Управление Роскомнадзора по Центральному федеральному округу в ходе мониторинга интернет-ресурсов выявило наличие там базы данных АО «Почта России», содержащей персональные данные ее клиентов в объеме более 26 млн записей с такими сведениями, как фамилия, имя, отчество, номер телефона, адрес электронной почты, сведения о почтовых отправлениях.
«Почта России» уведомила Роскомнадзор о факте неправомерной передачи персональных данных (ПДн) и о результатах внутреннего расследования инцидента (во исполнение ч. 3.1 ст. 21 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ). Инцидент был выявлен 05.12.2024, причиной утечки стали действия внутреннего нарушителя.
В июле 2025 года Управление Роскомнадзора провело внеплановую выездную проверку и установило, что ПДн клиентов «Почты России», размещенные в Интернете, совпадают с данными, содержащимися в ее информационной системе «Сервис отслеживания регистрируемых почтовых отправлений». Управление Роскомнадзора обратилось в суд для привлечения «Почты России» к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Фрагмент документа
Статья 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных»
Статья 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных»
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11–18 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, –
влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц – от пятидесяти тысяч до ста тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до трехсот тысяч рублей.
На что стоит обратить внимание в этой истории:
- норма для привлечения к ответственности была выбрана Роскомнадзором щадящая, а суд назначил «Почте России» минимально возможный по ней штраф в 150 000 рублей (Арбитражный суд г. Москвы в ноябре 2025 года вынес решение по делу № А40-263126/25-121-1089). Суд поддержал формальный подход к квалификации нарушений, где важен сам факт утечки, а не ее последствия (здесь ключевую роль могло сыграть то, что «Почта России» является госкомпанией);
- соблюдение процедур по уведомлению Роскомнадзора не снимает ответственности с оператора ПДн;
- вина внутреннего нарушителя тоже не служит оправданием для организации;
- Роскомнадзор активно ведет мониторинг Интернета.
Наталья Храмцовская,
к.и.н., ведущий эксперт по управлению документацией компании
«ЭОС», эксперт ИСО
