ПДн и принятие мер по их защите, что подтверждает правомерность действий ответчика.
Штрафы за распространение ПДн в Telegram
Ставропольский многопрофильный колледж
Мировой суд оштрафовал Ставропольский многопрофильный колледж и студентку, которая получила доступ к личному делу сокурсника и распространила его ПДн.
Студентка находилась в кабинете социального педагога, где неправомерно получила доступ к личному делу сокурсника и сделала снимок на мобильный телефон справки о составе семьи и фотографии. После чего данный снимок, содержащий ПДн (фамилия, имя, отчество, адрес проживания, фотография), направила подруге посредством мессенджера Telegram.
Студентка была признана виновной по ч.1 ст.13.11 КоАП РФ (обработка ПДн в случаях, не предусмотренных законодательством РФ), а учебное заведение по ч.6 ст.13.11 КоАП РФ (невыполнение обязанности по соблюдению условий, обеспечивающих сохранность ПДн).
Студентку оштрафовали на 2 тыс. рублей, а Ставропольский многопрофильный колледж на 50 тыс. рублей, поскольку к распространению ПДн привела невнимательность его сотрудника.
АО «РТК»
Должностное лицо АО «РТК» привлечено к административной ответственности по ч.6 ст.13.11 КоАП РФ за распространение ПДн.
В адрес Управления Роскомнадзора по Южному федеральному округу поступили материалы об обнаружении в ходе санитарного мониторинга территории документации, содержащей ПДн работников и клиентов АО «РТК».
Постановлением мирового судьи Прикубанского внутригородского округа г. Краснодара должностное лицо АО «РТК» признано виновным, назначено наказание в виде штрафа в размере 8 тыс. рублей.