Кто должен нести ответственность за безопасность персональных данных

Верховный суд разъяснил, кто отвечает за утечки персональных данных. Министерство труда пыталось переложить ответственность на подрядчика, но судебная инстанция этого не допустила. Ведомству не удалось оспорить штраф за потерянные сведения, а из разъяснений ВС следует, что отвечать за них всегда должен оператор информационной системы, даже если доступ к ним обеспечивала сторонняя организация. Минтруд допустил утечку почти 1,5 тыс. строк информации о своих сотрудниках и их родственниках, в том числе даты и места рождения, сведения о паспортах и реквизиты банковских карт.

💬 Вчера в эфире КоммерсантЪ FM разбирали, кто должен нести ответственность за безопасность персональных данных. Партнер, руководитель практики "Комплаенс" Елена Шершнёва поделилась мнением: 

Очень прозрачное разъяснение: если вы привлекаете подрядчика, который участвует в обработке персональных данных, то вам нельзя спокойно почивать на лаврах, считая, что ответственным теперь будет он. Пишите в договорах четкий, большой, подробный раздел, что они обязаны делать, фиксируйте за собой право проверить, что они надлежащим образом обрабатывают такую информацию, к которой получают доступ.

Минтруд, имея возможность провести аудит, ничего не предпринял. Если бы истец принес акты таких проверок, то можно было бы переложить ответственность на подрядчика, только для этого нужно выполнить ряд мер. И первыми выигрывают юристы, которые пытаются своих клиентов убедить в том, как правильно работать. Раньше у них не было нужного решения. Теперь оно есть, есть конкретный штраф, да еще в адрес госструктуры. Куда уж убедительнее! Вторыми выиграют те, кто прислушался к таким советам: у кого-то что-то пошло не так, а ты вовремя подстелил соломку и можешь спать спокойно.