В отличие от ряда зарубежных стран, в нашем законодательстве отсутствуют требования об обязанности оператора персональных данных уведомлять контролирующие органы о фактах утечки. В данном случае оператор, обнаружив факт несанкционированного проникновения в его базу данных, проинформировал об этом Роскомнадзор и в результате получил внеплановую проверку и предписание об устранении нарушений.
В мае 2011 года сотрудниками Территориального фонда обязательного медицинского страхования Свердловской области (далее – Фонд) был обнаружен факт проникновения со стороны страховой медицинской организации ООО СМК «Астрамед-МС» в Центральную базу данных (ЦБД) Фонда, в результате которого из ЦБД была выгружена информация о лицах, застрахованных иными компаниями. О факте нелегального проникновения в базу данных Фонд сообщил в Управление Роскомнадзора по Свердловской области. С целью подтверждения полученной информации руководителем Управления было принято решение о проведении внеплановой документарной проверки Фонда. По ее результатам Фонд получил 4 предписания об устранении выявленных нарушений и обратился в суд.
Арбитражный суд Свердловской области рассмотрел дело № А60-41475/2011 в декабре 2011 года и счел оспариваемое предписание Роскомнадзора законным.
А вот Семнадцатый арбитражный апелляционный суд в марте 2012 года рассудил иначе: внеплановая проверка в отношении Фонда в рассматриваемом случае была проведена в отсутствие оснований, предусмотренных ч. 2 ст. 10 закона № 294-ФЗ, т.е. была незаконной.
В октябре 2012 года Коллегия судей ВАС РФ не нашла оснований для пересмотра дела Президиумом ВАС РФ.
По открытым источникам удалось установить, что проверка была проведена и в отношении ООО СМК «Астрамед-МС». Сообщалось, что «принятыми мерами со стороны операторов незаконно полученная база данных застрахованных лиц была уничтожена еще до начала проверок».