Не имеет значения, по чьей технической вине произошла утечка: из-за ошибки разработчика, хостинг-провайдера, подрядчика или стороннего сервиса. Если персональные данные обрабатывались в интересах и по поручению владельца сайта, именно он рассматривается как ответственное лицо за соблюдение требований 152-ФЗ и за последствия утечки.
Что считается утечкой персональных данных
Под утечкой персональных данных понимается несанкционированное раскрытие, доступ, распространение или иное нарушение конфиденциальности персональных данных, в результате которого данные становятся доступными третьим лицам без законных оснований.
К утечкам относятся:
-
получение доступа к персональным данным посторонними лицами;
-
публикация или выгрузка баз данных в открытый доступ;
-
передача данных третьим лицам без правового основания;
-
компрометация данных в результате взлома сайта или сервера;
-
утечка через формы, API, сторонние скрипты или облачные сервисы.
Важно, что утечкой признаётся сам факт нарушения режима конфиденциальности, даже если данные не были массово распространены и даже если оператор не понёс прямого ущерба. Роскомнадзор оценивает утечку по факту нарушения требований к защите персональных данных, а не по последствиям для оператора.
Кто признаётся оператором персональных данных сайта
Оператором персональных данных сайта признаётся лицо, которое определяет цели и способы обработки персональных данных, независимо от формы ведения деятельности и технической реализации сайта.
Оператором может быть:
-
юридическое лицо — владелец сайта;
-
индивидуальный предприниматель;
-
физическое лицо, если сайт ведётся от его имени.
Ключевым критерием является фактический контроль над обработкой данных, а не формальное владение доменом или хостингом.
Если именно владелец сайта принимает решения о том, какие данные собираются, для каких целей и какими средствами, он признаётся оператором персональных данных и несёт ответственность за соблюдение требований законодательства.
Несёт ли ответственность разработчик или хостинг
Разработчики, хостинг-провайдеры и иные подрядчики, как правило, не признаются операторами персональных данных, если они не определяют цели и способы обработки, а действуют по поручению владельца сайта.
При этом:
-
подрядчики могут нести договорную или гражданско-правовую ответственность;
-
технические ошибки подрядчика не освобождают оператора от ответственности перед Роскомнадзором;
-
отсутствие договоров поручения усиливает риски для оператора.
С точки зрения Роскомнадзора, ссылки на ошибки разработчика или хостинга не являются основанием для освобождения оператора от ответственности за утечку персональных данных.
Ответственность при использовании облачных сервисов
При использовании облачных сервисов (формы, CRM, аналитика, хостинг) персональные данные передаются третьим лицам, что требует особого правового оформления.
Если утечка произошла у облачного провайдера:
-
оператор всё равно остаётся ответственным перед Роскомнадзором;
-
оценивается наличие договора поручения обработки;
-
анализируется выбор мер защиты и контроль провайдера;
-
возможна параллельная ответственность провайдера по иным нормам.
Отсутствие договора поручения или формальный характер договора рассматривается как самостоятельное нарушение.
В каких случаях ответственность может быть разделена
Разделение ответственности возможно только в ограниченных случаях:
-
при совместной обработке персональных данных;
-
при наличии нескольких операторов с самостоятельными целями;
-
при чётком документальном разграничении функций.
В большинстве случаев Роскомнадзор устанавливает единственного ответственного оператора — владельца сайта.
Именно поэтому так важно иметь на руках полноценный комплект организационно-распорядительной документации, где в виде приказов, регламентов и распределения обязанностей юридически закреплено, кто, что и как делает с персональными данными. Это единственный способ продемонстрировать регулятору, что вы не только являетесь оператором, но и должным образом организовали их обработку, что является вашей прямой обязанностью по закону.
Какие меры оценивает Роскомнадзор при утечке
При рассмотрении утечки Роскомнадзор анализирует:
-
наличие организационных мер защиты;
-
актуальность организационно-распорядительной документации;
-
назначение ответственных лиц;
-
реализованные технические меры защиты;
-
соответствие мер уровню угроз.
Отсутствие документов или формальный подход к защите данных усиливает ответственность оператора и негативно влияет на результаты проверки.
Какие санкции применяются при утечке данных
В зависимости от обстоятельств могут применяться:
-
предписания об устранении нарушений;
-
обязательства по внедрению мер защиты;
-
административная ответственность;
-
повторные проверки.
При этом устранение последствий утечки не исключает фиксацию нарушения, если на момент инцидента требования законодательства не соблюдались.
Типичные причины утечек с сайтов
На практике чаще всего выявляются:
-
незащищённые формы и API;
-
ошибки в настройках серверов и БД;
-
использование небезопасных сторонних скриптов;
-
отсутствие разграничения доступа;
-
устаревшие или формальные документы по ПДн.
Большинство утечек связано не с целенаправленными атаками, а с отсутствием системной организации защиты персональных данных.
Как снизить риски ответственности
Для снижения рисков необходимо:
-
провести аудит сайта и используемых сервисов;
-
оформить договоры поручения обработки;
-
внедрить адекватные меры защиты;
-
актуализировать организационно-распорядительную документацию.
На практике
На практике Роскомнадзор исходит из принципа:
кто обрабатывает данные — тот и отвечает за их защиту.
Ссылки на подрядчиков, хостинг или технические сбои не освобождают владельца сайта от ответственности. Поэтому системный подход к защите персональных данных — ключевой фактор снижения рисков при утечках.
