menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2025
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Какая ответственность за разглашение персональных данных третьим лицам

лонгриды
13.01.2023
14/02/26
Б-152
Лонгриды
События /
Какая ответственность за разглашение персональных данных третьим лицам
Персональные данные защищаются специальным режимом. Разглашение без согласия субъекта незаконно — от невинного, на первый взгляд, форварда резюме в общий чат до публикации клиентской базы в интернете. 
Правовая система реагирует сразу по нескольким контурам: административный и дисциплинарный, гражданско‑правовой и уголовный. У оператора возникают как регуляторные риски, так и прямые убытки (штрафы, иски, потери клиентов, затраты на реагирование). Эта статья системно разбирает, что считается разглашением, кто отвечает и как выстроить защиту, чтобы не попадать под типовые составы.
Ключевой запрет и круг адресатов: что именно нельзя делать
Административная ответственность: как квалифицируют и где болевые точки
Содержание
Уголовная ответственность: когда дело уходит из плоскости регулятора
Дисциплинарная и материальная ответственность работника: как действует работодатель
Гражданско‑правовая ответственность: что может требовать субъект
Как квалифицировать событие: рабочая карта для юриста и ИБ
Типовые кейсы и как их разбирают
Как не допускать разглашений: документы, процессы, техника
Шаблонные формулировки: что добавить в документы уже завтра
Контрольная карта риска: кто отвечает и как
Итог: практические выводы в одном абзаце
Ключевой запрет и круг адресатов: что именно нельзя делать
Административная ответственность: как квалифицируют и где болевые точки
Содержание
Уголовная ответственность: когда дело уходит из плоскости регулятора
Дисциплинарная и материальная ответственность работника: как действует работодатель
Гражданско‑правовая ответственность: что может требовать субъект
Как квалифицировать событие: рабочая карта для юриста и ИБ
Типовые кейсы и как их разбирают
Как не допускать разглашений: документы, процессы, техника
Шаблонные формулировки: что добавить в документы уже завтра
Контрольная карта риска: кто отвечает и как
Итог: практические выводы в одном абзаце
Базовый запрет на раскрытие без согласия установлен в ст. 7 и ст. 24 152‑ФЗ. Он охватывает всех, кто получил доступ к данным «по работе»: оператора, его работников, подрядчиков, агентов и любых иных лиц, действующих по поручению. 

Ключевой запрет и круг адресатов: что именно нельзя делать

Защита распространяется не только на клиентов и партнеров, но и на потенциальных клиентов (посетителей сайта, подписчиков рассылок, кандидатов), чьи данные попали в периметр оператора в результате целенаправленного сбора.
Важно различать термины. Разглашение — предоставление сведений третьим лицам без правового основания. Распространение — доведение до неограниченного круга лиц, для которого закон ввел отдельный режим согласия (ст. 10.1 152‑ФЗ). В обоих сценариях без должных оснований наступают последствия.

Административная ответственность: как квалифицируют и где болевые точки

Какой состав применять
Незаконное разглашение квалифицируют как нарушение порядка обработки по ст. 13.11 КоАП РФ. Конкретная часть зависит от обстоятельств: размер штрафа за утечку баз данных с персональной информацией напрямую зависит от объема утерянных данных.
Практический ориентир для квалификации:
  • ч.12 ст. 13.11 при компрометации базы от 1 000 до 10 000 человек, штраф от 3 до 5 млн руб. для юридических лиц;
  • ч.12 ст. 13.11для утечки от 10 000 до 100 000 человек, штраф  от 5 до 10 млн руб. для юридических лиц;
  • ч. 14 ст. 13.11 для баз свыше 100 000 человек штраф до 15 млн руб.
  • оборотные штрафы: оператор персональных данных, допустивший повторную утечку, может быть оштрафован на сумму до 3% от годовой выручки, но не менее 25 млн и не более 500 млн руб.
Кто и за что платит
Штрафы предусмотрены для граждан, должностных лиц, индивидуальных предпринимателей и юридических лиц.
На практике протоколы составляют и на организацию (за нарушение оператора), и на должностное лицо (например, на ответственного за ПДн или руководителя подразделения), и на гражданина‑сотрудника, который совершил разглашение. 
Отсутствие умысла на разглашение не освобождает от ответственности
Даже без умысла на публикацию событие квалифицируют по ст. 13.11 КоАП РФ, если оператор не внедрил достаточные меры защиты и из‑за этого произошел инцидент. 
Начните с аудита, чтобы увидеть реальные риски
Прикладной аудит показывает слабые места в защите, несоответствия требованиям закона и бизнесу. Без этого приоритеты остаются просто догадками.
ОСТАВИТЬ ЗАЯВКУ

Уголовная ответственность: когда дело уходит из плоскости регулятора

Ст. 137 УК РФ: неприкосновенность частной жизни
При несанкционированных выгрузках баз, передаче дампов внешним лицам, взломах и обходе техзащиты оценивают составы «компьютерного блока» УК РФ (в т. ч. ст. 272 и смежные нормы о неправомерном доступе). Наличие корыстной цели, групповое совершение, использование служебного положения — все это квалифицирующие признаки, которые увеличивают санкции.
Незаконное распространение сведений, составляющих личную или семейную тайну, в любой форме (включая интернет‑публикации) образует состав ст. 137 УК РФ. Как правило, к нему приходят при утечках с явной персональной привязкой, когда разглашение затронуло интимные или семейные обстоятельства, медицинские сведения, адреса проживания, семейное положение.
Незаконное обращение компьютерной информации
Физическое лицо не несет уголовной ответственности за обработку ПДн исключительно для личных или семейных целей, если такие действия не нарушают права других лиц.
Исключение: личные и семейные нужды

Дисциплинарная и материальная ответственность работника: как действует работодатель

Дисциплинарные меры и процедура
Разглашение ПДн — нарушение трудовых обязанностей. Работодатель вправе применить замечание, выговор либо увольнение по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ (разглашение охраняемой законом тайны). Чтобы взыскание устояло, важно соблюсти процесс:
Материальная ответственность и регресс
Если организация компенсировала ущерб субъекту (имущественные потери, моральный вред), она вправе взыскать эти суммы с виновного работника в порядке регресса. На практике размер регресса зависит от степени вины, должностных обязанностей и соблюдения работодателем мер предотвращения утечки.
  1. зафиксировать событие актом,
  2. истребовать объяснение у работника,
  3. провести служебное расследование,
  4. издать приказ в установленные сроки и ознакомить работника под подпись.

Гражданско‑правовая ответственность: что может требовать субъект

Убытки и упущенная выгода
При доказанном причинно‑следственном звене субъект может взыскать реальный ущерб и упущенную выгоду. Пример: из‑за публикации паспортных данных сорвалась сделка, возникла необходимость нести дополнительные расходы на восстановление документов.
Компенсация морального вреда
Право на компенсацию морального вреда закреплено в ст. 151 ГК РФ и ч. 2 ст. 24 152‑ФЗ, действует независимо от возмещения имущественного ущерба. Размер определяет суд с учетом вины, характера и глубины страданий, публичности разглашения, длительности распространения и поведения нарушителя после события (п. 2 ст. 1101 ГК РФ). Важными становятся действия оператора по минимизации последствий: оперативное удаление копий, обращения к площадкам, предложение помощи пострадавшему, внутреннее расследование.

Как квалифицировать событие: рабочая карта для юриста и ИБ

  1. Идентифицируйте субъектов и данные. Определите, чьи сведения раскрыты, есть ли специальные категории, затронуты ли третьи лица (родственники, дети).
  2. Фиксируйте факт и объем разглашения. Скриншоты, хеш‑суммы файлов, сетевые логи, письма площадкам о снятии контента.
  3. Отделите разглашение от распространения. Оцените публичность: ограниченный круг адресатов или «открытый интернет».
  4. Проверьте основания обработки. Было ли согласие, предусмотрено ли законом предоставление.
  5. Оцените вину и меры защиты. Были ли регламенты, обучение, разграничение доступа, аудит. 
  6. Разведите ответственность. Потенциальные протоколы по КоАП для юрлица, должностного лица, сотрудника; гражданский иск; основания для дисциплинарного взыскания; признаки уголовного состава.

Типовые кейсы и как их разбирают

Кейс 1. HR переслал резюме кандидата со сканом паспорта в общий чат мессенджера. Нет согласия на такое раскрытие, данные ушли неопределенному кругу работников.
Квалификация: незаконная обработка (ч.1 ст. 13.11 КоАП РФ). 
Действия: быстрое удаление сообщений, уведомление адресатов о запрете дальнейшего распространения, акт события, выговор HR, обучение.
Кейс 2. Менеджер «продает» выгрузку базы конкурента. Это не только административная ответственность и увольнение, но и «компьютерный» состав УК РФ, если имела место незаконная передача охраняемой компьютерной информации. 
Действия: фиксация передачи, обращение в правоохранительные органы, иск о защите конфиденциальной информации и убытках, поддержка уголовного дела.

Как не допускать разглашений: документы, процессы, техника

Нормативные документы (ЛНА)
  • Политика обработки ПДн с четкой привязкой целей к категориям субъектов и данных, порядком предоставления третьим лицам и запретом на использование несанкционированных каналов (ст. 18.1 152‑ФЗ).
  • Положение о конфиденциальной информации/коммерческой тайне с перечнем сведений, метками на документах и порядком доступа.
  • Регламент коммуникаций: допустимые каналы, запрет пересылки ПДн в личные мессенджеры, правила гостевого доступа.
  • Порядок уничтожения ПДн с актами и ролями (приказ РКН № 179).
  • Договоры и поручения с подрядчиками: обязанности по конфиденциальности, ограничение целей, локализация и удаление по завершении работ.
Процессы
  • Обучение и аттестация: короткие курсы для новых сотрудников, ежегодные обновления, контроль усвоения.
  • Служебные расследования: регламент по фиксации, комиссионной оценке, срокам и доказательствам.
  • Управление правами:  принцип «минимально необходимого», регулярные ревью доступов.

Шаблонные формулировки: что добавить в документы уже завтра

Фрагмент политики ПДн (разглашение/распространение)
Предоставление персональных данных третьим лицам допускается только при наличии правового основания (закон, договор, согласие), в объеме, необходимом для целей обработки, с оформлением поручения либо соглашения о конфиденциальности. Распространение персональных данных допускается исключительно при наличии отдельного согласия субъекта на распространение, отделенного от иных согласий (ст. 10.1 152‑ФЗ).
Фрагмент трудового договора/ДИ (конфиденциальность)
Работник обязуется не разглашать персональные данные и иную конфиденциальную информацию, ставшие известными в связи с исполнением трудовых обязанностей, соблюдать установленные правила доступа и использовать только разрешенные каналы коммуникаций. Нарушение указанной обязанности является грубым нарушением трудовых обязанностей и может повлечь расторжение трудового договора по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.
Фрагмент договора с подрядчиком (поручение обработки)
Подрядчик обязуется обеспечивать конфиденциальность полученных персональных данных, использовать их исключительно для целей, определенных Заказчиком, не передавать третьим лицам без письменного согласия Заказчика, незамедлительно уведомлять об инцидентах и уничтожать данные по завершении работ, оформив акт уничтожения.

Контрольная карта риска: кто отвечает и как

Субъект
Возможная ответственность
Документы и действия защиты
Организация
‑оператор
КоАП 13.11, гражданские иски, убытки
Политика ПДн, регламент коммуникаций, расследование, ремедиация
Должностное лицо
Доказать должную осмотрительность, обучение, контроль
КоАП 13.11
Работник
Соблюдение ЛНА, письменные объяснения, отсутствие умысла
Дисциплинарная и материальная
Подрядчик
Поручение, аудит, штрафные оговорки
Гражданская, регресс

Итог: практические выводы в одном абзаце

Разглашение персональных данных — зона многослойной ответственности. 
Оператор отвечает и за собственные ошибки, и за действия сотрудников и подрядчиков. Чтобы не подставляться, нужно зафиксировать запреты и допустимые каналы в ЛНА и договорах, внедрить технические барьеры для утечек, регулярно обучать сотрудников и быстро реагировать на инциденты с документальной фиксацией. 
Так вы снижаете вероятность протоколов по КоАП, удерживаете позицию в гражданских спорах и минимизируете шансы, что событие «переквалифицируется» в уголовный состав.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Разборы реальных инцидентов, практика проверок Роскомнадзора, ошибки в действиях HR, ИБ и подрядчиков, а также комментарии к изменениям в ответственности за утечки мы постоянно публикуем в нашем Telegram-канале. Подписывайтесь.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме