Они буквально пишут, что суд признал их невиновными в распространении ПД. В то время как суд буквально решил "Привлечь Общество с ограниченной ответственностью «Орион Телеком» (ОГРН 1122468002898, ИНН 2466247790, адрес: 664047, Иркутская область, г. Иркутск, ул. 21 Партизанская, д. 84) к административной ответственности, предусмотренной частью 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить наказание в виде предупреждения". Ч. 13 ст. 13.11 КоАП РФ: Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. То есть суд признал, что действия или бездействие Ориона повлекли неправомерную передачу, в т.ч. распространение перс.даных их клиентов.
А если не применять, то как заставить бизнес вкладываться в ИБ? Ну и не оборотные они, для начала. Штраф от выручки за год применяется при повторной массовой утечке. За первую - суммы высокие, но не "оборотные". Я что-то не верю, что крупного провайдера разорил бы штраф в 3-5 лямов, который они должны были получить. Это не смертельно для бизнеса такого масштаба. А сейчас им просто сказали, окей чуваки, можете и дальше пароли не менять, утечка данных ваших пользаков никого не колышет...
Они могут считать себя невиновными. Но суд-то вынес решение о привлечении к ответственности, значит, суд их невиновными не признал, а как раз наоборот :)))
Правильная логика, но на практике она не работает. В случае утечек ПД на практике работает "объективное вменение": утекло - значит, виноват. Единственное исключение - кейс с утечкой РЖД, где апелляционная инстанция прямо указала, что РКН вообще не доказал, что РЖД нарушило требования ФЗ-152, что привело к утечке. Но это единственный кейс.
Красивая картинка, драматичная, но избыточно мрачная. Во-первых, штрафы до 15.000.000 рублей не имеют никакого отношения к содержанию сайтов. Чтобы влететь на такие деньги, надо допустить массовую утечку персухи - и то не факт, что оштрафуют. Пока что самый "дорогой" штраф по утечкам - 400.000. А самый большой штраф вообще получил WA за нарушение требований о локализации - 17 лямов. Рядовым владельцам сайтов такие цифры не грозят в принципе. Любой косяк на сайте - это ч. 1 ст. 13.11, максимум 300 тысяч для юр.лица, 15 тысяч для физика. А могут и снизить. Суд может предупреждение назначить вместо штрафа, в 2025 г в 60% дел были предупреждения. Во-вторых, с ботом или нет, а РКН сайты проверял всегда. Соответственно, и предписания/запросы по результатам такого контроля РКН направляет регулярно. Что касается их "массовости" - она вызывает большие сомнения. Сайты можно проверить ботиком, но запрос ботик не оформит, для этого нужен инспектор. Этих инспекторов мало, с учетом того, что они и жалобы граждан рассматривают, у них ресурсов не хватит, чтобы нагенерить какое-то значимое количество запросов. Наконец, судебная практика за 2025 г показывает, что сайтовладельцы в основном игнорируют эти запросы. Ничего не отвечают. И РКН идет и штрафует по ст 19.7, за непредоставление ответа. Это 300 рублей для физика и 5000 рублей для юр.лица. До штрафов по ч. 1 ст. 13.11 КоАП РФ дело доходит крайне редко. И в значительной части случаев инициатор штрафа - не РКН с ботом, а прокуратура без всякого бота. Потому что может и хочет.
На сайте райсуда решение должно лежать в обезличенном виде. Вместо Иван Иваныча - ФИО1. Чаще всего так и есть, но бывают забавные косяки с обезличиванием, когда в одном месте текста обезличили, в другом - нет. Но в любом случае, нарушения, допущенные работниками суда, которые не оформили решение в соответствии с требованиями закона до публикации, никак не влияют на законность распространения ПД в чатах.
Нужно ли подавать уведомление в РКН, зависит не от сферы деятельности. По закону, все операторы (то есть лица, которые используют перс.данные не для личных и домашних нужд, скажем так) должны быть в реестре. Включая коучей, репетиторов, астрологов-тарологов и тех, кто тортики через инстаграм продает. Есть исключение: если оператор обрабатывает ПД исключительно без использования средств автоматизации, то уведомление можно не подавать. Но нет таких операторов :) Поэтому, теоретически, уведомление направить должен каждый оператор, включая "людей помогающих профессий". Дальше возникает выбор, соблюдать закон или нет. Штраф за то, что уведомление не направлено, для физ.лиц относительно небольшой. И шансы получить этот штраф невелики. А для ИП и юридических лиц штраф уже существенный, хотя опять же, шансов быть оштрафованным - мало. Соответственно, взвешиваем риски, принимаем решение
Они буквально пишут, что суд признал их невиновными в распространении ПД. В то время как суд буквально решил "Привлечь Общество с ограниченной ответственностью «Орион Телеком» (ОГРН 1122468002898, ИНН 2466247790, адрес: 664047, Иркутская область, г. Иркутск, ул. 21 Партизанская, д. 84) к административной ответственности, предусмотренной частью 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить наказание в виде предупреждения". Ч. 13 ст. 13.11 КоАП РФ: Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. То есть суд признал, что действия или бездействие Ориона повлекли неправомерную передачу, в т.ч. распространение перс.даных их клиентов.
А если не применять, то как заставить бизнес вкладываться в ИБ? Ну и не оборотные они, для начала. Штраф от выручки за год применяется при повторной массовой утечке. За первую - суммы высокие, но не "оборотные". Я что-то не верю, что крупного провайдера разорил бы штраф в 3-5 лямов, который они должны были получить. Это не смертельно для бизнеса такого масштаба. А сейчас им просто сказали, окей чуваки, можете и дальше пароли не менять, утечка данных ваших пользаков никого не колышет...
Они могут считать себя невиновными. Но суд-то вынес решение о привлечении к ответственности, значит, суд их невиновными не признал, а как раз наоборот :)))
Правильная логика, но на практике она не работает. В случае утечек ПД на практике работает "объективное вменение": утекло - значит, виноват. Единственное исключение - кейс с утечкой РЖД, где апелляционная инстанция прямо указала, что РКН вообще не доказал, что РЖД нарушило требования ФЗ-152, что привело к утечке. Но это единственный кейс.
Красивая картинка, драматичная, но избыточно мрачная. Во-первых, штрафы до 15.000.000 рублей не имеют никакого отношения к содержанию сайтов. Чтобы влететь на такие деньги, надо допустить массовую утечку персухи - и то не факт, что оштрафуют. Пока что самый "дорогой" штраф по утечкам - 400.000. А самый большой штраф вообще получил WA за нарушение требований о локализации - 17 лямов. Рядовым владельцам сайтов такие цифры не грозят в принципе. Любой косяк на сайте - это ч. 1 ст. 13.11, максимум 300 тысяч для юр.лица, 15 тысяч для физика. А могут и снизить. Суд может предупреждение назначить вместо штрафа, в 2025 г в 60% дел были предупреждения. Во-вторых, с ботом или нет, а РКН сайты проверял всегда. Соответственно, и предписания/запросы по результатам такого контроля РКН направляет регулярно. Что касается их "массовости" - она вызывает большие сомнения. Сайты можно проверить ботиком, но запрос ботик не оформит, для этого нужен инспектор. Этих инспекторов мало, с учетом того, что они и жалобы граждан рассматривают, у них ресурсов не хватит, чтобы нагенерить какое-то значимое количество запросов. Наконец, судебная практика за 2025 г показывает, что сайтовладельцы в основном игнорируют эти запросы. Ничего не отвечают. И РКН идет и штрафует по ст 19.7, за непредоставление ответа. Это 300 рублей для физика и 5000 рублей для юр.лица. До штрафов по ч. 1 ст. 13.11 КоАП РФ дело доходит крайне редко. И в значительной части случаев инициатор штрафа - не РКН с ботом, а прокуратура без всякого бота. Потому что может и хочет.
На сайте райсуда решение должно лежать в обезличенном виде. Вместо Иван Иваныча - ФИО1. Чаще всего так и есть, но бывают забавные косяки с обезличиванием, когда в одном месте текста обезличили, в другом - нет. Но в любом случае, нарушения, допущенные работниками суда, которые не оформили решение в соответствии с требованиями закона до публикации, никак не влияют на законность распространения ПД в чатах.
Нужно ли подавать уведомление в РКН, зависит не от сферы деятельности. По закону, все операторы (то есть лица, которые используют перс.данные не для личных и домашних нужд, скажем так) должны быть в реестре. Включая коучей, репетиторов, астрологов-тарологов и тех, кто тортики через инстаграм продает. Есть исключение: если оператор обрабатывает ПД исключительно без использования средств автоматизации, то уведомление можно не подавать. Но нет таких операторов :) Поэтому, теоретически, уведомление направить должен каждый оператор, включая "людей помогающих профессий". Дальше возникает выбор, соблюдать закон или нет. Штраф за то, что уведомление не направлено, для физ.лиц относительно небольшой. И шансы получить этот штраф невелики. А для ИП и юридических лиц штраф уже существенный, хотя опять же, шансов быть оштрафованным - мало. Соответственно, взвешиваем риски, принимаем решение
Мой опыт (я юрист) показывает, что кандидаты наук и профессора универов ведутся на разводы - только в путь