Кемерово8-961-861-02-88
Юрга8 (38451) 4-92-79

Ошибки в работе с персданными, которые теперь грозят уголовкой. Как защитить директора от судимости, а компанию от штрафа

Журнал «Юрист компании», №5 Май 2025

Персональные данные

Юлия Самарина, Заместитель главного редактора

Владимир Китсинг, Управляющий партнер АБ «Китсинг и партнеры», адвокат

Никита Гуро, Юрист АБ «Китсинг и партнеры»

Поможет: минимизировать риски претензий следователей и Роскомнадзора из-за некорректной работы с персданными.

Штрафы до полумиллиарда для компании, уголовка для директора и сотрудников и иски от потерпевших — такова теперь цена ошибок в работе с персональными данными. В статье вместе с юристами из уголовной практики АБ «Китсинг и партнеры» мы разобрались, какие действия ваших коллег станут причиной проверок со стороны Следственного комитета и Роскомнадзора и нанесут ущерб репутации компании. Эксперт по защите персональных данных из компании HeadHunter дала рекомендации, что проверить в работе коллег и локальных документах, чтобы неточности не подвели директора под уголовку, а компанию — под крупные штрафы.

На картинке — вполне обычные действия сотрудников компаний, которые теперь могут привести к серьезным штрафам и уголовной ответственности самих сотрудников, их руководителей и гендира. Кликайте на точки, чтобы подробнее узнать, какой риск скрывает за собой каждое действие, а главное — как вы можете снизить его в своей компании.

Таблицу с новыми штрафами скачайте в конце статьи

Компания использует слитые базы персональных данных

Представьте не самую редкую ситуацию: компания при найме ключевых сотрудников «пробивает» их по интернет-базам персональных данных, использует специализированные телеграм-каналы. Или же рассылает по таким базам данных рекламные предложения и обзванивает потенциальных клиентов. Все это теперь — риск уголовной ответственности и для сотрудника, ответственного за это направление работы, и для директора. При этом не имеет значения, купили базу или нашли в свободном доступе и скачали на рабочие компьютеры. Причина новых рисков — новая статья 272.1 УК. Главная проблема в том, что УК не уточняет, что считать данными, «полученными незаконным путем». Есть риск, что следователи начнут таким образом толковать работу не только со слитыми базами, но и с любыми данными, чье законное происхождение компания не сможет обосновать.

Из-за того, что приговоров по статьей 272.1 УК пока что нет, сейчас нельзя точно сказать, за какие действия суды будут привлекать к ответственности. Первые дела уже возбуждены следователями. Мы следим за обновлением практики и будем информировать вас в телеграм-канале нашего журнала. Рекомендуем быть осторожнее с любыми персональными данными, которые получаете из сомнительных источников: неофициальных сайтов, ботов, тг-каналов. Также предупредите коллег, что персданные нельзя пересылать через мессенджеры, хранить на google-диске.

Оцените свои навыки по работе с персданными
Удобный инструмент для оценки своих навыков — цифровой паспорт. В нем наглядно видно, какие навыки у вас на высоком уровне, а какие стоит улучшить. Отдельно сможете увидеть и оценку своих знаний по защите персональных данных.

Наталья Ковалева, Data Protection Officer ООО «Хэдхантер», к. ю. н., CIPM

Чтобы обезопасить компанию, юридическому отделу следует прежде всего предупредить директора о новых уголовных рисках использования персональных данных, на которое их субъекты не давали согласия. Чтобы оценить, нет ли в вашей компаний нарушений, которые могут привести к уголовке, запустите аудит. Вот что советую предпринять в рамках такого аудита.

Выясните, какие источники персональных данных используют в работе подразделения компании. Прежде всего это касается маркетинга, HR и службы безопасности. Спросите коллег, где они получают данные сотрудников, клиентов и контрагентов. Спросите коллег, где они получают и хранят данные сотрудников, клиентов и контрагентов. В 2025 году опасно скачивать данные из Интернета и хранить их на google-диске и в других зарубежных аналогах. Есть риск, что данные появились в Сети связи с утечкой из другой организации. В таком случае не получится сказать, что данные получили законно. Следует использовать исключительно официальные или специализированные источники информации. Например kad.arbitr.ru для отслеживания судебных споровили Юрист компании. Контрагенты для проверки потенциальных партнеров. Хранить данные безопаснее всего на внутренних серверах компании.

Проверьте, соответствуют ли цели обработки данных тем, что указали в согласиях. Компания может обрабатывать данные только в целях, на которые сотрудник, клиенты пользователи сайта дали согласие. Например, если при устройстве на работу соискатель предоставил данные компании для оформления трудового договора, но в итоге компания наняла другого специалиста, компания должна уничтожить данные первого соискателя. Советуем выявить и те персданные, на обработку которых правовые основания были, но уже отпали. Например, когда уже достигли целей обработки. На практике чаще всего компании без оснований хранят и обрабатывают данные клиентов и сотрудников контрагентов, которые с ней уже не работают.


Пропишите порядок уничтожения персональных данных, для работы с которыми нет оснований. Проверьте,описан ли процесс уничтожения персональных данных в локальном акте: чаще всего это политика обработки персданных или регламент работы с персданными. В документе должно быть предусмотрено, в каких случаях и как компания уничтожает персональные данные. Рекомендую включить два триггера для уничтожения персональных данных. Первый: требование субъекта персданных или РКН о прекращении обработки или уничтожении данных. Второй: прекращение действия правовых оснований для обработки данных.

Сотрудники пересылают чужие персданные третьим лицам

Реальная ситуация: сотрудник нашел в базе компании популярного спортсмена, сфотографировал карточку с его данными на телефон и разослал друзьям. Хотя данные не использовали в коммерческих целях, суд расценил эти действия как незаконное копирование компьютерной информации, назначил уголовный штраф. А поскольку компания еще и установила режим коммерческой тайны, он одновременно получил судимость по другой статье УК и исправительные работы.СОЮ

СОЮ Приговор Усть-Илимского городского суда Иркутской области от 21.08.2024 по делу № 1-215/2024

В аналогичной ситуации могут оказаться все сотрудники, которые пересылают персональные данные других лиц себе на почту, друзьям и коллегам через мессенджеры. Приговоры суды выносят за «неправомерный доступ к компьютерной информации» или «нарушение неприкосновенности частной жизни».УК Напрямую уголовная ответственность директора за это нарушение не предусмотрена, но велик риск, что его привлекут к уголовному делу: в качестве свидетеля или даже обвиняемого, если следователи посчитают, что сотрудник соблюдал указания руководства. Помимо того что уголовную ответственность понесут конкретные сотрудники, пострадает и компания: инцидент с персональными данными неизбежно привлечет внимание Роскомнадзора.

УК Ст. 137, 272 УК

Зачастую сотрудники даже не осознают, что совершают преступление. Вашим коллегам может казаться, что если на документе нет грифа «для служебного пользования», то и рисков нет. Но это не так. УК относит персональные данные к «охраняемой законом компьютерной информации» — необязательно наделять их статусом коммерческой тайны, чтобы их несанкционированное копирование привело к уголовке.

Еще сотрудники могут полагать, что для уголовки нужен корыстный мотив, как, например, при намеренном «сливе» баз данных. В уголовной практике встречаются ситуации, когда сотрудники продают данные коллег или клиентов по запросам третьих лиц.СОЮ-1 Однако для уголовного дела это не имеет значения. Так, менеджер сфотографировала карточку клиента на личный телефон и отправила в мессенджере менеджеру другой компании — тот просил уточнить данные. Никакой выгоды она не получала, зато получила судимость и наказание в виде уголовного штрафа и запрета работать с охраняемой законом информацией.СОЮ-2

СОЮ-1 Постановление Первого КСОЮ от 05.02.2025 № 77-307/2025, 77-4926/2024

СОЮ-2 Приговор Туймазинского межрайонного суда Республики Башкортостан от 21.01.2025 по делу № 1-14/2025

Рискуют сотрудники, даже если просто скачивают на личные устройства или пересылают на личные аккаунты файлы с персональными данными коллег и клиентов. Если это обнаружит служба безопасности, а компания решит пойти в суд за защитой данных, последствия для сотрудника могут быть серьезными: не только увольнение по статье 81 ТК, но и уголовная ответственность. Например, бывшая сотрудница после увольнения продолжала сидеть в почте организации, скачивала из писем файлы с личными данными и пересылала себе в другие аккаунты. Суд расценил наличие файлов на телефоне как «копирование информации». Доводы об автоматическом скачивании и о том, что файлы можно найти в интернете, не помогли: экс-сотрудница получила уголовный штраф.СОЮ-3

СОЮ-3 Кассационное постановление Второго КСОЮ от 16.01.2025 № 7У-9985/2024

Наталья Ковалева, Data Protection Officer ООО «Хэдхантер», к. ю. н., CIPM

Конечно, юрист не может запретить сотрудникам компании пересылать данные. Но в вашей компетенции — донести до коллег риски таких действий, чтобы минимизировать и уголовно-правовые риски, и риски утечек, из-за которых оштрафуют компанию. Вот что рекомендую.

Предусмотрите в должностных инструкциях запрет на копирование и пересылку персданных себе и третьим лицам. Нельзя отправлять документы с персданными в личные мессенджеры и скачивать на личные устройства. Отдельно уточните, что нельзя даже фотографировать экран компьютера, когда на нем отражены персональные данные. Лучше использовать корпоративные средства связи, которые выбрал бизнес для коммуникации: корпоративная почта, Teams, Jira и т.д.

Разошлите сотрудникам памятки. Практика показывает — лучше всего работают короткие наглядные памятки, не перегруженные юридическими терминами и ссылками на закон. Выберите три-четыре главных правила, которые считаете обязательными для сотрудников вашей компании, и оформите их в памятку.

Проведите обучающий тренинг с разбором потенциальных кейсов. Полезнее всего разбирать реальные случаи уголовной и административной ответственности из судебной практики и моделировать ситуации, чтобы сотрудники рассказали, как бы они поступили. Такие тренинги рекомендую проводить минимум раз в полгода. Юристы из Корпоративного университета «Актион право» разработали подробный курс «Персональные данные и коммерческая тайна: практикум по максимальной защите», который можете использовать для обучения или взять за основу для разработки собственной программы.

Предложите руководителю компании назначить ответственного за работу с персданными, если в компании нет этой функции. Это дополнительный аргумент и для защиты директора на случай нарушений: он делегировал полномочия в сфере персданных. Отдельный сотрудник точно глубже погрузится в процесс и сможет качественнее организовать защиту данных в компании. Мой опыт работы в HeadHunter это доказывает. Подробнее о том, как эта функция выстроена у нас — рассказала в статье. Кроме того, наличие DPO — это дополнительный аргумент для защиты директора. В случае нарушений ответственность ляжет не на него, а на ответственное лицо.

Сотрудники ведутся на провокации мошенников

Сотрудников компании атакуют телефонные мошенники, представляются полицией и требуют раскрыть данные о якобы подозрительных клиентах компании, направляют фишинговые ссылки — такая ситуация не редкость в последние несколько лет, и жертвы продолжают «вестись» на уловки и провокации злоумышленников. Риск в том, что формально такая передача данных тоже подпадает под критерии из УК, и жертва может оказаться под следствием, хотя пока что такой практики нет. Пострадает в любом случае и компания — скорее всего придется общаться со следователями в рамках уголовного дела, где компания окажется потерпевшим лицом.

Еще компании грозят административные штрафы из-за утечки персональных данных и претензии Роскомнадзора. Даже если сотрудника подставили мошенники, Роскомнадзор и суды все равно презюмируют недостаточный уровень защиты персданных в компании. В одном из таких дел кассация отметила: «сам факт утечки является нарушением правил обработки персональных данных».СОЮ-4

СОЮ-4 Определение Третьего КСОЮ от 22.05.2024 по делу № 88-11150/2024

Наталья Ковалева, Data Protection Officer ООО «Хэдхантер», к. ю. н., CIPM

Наша задача как юристов — минимизировать риски незаконной передачи персональных данных, чтобы руководитель компании не столкнулся с уголовным делом, а компания — с претензиями Роскомнадзора. Вот что рекомендую для этого предпринять.

Проинструктируйте сотрудников, как реагировать на запросы информации. Если в компанию поступает письмо или звонок с просьбой дать сведения о коллеге или клиенте — это риск. Предупредите сотрудников: нельзя предоставлять никаких личных сведений, причем к таковым относятся в том числе подтверждение факта трудоустройства, Ф. И. О. и тем более размер зарплаты. Необходимо попросить направить письменный запрос и уточнить у сотрудника, можно ли сообщить его данные организации, которая их запрашивает.

Включите в локальные акты и должностные инструкции запрет на передачу персональных данных третьим лицам. Так сможете снизить риски претензий к директору компании. Отдельно пропишите, как действовать, если необходимо передать данные кому-либо из коллег. Например, укажите, что это можно делать исключительно по корпоративной почте. Этим вы снизите риски того, что сотрудники направят сведения в мессенджере мошенникам, которые создают аккаунты-клоны.

Разработайте локальный акт о правилах работы с компьютерной информацией и назначьте ответственного за соблюдение правил кибербезопасности. Это задача юридического отдела, но для консультаций по техническим вопросам понадобится помощь коллег-айтишников. В локальном акте перечислите технические запреты для сотрудников. К примеру, нельзя загружать и самостоятельно устанавливать ПО, обновлять программы, допускать к работе посторонних, заходить в Сеть через неслужебный канал доступа. Сотрудника обвинят в утечке персональных данных, если из-за него злоумышленники получили доступ в информационную систему компании и скопировали личную информацию. Разъясняйте, как отличить фишинговые ссылки и проверить, кто отправил подозрительное письмо.

Если утечка все же произошла, не пытайтесь скрыть ее от Роскомнадзора. Многие руководители считают, что безопаснее скрыть утечку от Роскомнадзора. Однако это только повышает риски. Компанию оштрафуют не только за утечку, но и за несообщение о ней. Новые суммы штрафов для компании, которые действуют с 30 мая: от 1 до 3 млн руб. После обнаружения утечки у компании есть 24 часа, чтобы уведомить о ней и начать расследование, и 72 часа, чтобы сообщить в Роскомнадзор о результатах расследования. Советую назначить ответственным сотрудникам обучение по работе с утечками. Например, эксперты Системы Юрист подготовили мини-курс «Утечка персональных данных. Как успеть за 72 часа выполнить требования Роскомнадзора». Курс будет интересен не только юристам, но и сотрудникам службы безопасности.

© Материал из Справочной системы «Управление многоквартирным домом»
https://1umd.ru
Дата копирования: 12.05.2025