Комплайтека
Крупнейшая база разъяснений госорганов и правоприменительной практики РФ по privacy и ТМТ.
Анализ практики рассмотрения арбитражными судами дел об административных правонарушениях в сфере ПД
Категория: ПД
Подкатегория: Иное
Источник: Comply
Формат: Privacy-мнение
1. Изменение подсудности дел. Федеральным законом от 24 апреля 2025 г. № 98-ФЗ в статью 23.1 КоАП РФ внесены изменения, в соответствии с которыми дела об административных правонарушениях, предусмотренных статьей 13.11 КоАП РФ (нарушение законодательства в области персональных данных), с 1 июня 2025 г. подлежат рассмотрению арбитражными судами. Ранее указанные дела рассматривались мировыми судьями и судами общей юрисдикции.
По данным Роскомнадзора, с момента вступления изменений в силу в арбитражные суды направлено 15 дел об утечках персональных данных. В целом в производстве арбитражных судов на текущий момент находится более 50 дел по статье 13.11 КоАП РФ, что свидетельствует о формировании новой судебной практики.
2. Обзор отдельных судебных решений. В настоящее время сформировался ряд решений, позволяющих оценить подходы судов к рассмотрению указанной категории дел.
2.1. Применение малозначительности. В одном из дел суд отказал в привлечении к административной ответственности по части 1 статьи 13.11 КоАП РФ в связи с малозначительностью правонарушения. Поводом для возбуждения дела послужило отсутствие на сайте компании куки-баннера или иного правового основания для обработки файлов cookie при использовании счетчика «Яндекс.Метрика». Суд, оценив характер допущенного нарушения, отсутствие негативных последствий, а также принятые оператором меры, признал правонарушение малозначительным и ограничился устным замечанием.
2.2. Споры о подсудности. Некоторые суды на начальном этапе формирования новой практики отказывали в принятии дел к производству, ссылаясь на неподсудность. В качестве аргумента указывалось, что дело связано не с предпринимательской деятельностью, а исключительно с необходимостью соблюдения законодательства о персональных данных. Данный подход представляется не соответствующим прямому указанию статьи 23.1 КоАП РФ, однако вопрос о подсудности в каждом конкретном случае может требовать отдельного обоснования.
2.3. Квалификация номера телефона как персональных данных. В одном из решений суд пришел к выводу, что сам по себе номер телефона не является персональными данными при отсутствии его привязки к иным идентификаторам (фамилии, имени, отчеству, СНИЛС, паспортным данным). Дело было возбуждено в связи с направлением на номер телефона нежелательного SMS-сообщения. Суд указал, что для признания номера телефона персональными данными необходимо установить, что он относится к прямо или косвенно определенному или определяемому физическому лицу. В отсутствие таких доказательств состав правонарушения не доказан.
3. Дело об утечке персональных данных (на примере А40-263206/2025). В решении Арбитражного суда города Москвы по делу № А40-263206/2025 рассматривался вопрос о привлечении к административной ответственности за утечку персональных данных. Суд согласился с позицией Роскомнадзора и судил деяние по старой редакции части 1 статьи 13.11 КоАП РФ, поскольку факт утечки, установленный в ходе проверки, имел место до вступления в силу поправок, усиливших ответственность. Вместе с тем размер назначенного штрафа был определен судом по новой редакции указанной статьи, что порождает правовую неопределенность в части применения норм во времени.
В рамках данного дела оператор не признавал факт утечки персональных данных на стадии запроса Роскомнадзора и в ходе внеплановой проверки. В суде в качестве обоснования позиции приводилась ссылка на наличие Политики в области обработки и защиты персональных данных. Суд отметил, что наличие локального акта само по себе не свидетельствует о его реальном исполнении, и не представлено доказательств принятия организационных и технических мер, направленных на предотвращение утечки.
4. Рекомендации по выстраиванию позиции при рассмотрении дел. С учетом сформировавшейся практики операторам персональных данных рекомендуется:
• начиная со стадии взаимодействия с Роскомнадзором (при проведении административного расследования) формировать позицию, подкрепленную доказательствами выполнения требований законодательства, включая акты о внедрении организационных и технических мер защиты;
• при подготовке к судебному разбирательству готовить не только ссылки на наличие локальных актов, но и документы, подтверждающие их фактическое применение (документы о проведении внутренних проверок, акты о назначении ответственных лиц, журналы событий безопасности, результаты мониторинга и т.п.);
• учитывать возможность применения судом положений о малозначительности (статья 2.9 КоАП РФ) в случае, если допущенное нарушение не повлекло существенной угрозы охраняемым общественным отношениям, и оператором приняты меры к его устранению;
• в случае спора о подсудности приводить ссылки на статью 23.1 КоАП РФ в действующей редакции и разъяснения высших судебных инстанций.
По имеющимся сведениям, только по одному из административных расследований факт утечки персональных данных не был подтвержден; в остальных случаях дела были направлены в суд. Это подтверждает, что успешная защита чаще достигается на стадии судебного разбирательства, нежели на этапе расследования, но при условии выработки корректной правовой позиции с самого начала взаимодействия с контрольным органом.
5. Заключительные положения. Передача дел по статье 13.11 КоАП РФ в арбитражные суды открывает новые возможности для формирования единообразной практики, включая более гибкие подходы к оценке доказательств и применению института малозначительности. В ближайшее время ожидается вынесение значительного числа решений, которые позволят уточнить подходы судов к квалификации нарушений, определению размера штрафов и оценке действий операторов по предотвращению утечек.
Настоящий материал носит информационно-аналитический характер и не является нормативным правовым актом.
Подкатегория: Иное
Источник: Comply
Формат: Privacy-мнение
1. Изменение подсудности дел. Федеральным законом от 24 апреля 2025 г. № 98-ФЗ в статью 23.1 КоАП РФ внесены изменения, в соответствии с которыми дела об административных правонарушениях, предусмотренных статьей 13.11 КоАП РФ (нарушение законодательства в области персональных данных), с 1 июня 2025 г. подлежат рассмотрению арбитражными судами. Ранее указанные дела рассматривались мировыми судьями и судами общей юрисдикции.
По данным Роскомнадзора, с момента вступления изменений в силу в арбитражные суды направлено 15 дел об утечках персональных данных. В целом в производстве арбитражных судов на текущий момент находится более 50 дел по статье 13.11 КоАП РФ, что свидетельствует о формировании новой судебной практики.
2. Обзор отдельных судебных решений. В настоящее время сформировался ряд решений, позволяющих оценить подходы судов к рассмотрению указанной категории дел.
2.1. Применение малозначительности. В одном из дел суд отказал в привлечении к административной ответственности по части 1 статьи 13.11 КоАП РФ в связи с малозначительностью правонарушения. Поводом для возбуждения дела послужило отсутствие на сайте компании куки-баннера или иного правового основания для обработки файлов cookie при использовании счетчика «Яндекс.Метрика». Суд, оценив характер допущенного нарушения, отсутствие негативных последствий, а также принятые оператором меры, признал правонарушение малозначительным и ограничился устным замечанием.
2.2. Споры о подсудности. Некоторые суды на начальном этапе формирования новой практики отказывали в принятии дел к производству, ссылаясь на неподсудность. В качестве аргумента указывалось, что дело связано не с предпринимательской деятельностью, а исключительно с необходимостью соблюдения законодательства о персональных данных. Данный подход представляется не соответствующим прямому указанию статьи 23.1 КоАП РФ, однако вопрос о подсудности в каждом конкретном случае может требовать отдельного обоснования.
2.3. Квалификация номера телефона как персональных данных. В одном из решений суд пришел к выводу, что сам по себе номер телефона не является персональными данными при отсутствии его привязки к иным идентификаторам (фамилии, имени, отчеству, СНИЛС, паспортным данным). Дело было возбуждено в связи с направлением на номер телефона нежелательного SMS-сообщения. Суд указал, что для признания номера телефона персональными данными необходимо установить, что он относится к прямо или косвенно определенному или определяемому физическому лицу. В отсутствие таких доказательств состав правонарушения не доказан.
3. Дело об утечке персональных данных (на примере А40-263206/2025). В решении Арбитражного суда города Москвы по делу № А40-263206/2025 рассматривался вопрос о привлечении к административной ответственности за утечку персональных данных. Суд согласился с позицией Роскомнадзора и судил деяние по старой редакции части 1 статьи 13.11 КоАП РФ, поскольку факт утечки, установленный в ходе проверки, имел место до вступления в силу поправок, усиливших ответственность. Вместе с тем размер назначенного штрафа был определен судом по новой редакции указанной статьи, что порождает правовую неопределенность в части применения норм во времени.
В рамках данного дела оператор не признавал факт утечки персональных данных на стадии запроса Роскомнадзора и в ходе внеплановой проверки. В суде в качестве обоснования позиции приводилась ссылка на наличие Политики в области обработки и защиты персональных данных. Суд отметил, что наличие локального акта само по себе не свидетельствует о его реальном исполнении, и не представлено доказательств принятия организационных и технических мер, направленных на предотвращение утечки.
4. Рекомендации по выстраиванию позиции при рассмотрении дел. С учетом сформировавшейся практики операторам персональных данных рекомендуется:
• начиная со стадии взаимодействия с Роскомнадзором (при проведении административного расследования) формировать позицию, подкрепленную доказательствами выполнения требований законодательства, включая акты о внедрении организационных и технических мер защиты;
• при подготовке к судебному разбирательству готовить не только ссылки на наличие локальных актов, но и документы, подтверждающие их фактическое применение (документы о проведении внутренних проверок, акты о назначении ответственных лиц, журналы событий безопасности, результаты мониторинга и т.п.);
• учитывать возможность применения судом положений о малозначительности (статья 2.9 КоАП РФ) в случае, если допущенное нарушение не повлекло существенной угрозы охраняемым общественным отношениям, и оператором приняты меры к его устранению;
• в случае спора о подсудности приводить ссылки на статью 23.1 КоАП РФ в действующей редакции и разъяснения высших судебных инстанций.
По имеющимся сведениям, только по одному из административных расследований факт утечки персональных данных не был подтвержден; в остальных случаях дела были направлены в суд. Это подтверждает, что успешная защита чаще достигается на стадии судебного разбирательства, нежели на этапе расследования, но при условии выработки корректной правовой позиции с самого начала взаимодействия с контрольным органом.
5. Заключительные положения. Передача дел по статье 13.11 КоАП РФ в арбитражные суды открывает новые возможности для формирования единообразной практики, включая более гибкие подходы к оценке доказательств и применению института малозначительности. В ближайшее время ожидается вынесение значительного числа решений, которые позволят уточнить подходы судов к квалификации нарушений, определению размера штрафов и оценке действий операторов по предотвращению утечек.
Настоящий материал носит информационно-аналитический характер и не является нормативным правовым актом.
https://complyteka.ru/#card-34a8cf00-7d82-80a4-ad18-dc0fe42bc845