Как бизнес нарушает закон о персональ­ных данных: 5 судеб­ных историй со штра­фами до миллиона рублей

Все, что связано с персональными данными россиян, прописано в законе.

Собирать данные можно только с согласия человека, а хранить нужно в РФ. Это касается многих бизнесов: сбор контактов через форму на сайте — это уже обработка персональных данных. Иногда предприниматели и компании допускают промашки — например, хранят данные пользователей за рубежом или случайно передают документы с личной информацией другим людям. За нарушениями следит Роскомнадзор, а штрафует суд — суммы могут доходить до 20 млн рублей.

Рассмотрим истории из судебной практики, в которых бизнес поплатился за небрежность в работе с персональными данными.

Источник: дело № 16-633/2024

Что произошло. В 2023 году Роскомнадзор проверил компанию по скупке металлолома и выявил нарушение в обработке персональных данных. У компании были согласия от клиентов на обработку персональных данных, но только один из них дал его в августе 2022 года — притом что умер в мае 2018 года. Другой умер в ноябре 2022 года, что не помешало ему дать согласие через месяц после собственной смерти — в декабре 2022 года.

В Роскомнадзоре напомнили, что персональные данные человека можно обрабатывать только с его согласия  . Умерший такого согласия дать не мог, а значит, компания нарушила закон и должна уплатить штраф.

Что решил суд. Мировой суд назначил компании штраф — 60 000 ₽. Апелляция и кассация оставили решение в силе.

Почему так. Скупщик металлолома должен был защитить персональные данные от любых неправомерных действий. Компания была обязана идентифицировать личности людей, сдающих металлолом, но не сделала этого. Представитель компании попытался оправдаться тем, что кто-то предъявил паспорта умерших граждан и обманул компанию, но суд эти аргументы не принял: нужно было проверять документы тщательнее.

Источник: дело № 16-5882/2024

Что произошло. Компания — продавец электроники и бытовой техники предлагала покупателям поучаствовать в бонусной программе. Все желающие могли зарегистрироваться и оставить свои данные: ФИО, адрес электронной почты и телефон. Бизнес собрал базу из 317 000 записей: там были персональные сведения и отображалось, сколько бонусных рублей на счету у каждого участника.

На одном из форумов представители Роскомнадзора обнаружили базу данных компании в открытом доступе. Они уведомили об этом продавца. Компания попыталась «сохранить лицо» и соблюсти закон: она отправила в Роскомнадзор уведомление о том, что произошла случайная передача персональных данных, которая нарушила права участников бонусной программы  .

Но ведомство было непреклонно и обратилось в мировой суд.

Что решил суд. Назначил штраф — 60 000 ₽  . Апелляция и кассация оставили решение в силе.

Почему так. Операторы персональных данных не имеют права без согласия людей распространять и раскрывать их данные третьим лицам  . Компания нарушила закон — допустила утечку, а значит, должна уплатить штраф.

Источник: дело № 16-5588/2024

Что произошло. Жительница Ярославля обратилась в медицинский центр за справкой. Тот заключил с ней договор на платные медицинские услуги, после чего оформил нужный документ. Только отдал справку не клиентке, а другому человеку.

Женщине позвонили, сообщили об ошибке и дали контакт человека, у которого ей нужно было забрать справку. В документе были указаны персональные данные, в том числе информация о здоровье пациентки. Она забрала справку, но написала жалобу в Роскомнадзор, указав, что не давала согласия на передачу документа через других людей.

Что решил суд. Назначил медцентру штраф — 30 000 ₽. Апелляция и кассация оставили решение в силе.

Почему так. Мировой суд признал, что медицинский центр обработал персональные данные клиентки без ее письменного согласия. Значит, компания нарушила закон и должна понести наказание. Представители медцентра пытались давить на то, что правонарушение незначительное и можно ограничиться предупреждением, но суд был непреклонен.

Источник: дело № 16-7119/2023

Что произошло. Управляющая компания бизнес-центра в Краснодаре развесила в здании листовки. В них компания рассказала, что собственница одного из помещений решила провести внеочередное собрание, во время которого остальным собственникам надо «проявить бдительность». На листовках были указаны ФИО той самой женщины и стояла подпись генерального директора УК.

Собственница увидела листовку и подала жалобу в Роскомнадзор, указав, что согласие на распространение своих персональных данных не давала. Ведомство сочло, что УК нарушила закон, и обратилось в суд.

Что решил суд. Назначил компании штраф — 60 000 ₽. Апелляция и кассация оставили решение в силе.

Почему так. Мировой суд установил, что нарушение действительно было: в законе названы условия, при соблюдении которых можно обрабатывать персональные данные, а в деле собственницы помещения их не было  . Женщина не разрешала распространять персональные данные, а значит, организация-нарушитель должна понести административное наказание.

Источник: дело № 16-7291/2024

Что произошло. Роскомнадзор проверил деятельность компании «Баду Трейдинг Лимитед», зарегистрированной в Великобритании. Организация собирала в сервисе знакомств Badoo персональные данные россиян, но хранила их в базах данных за пределами России.

Роскомнадзор счел, что компания нарушает закон: персональные данные граждан РФ должны храниться в базах на территории России  . Сервис знакомств проигнорировал эту обязанность, поэтому Роскомнадзор отправил дело в мировой суд.

Что решил суд. Назначил штраф — 1 000 000 ₽  . Апелляция и кассация оставили решение в силе.

Почему так. Мировой суд принял аргументы ведомства. Представитель Badoo пытался возражать — утверждал, что компания сделала все, чтобы минимизировать последствия. Но суд это не впечатлило.

Если у вас есть бизнес, почитайте наши материалы, чтобы не попасть в такие истории:

1. Как не допустить утечки персональных данных клиентов.
2. Как персональные данные утекают из компании.
3. Как начинающему бизнесу работать с персональными данными.