В обзоре изменений за июнь 2024 года рассмотрим следующие темы:
1. Персональные данные
Обновлен порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств, а также определена организация, осуществляющая функции оператора ЕБС.
2. Критическая информационная инфраструктура
Опубликовано Информационное сообщение, согласно которому детализируется порядок представления субъектами КИИ сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
3. Безопасность финансовых организаций
Банк России опубликовал Указания о порядке информационного взаимодействия Банка России с участниками финансового рынка и о порядке обеспечения бесперебойности функционирования платежной системы Банка России.
4. Иное
Принятые НПА включают положение о федеральной ГИС «Реестры программ для ЭВМ и БД», дополнительные меры по обеспечению ИБ РФ, изменения в ПП-676, в положении о федеральной ГИС «Единая информационная платформа национальной системы управления данными», в 149-ФЗ и 236-ФЗ, Рекомендации по отнесению информации к общедоступной, а также порядок сертификации процессов безопасной разработки ПО СрЗИ.
Предложен проект утверждения перечня индикаторов риска нарушения обязательных требований.
5. Стандартизация
Опубликована справка-доклад за май о ходе работ по плану ТК 362 на 2024 год.
6. Судебная практика
Также в этом обзоре рассмотрим судебную практику в области ПДн и КИИ за 2 квартал 2024 года.
Персональные данные
Порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств
Министерство транспорта Российской Федерации (далее – Минтранс России) опубликовало приказ от 02.05.2024 № 162 «Об утверждении порядка формирования и ведения автоматизированных централизованных баз персональных данных (далее – АЦБПДП) о пассажирах и персонале (экипаже) транспортных средств, а также срока хранения и порядка предоставления содержащихся в них данных», согласно которому признаются утратившими силу:
В Порядок формирования и ведения АЦБПДП, а также предоставления содержащихся в них данных, утвержденный приказом Минтранса России от 19.07.2012 № 243, вносятся следующие изменения:
1. Добавлено исключение для перевозок морским и автомобильным транспортом между городом федерального значения Севастополем и Республикой Крым, при которых не формируется АЦБПДП.
2. Уточнена информация, на основе которой может формироваться АЦБПДП. Она может быть предоставлена юридическими лицами и предпринимателями, а также уполномоченными субъектами транспортной инфраструктуры или перевозчиками.
3. Добавлены регистрируемые операции, в отношении которых формируется АЦБПДП.
4. Внесена необходимость передавать в АЦБПДП данные пассажиров при осуществлении воздушных перевозок в виде записей о регистрации пассажиров с учетом требований, установленных стандартами и рекомендациями Международной организации гражданской авиации.
5. Установлен срок хранения персональных данных (далее — ПДн) в АЦБПДП — 7 лет со дня получения ПДн оператором Единой государственной информационной системы обеспечения транспортной безопасности (далее — ЕГИС ОТБ).
6. Дополнен перечень действий оператора ЕГИС ОТБ. Оператор ЕГИС ОТБ должен обеспечивать организацию передачи ПДн через каналы связи. Для этого используются средства криптографической защиты информации, позволяющие обеспечить безопасность передаваемых ПДн от угроз безопасности, которые определены в соответствии с п. 1 ч. 2 ст. 19 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ) или Постановлением Правительства РФ от 08.09.2010 № 697 «О единой системе межведомственного электронного взаимодействия». Также оператор ЕГИС ОТБ должен взаимодействовать с информационными системами (далее — ИС) поставщиков и потребителей информации с целью формирования АЦБПДП и проверки предоставляемых в нее ПДн.
7. Добавлены форматы и протоколы, которые используются при формировании АЦБПДП.
8. Установлен срок передачи информации о пассажирах в АЦБПДП после завершения формирования регистрируемой операции в ИС, используемой для бронирования и (или) оформления проездных документов и передачи ПДн в АЦБПДП при разных видах перевозок.
9. Добавлены сведения о регистрируемой операции, которые необходимо учитывать:
-
наименование регистрируемой операции;
-
номер проездного (перевозочного) документа (билета);
-
номер места, указанного в проездном (перевозочном) документе (билете);
-
стоимость перевозки и класс обслуживания;
-
дата и время отправления (по расписанию).
10. Уточнены ПДн, которые необходимо передавать в АЦБПДП:
-
номер телефона и адрес электронной почты, которые указываются пассажиром при оформлении проездного документа;
-
данные учетной записи (логины, хранимые в базах данных перевозчиков, хеши паролей) пассажира;
-
информацию об IP‑адресе и номере порта, с которого передавалась информация при оформлении проездного документа пассажиром;
-
сведения об электронном средстве платежа.
Приказ вступает в силу 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.
Определение организации, осуществляющей функции оператора ЕБС
Официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 21.06.2024 № 834 «Об определении организации, осуществляющей функции оператора Единой биометрической системы (далее – ЕБС)», согласно которому функции оператора ЕБС возлагаются на акционерное общество «Центр Биометрических технологий».
Признано утратившим силу постановление Правительство РФ от 16.12.2022 № 2326 «О возложении на акционерное общество «Центр Биометрических технологий» функций оператора ЕБС ПДн, обеспечивающей обработку, включая сбор и хранения биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн физического лица, а также о признании утратившими силу распоряжения Правительства РФ от 22.02.2018 № 239-р и пункта 4 изменений, которые вносятся в акты Правительства РФ, утвержденных постановлением Правительства РФ от 24.06.2021 №982».
Постановление начало действовать 29 июня 2024 года.
Критическая информационная инфраструктура
Порядок предоставления субъектами КИИ сведений о результатах присвоения объектам КИИ одной из категорий значимости
Федеральная служба по техническому и экспортному контролю РФ (далее — ФСТЭК России) опубликовала информационное сообщение от 27.05.2024 № 240/82/1376 «О порядке представления субъектами критической информационной инфраструктуры (далее — КИИ) сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
В соответствии с п. 19.1 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений», в случае изменений сведений субъект КИИ направляет в ФСТЭК России новые актуализированные сведения по форме, утвержденной приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Актуализированные сведения направляются субъектом КИИ в ФСТЭК России:
-
электронным документом, записанным на машинном носителе информации, если указанная актуализация не приводит к изменению категории значимости;
-
в иных случаях — в печатном и электронном виде (в формате.ods или.odt) по форме в соответствии с пунктом 18 Правил категорирования.
Безопасность финансовых организаций
Порядок информационного взаимодействия Банка России с участниками финансового рынка
На сайте Центрального банка РФ (далее — Банка России) опубликовано указание Банка России от 09.01.2024 № 6655 — У «О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями, лицами, оказывающими профессиональные услуги на финансовом рынке, и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета, а также о порядке и сроках направления уведомления об использовании личного кабинета и уведомления об отказе от использования личного кабинета» (далее — Указание), согласно которому признаются утратившими силу:
Указание устанавливает:
-
порядок взаимодействия Банка России посредством использования информационных ресурсов, размещенных на официальном сайте Банка России в сети «Интернет», в том числе путем предоставления доступа к личному кабинету;
-
порядок и сроки уведомления участниками информационного обмена Банка России об использовании личного кабинета и уведомления об отказе от использования личного кабинета.
Этапы прохождения в Банке России электронного документа, представленного участником информационного обмена:
1. Проведение ряда проверок электронного документа, представляемого участником информационного обмена через личный кабинет:
-
действительности УКЭП электронного документа;
-
контроля целостности электронного документа;
-
отсутствия вредоносного кода;
-
форматно‑логического контроля;
-
соответствия фактического количества приложений количеству, указанному в сопроводительном письме;
-
возможности установления содержания электронного документа;
-
отсутствия уже полученного документа, имеющего идентичные поступившему электронному документу исходящие регистрационный номер и дату.
2. Извещение участника информационного обмена о дате регистрации электронного документа и присвоении ему входящего номера либо об отклонении электронного документа.
Участник информационного обмена должен обратиться с сообщением в Банк России, если:
— в течение двух часов с момента отправления электронного документа:
-
не получены извещения Банка России;
-
на сайте Банка России не появилась информация о техническом сбое или временном прекращении приема электронных документов через личный кабинет со стороны Банка России;
— в течение двадцати минут с момента загрузки электронного документа, представляемого в рамках проведения Банком России депозитных и кредитных операций, участником информационного обмена:
-
не получены извещения Банка России;
-
получено извещение Банка России об ошибке загрузки электронного документа в личный кабинет (при отсутствии на сайте Банка России информации о сбое и невозможности устранения причины ошибки загрузки электронного документа со стороны участника информационного обмена).
Указание вступает в силу 18 июля 2024 года. Правила на случай подписания электронного документа лицом, являющимся представителем участника информационного обмена по доверенности, действуют до 31 августа 2024 года.
Порядок обеспечения бесперебойности функционирования платежной системы Банка России
Официально опубликовано указание Банка России от 09.01.2024 № 6653-У «О внесении изменений в Положение Банка России от 27.10.2020 № 738-П «О порядке обеспечения бесперебойности функционирования платежной системы (далее — ПС) Банка России».
В Положение вносятся следующие изменения:
1. Добавлена обязанность Банка России по осуществлению идентификации рисков информационной безопасности (далее — ИБ) не реже одного раза в год.
2. Перечень субъектов, обеспечивающих управления рисками в ПС дополнен структурными подразделениями Банка России, ответственными за:
— определение требований к защите информации в ПС;
— организацию и осуществление контроля за соблюдением требований к защите информации в ПС.
3. Уточнены обязанности работников. Так работникам:
— определяющим требования к защите информации необходимо:
-
проводить мониторинг риска ИБ в ПС;
-
предоставлять риск‑координаторам бизнес‑процесса результаты мониторинга риска ИБ в ПС;
-
разрабатывать и представлять риск‑координаторам бизнес‑процесса сценарии плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановления деятельности (далее — ОНиВД) в отношении инцидентов защиты информации в ПС;
— осуществляющим контроль за соблюдением требований к защите информации необходимо:
-
организовать контроль за соблюдением требований к защите информации в ПС;
-
организовать проведение оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирования ПС, уровням, определенным п. 6 раздела 6 ГОСТ Р 57 580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
-
проводить мониторинг уровня риска ИБ в ПС;
-
предоставлять риск‑координаторам бизнес‑процесса результаты мониторинга уровня риска ИБ в ПС;
-
разрабатывать и предоставлять риск‑координаторам бизнес‑процесса сценарии плана ОНиВД в отношении инцидентов защиты информации;
-
организовывать применение ответных мер в отношении инцидентов защиты информации ПС;
-
информировать структурное подразделение Банка России, ответственное за определение требований к защите информации в ПС, риск‑координаторов бизнес‑процесса о выявленных инцидентах защиты информации.
4. Добавлены дополнительные мероприятия в целях мониторинга уровня риска ИБ в ПС:
— оценка соответствия текущего уровня защиты информации объектов информационной инфраструктуры, обеспечивающих функционирование ПС:
-
Банка России;
-
операционного и платежного клирингового центра внешней ПС;
— оценка выполнения требований:
-
к защите информации в соответствии с положением Банка России от 25.07.2022 № 802-П «О требованиях к защите информации в платежной системе Банка России»;
-
обязательных для работников структурных подразделений Банка России.
Указание вступает в силу с 1 октября 2024 года. Пункт, описывающий порядок оценки влияния на бесперебойность функционирования ПС Банка России каждого инцидента, вступает в силу с 1 октября 2026 года.
Иное
Реестры программ для ЭВМ и БД
Министерство Цифрового развития, связи и массовых коммуникаций РФ (далее — Минцифры России) опубликовало приказ от 31.01.2024 № 62 «Об утверждении Положения о федеральной государственной информационной системе (далее — ГИС) „Реестры программ для электронных вычислительных машин (далее — ЭВМ) и баз данных (далее — БД)“. Положение определяет структуру и назначение федеральной ГИС „Реестры программ для ЭВМ и БД“ (далее — Система), основные функции подсистем, участников и их полномочия.
Система состоит из:
— подсистемы «Портал», посредством которой осуществляется формирование, изменение и (или) исключение реестровых записей, содержащих сведения о программном обеспечении (далее — ПО), ведение справочников Системы, управление учетными записями пользователей Системы;
— подсистемы «Витрина данных федеральной ГИС „Реестры ПО“, посредством которой осуществляется взаимодействие входящих запросов с данными, размещаемыми в данной подсистеме и предназначенных для передачи в ИС, входящие в состав инфраструктуры электронного правительства;
— подсистемы визуального представления данных, посредством использования которой осуществляется формирование отчетных данных Системы.
Участниками Системы являются:
-
оператор реестра российского ПО и реестра евразийского ПО, который привлекается к ведению реестра российского ПО и реестра евразийского ПО Минцифры России;
-
заявитель;
-
экспертный совет;
-
экспертная организация, привлекаемая Минцифры России в порядке, предусмотренном законодательством РФ.
Приказ вступил в силу 4 июня 2024 года.
Дополнительные меры по обеспечению ИБ РФ
Опубликован Указ Президента РФ от 13.06.2024 № 500 «О внесении изменений в Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению ИБ РФ (далее – Указ)», согласно которому были расширены меры обеспечения ИБ.
Указом вносятся следующие изменения:
-
включена необходимость установления требований к аккредитованным центрам, определения порядка их аккредитации, в том числе приостановления действия аккредитации и отзыва аккредитации;
-
перечень действий Федеральной службы безопасности РФ дополнен контролем за деятельностью аккредитованных центров;
-
с 1 января 2025 года будет введен запрет на использование сервисов (работ, услуг) по обеспечению ИБ, предоставляемых (выполняемых, оказываемых) аккредитованными центрами.
Указ вступил в силу 14 июня 2024 года.
Изменения в ПП-676
Официально опубликовано постановление Правительства РФ от 12.06.2025 № 791 «О внесении изменений в постановление Правительства РФ от 06.07.2015 № 676», которое вносит изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС и дальнейшего хранения содержащейся в их базах данных информации, утвержденные постановлением Правительства РФ от 06.07.2015 № 676.
Ключевым изменением в постановлении является распространение требований к порядку реализации мероприятий на органы местного самоуправления и органы публичной власти федеральных территорий в случаях, когда:
-
полномочия по реализации таких мероприятий переданы на основании федеральных законов, законов субъектов РФ в целях осуществления ими отдельных полномочий РФ;
-
органы осуществляют полномочия РФ в соответствии с федеральными законами.
Постановление вступило в силу 12 июня 2024 года.
Рекомендации по отнесению информации к общедоступной
Министерством экономического развития РФ был опубликован приказ от 23.04.2024 № 247 «Об утверждении методических указаний по отнесению информации к общедоступной информации, размещаемой государственными органами и органами местного самоуправления на их официальных сайтах в информационно-телекоммуникационной сети «Интернет» в форме открытых данных».
Отнесение информации к общедоступной информации включает:
— установление наличия общественной потребности в опубликовании информации о деятельности государственного органа или органа местного самоуправления в форме открытых данных при:
-
поступлении запросов физических и юридических лиц;
-
получении результатов проведения опросов физических и юридических лиц;
-
получении результатов проведения публичных слушаний и (или) общественных обсуждения;
-
получении решения общественных советов при федеральных органах исполнительной власти, органах государственной власти субъектов РФ, органах местного самоуправления, координационных и совещательных органов, созданных при Правительстве РФ;
— принятие решения:
-
об отнесении информации к общедоступной при установлении общественной потребности;
-
о невозможности отнесения информации к общедоступной при отсутствии общественной потребности или при отнесении информации о деятельности органа к информации ограниченного доступа).
Приказ вступил в силу 7 июня 2024 года.
Изменения в Положении о федеральной ГИС «Единая информационная платформа национальной системы управления данными»
15 июня 2024 года вступило в силу постановление Правительства РФ от 15.06.2024 № 806 «О внесении изменений в постановление Правительства РФ от 14.05.2021 № 733», которое вносит изменения в положение о федеральной ГИС «Единая информационная платформа национальной системы управления данными».
Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.
Изменения в 149-ФЗ и 236-ФЗ
22 июня 2024 года вступил в силу Федеральный закон от 22.06.2024 № 158-ФЗ (далее – 158-ФЗ) «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статьи 11 и 15 Федерального закона «О деятельности иностранных лиц в информационно-телекоммуникационной сети «Интернет» на территории РФ».
Ранее действие данных нормативных актов распространялось на операторов поисковой системы, распространяющих в сети «Интернет» рекламу, которая направлена на привлечение внимания потребителей, находящихся на территории РФ. С вступлением в силу 158-ФЗ действие распространяется на всех операторов поисковой системы.
Согласно Федеральному закону с 1 октября 2024 решение о признании сайта в сети «Интернет» копией ресурса, заблокированного за нарушение авторских или смежных прав, будет принимать Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
Сертификация процессов безопасной разработки ПО СрЗИ
1 июня 2024 года вступил в силу приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка сертификации процессов безопасной разработки ПО средств защиты информации (далее – СрЗИ)».
Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.
Утверждение перечня индикаторов риска нарушения обязательных требований
Минцифры России представило проект приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации», в соответствии с которым будет признан утратившим силу приказ Минцифры России от 06.12.2021 № 1308.
К индикаторам риска планируется добавить пункт о поступлении в Минцифры России заявления об аккредитации организации, осуществляющей аутентификацию на основе биометрических ПДн физических лиц.
Публичное обсуждение завершилось 28 июня 2024 года.
Стандартизация
Деятельность ТК 362
На официальном сайте ФСТЭК России опубликована майская справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2024 год.
ТК 362 были проведены следующие работы:
— представлены на утверждение председателю ТК 362:
-
решение заседания подкомитета 4 «Разработка безопасного ПО» (далее — ПК 4);
-
проекты Регламента работы ТК 362 и Соглашения о взаимодействии организаций — членов ТК 362;
-
предложения в проект Программы национальной стандартизации на 2025 год по ТК 362 и пояснительная записка к ним;
-
решение о принятии в состав ТК 362 ООО «Доктор Веб» со статусом «Н»;
— дорабатываются:
-
ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;
-
ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;
-
ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
-
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
-
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации СрЗИ, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
-
ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;
— ГОСТ Р 56 939 «Защита информации. Разработка безопасного ПО. Общие требования» представлен в секретариат ТК 362 для организации голосования по вопросу его представления в Федеральное агентство по техническому регулированию и метрологии (далее — Росстандарт) на утверждение;
— подготовлены и направлены в технический комитет по стандартизации «Криптографическая защита информации» (далее — ТК 26) результаты рассмотрения проекта Рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов»;
— разосланы на рассмотрение в организации — члены ТК 362 проекты, разработанные ТК 26:
-
Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Ключевая система сети шифрованной связи с использованием ККСВ ВРК с сетевой топологией „звезда“;
-
«Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе ККС ВРК с ДПУ»;
— подготовлены и направлены ответственному секретарю технического комитета «Методология стандартизации» предложения ТК 362, содержащие критерии и правила проведения работ по дополнительной (специализированной) экспертизе в области обеспечения ИБ в соответствии с Протоколом совещания по вопросу подготовки проекта правил стандартизации, определяющих порядок проведения экспертизы проектов документов национальной системы стандартизации в области обеспечения ИБ;
— рассмотрены и направлены в Управление стандартизации Росстандарта предложения по корректировке проекта правил по стандартизации «Порядок проведения экспертизы проектов документов национальной системы стандартизации в области ИБ».
Судебная практика
Нарушение защиты ПДн
Пресечение нарушений, обеспечение законности и защита прав граждан в области ПДн остается одним из приоритетных и весьма активных направлений деятельности Роскомнадзора и его территориальных органов.
Более подробную информацию о судебной практике, связанной с деятельностью ведомства, можно найти на официальном сайте. Здесь размещены материалы по наиболее значимым делам, рассматриваемым в судах, а также обзоры судебной практики по отдельным вопросам, входящим в компетенцию Роскомнадзора.
Не все судебные решения доступны для просмотра в открытом доступе. Только после прохождения определенных процедур они могут быть опубликованы в обезличенном виде. Далее приведены примеры судебных решений:
ЧОУ ПО «Ставропольский Многопрофильный Колледж»
Мировым судьей судебного участка № 13 Промышленного района г. Ставрополя в отношении Частного образовательного учреждения профессионального образования «Ставропольский многопрофильный колледж» вынесено Постановление о признании оператора виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.11 «Кодекса Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ (далее — КоАП РФ), и назначено наказание в виде штрафа в размере 50 тыс. рублей.
Вышеуказанный оператор при обработке ПДн без использования средств автоматизации не выполнил обязанность по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ.
Нарушение физическим лицом
Мировым судьей судебного участка № 1 Прикубанского судебного района Карачаево‑Черкесской Республики в отношении физического лица вынесено Постановление о признании виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, и назначено наказание в виде штрафа в размере 2 тыс. рублей.
Действия привлеченного к административной ответственности физического лица квалифицированы судом по ч.1 ст.13.11 КоАП РФ — обработка ПДн в случаях, непредусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн при обработке ПДн других физических лиц.
Медицинское учреждение
Прокуратура Кировского района г. Саратов провела проверку соблюдения законодательства в сфере защиты ПДн в медицинском учреждении.
В ходе надзорных мероприятий совместно со специалистом Управления Роскомнадзора по Саратовской области в медицинском учреждении выявлен факт неправомерного распространения базы данных, содержащей ПДн клиентов, в частности, номера телефонов и фамилии, имени, отчества.
По данному факту прокуратурой района возбуждено дело об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ в отношении ответственного должностного лица медицинской организации.
По результатам рассмотрения дела должностному лицу назначено наказание в виде административного штрафа в размере 10 тыс. рублей.
АО «Право.ру»
Мировой судья судебного участка № 363 района Хамовники города Москвы 13 февраля 2024 года признал Акционерное Общество «Право.ру» (далее — АО «Право.ру») виновным в неправомерной обработке ПДн и нарушении ч.1 ст.15 152-ФЗ и оштрафовал организацию на 60 тыс. рублей по ч.1 ст.13.11 КоАП РФ.
В ИС «Мой Арбитр» были опубликованы контактные данные (электронная почта, рабочий и сотовый телефон) представителя одного из участников судебного разбирательства — Сургутского городского муниципального унитарного предприятия «Городские тепловые сети».
Указанные данные были собраны АО «Право.ру», которая является организацией, занимающейся продвижением юридических программных продуктов для бизнеса. Менеджером АО «Право.ру» был осуществлен телефонный звонок на опубликованный номер телефона и направлено электронное письмо на опубликованный адрес электронной почты с предложением рекламных продуктов организации.
Нарушение защиты КИИ
Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, административная и гражданско‑правовая ответственность.
Судебную практику по данной теме невозможно просмотреть в открытом доступе. Ниже представлен пример обезличенного судебного решения:
Продажа данных абонентов
Ленинский районный суд города Красноярска признал виновным менеджера по продажам одного из сотовых операторов, который продавал данные некоторых абонентов.
Менеджер фотографировал карточки абонентов из информационно‑биллинговой системы и передавал заказчику, а также подменял адреса электронной почты клиентов, чтобы запрашиваемая информация приходила заказчику.
Работника обвиняют по двум статьям:
-
ч. 2 ст. 137 «Уголовного кодекса РФ» от 13.06.1996 № 63-ФЗ (далее — УК РФ);
-
ч. 4 ст. 274.1 УК РФ.
Автор: Анна Толмачева, аналитик УЦСБ
ссылка на оригинал статьи https://habr.com/ru/articles/829476/
Добавить комментарий