16.03.2026
Для владельцев бизнеса и специалистов по безопасности персональных данных (ПДн) решение Верховного суда стало важным сигналом. Суть прецедента проста и жестка: если произошла утечка конфиденциальной информации, отвечать по всей строгости закона придется оператору данных. Даже если техническую обработку вели третьи лица.На практике это означает, что попытка списать вину на внешнего подрядчика в суде уже не пройдет. Оператор несет ответственность за всё, что происходит с базой данных, независимо от того, кто и как её обрабатывал.
Кейс Минтруда: кто виноват?
Ярким примером такой позиции стал инцидент с Министерством труда. Ведомство столкнулось с утечкой данных почти 1,5 тысячи своих сотрудников и членов их семей. В открытый доступ попали не только имена, но и даты рождения, паспортные данные, а также банковские реквизиты.
При расследовании чиновники попробовали переложить ответственность на стороннюю организацию, которая обеспечивала доступ к информации. Однако суд отклонил этот аргумент. Минтруд был вынужден оплатить штраф, а судебная практика получила четкий ориентир: оператор данных не может снять с себя обязательства, просто передав функции по обработке на аутсорс.
Что менять в договорах и процессах?
Для компаний, работающих с ПДн, это означает необходимость пересмотра подхода к сотрудничеству с подрядчиками. Многие ошибочно полагают, что подписание договора с обработчиком автоматически перекладывает риски на него. Теперь это опасная ошибка.
Юристы и специалисты по комплаенсу рекомендуют следующее:
Детализация в контрактах. В соглашениях с подрядчиками должен быть прописан подробный раздел, регламентирующий их обязанности по защите информации.
Право на аудит. Оператор должен иметь возможность регулярно проверять, насколько надежно партнер хранит переданные данные. Не ждите инцидента — мониторьте ситуацию системно.
Контроль процесса. Передача данных в обработку не означает потерю контроля. Напротив, это требует усиления внутреннего надзора.
Новые требования к защите информации
Ситуация усугубляется ужесточением законодательных норм. Уже сейчас видно, что пассивная позиция больше не оправдана. С сентября 2025 года закон обяжет руководителей госорганов активно содействовать выявлению кибератак. А с марта 2026-го вступят в силу обновленные и более строгие требования ФСТЭК к защите информации в государственных структурах.
Хотя новые нормы формально касаются госсектора, они формируют общий вектор для всего рынка. Истории вроде дела Минтруда, который узнал об утечке только после запроса регулятора, больше не должны повторяться.
Итог: Надеяться на лояльность подрядчиков или реагировать на утечку постфактум — рискованная стратегия. Сейчас время для внутренней проверки договоров и внедрения постоянного мониторинга безопасности. Тем, кто подготовит «подушку безопасности» заранее, удастся избежать крупных штрафов и репутационных потерь.
Теги: практика