Душный зал суда, мерцающие экраны ноутбуков, стопки папок – здесь решалась судьба не рядового гражданина, а крупного финансового института, ПАО «Банк Уралсиб». Повод? Казалось бы, сущая мелочь в цифровую эпоху – одно сообщение, отправленное через WhatsApp.

Но именно оно превратилось в юридическую мину, взорвавшуюся для банка многомиллионным штрафом по статье 13.11.2 КоАП РФ. Эта история – наглядный урок для любого бизнеса, работающего с данными клиентов.

Пролог: «Просто уточнить детали…»

Представьте обычную рабочую рутину. Сотрудник банка, стремясь оперативно решить вопрос клиента, набирает сообщение в популярном мессенджере WhatsApp. Текст, вероятно, был предельно прост: «Здравствуйте, [Имя Отчество клиента], уточните, пожалуйста, по вашему заявлению [ссылка или номер]». Или что-то подобное. В сообщении фигурировали имя, отчество и номер телефона клиента – информация, которая кажется неотъемлемой частью любого общения с банком. Казалось бы, что здесь криминального? Банк же не высылал паспортные данные или историю транзакций!

Однако этот, казалось бы, невинный акт коммуникации попал в поле зрения Роскомнадзора – главного стража персональных данных в России. Ведомство усмотрело в нем грубое нарушение законодательства. Был составлен протокол об административном правонарушении, и банку предстояло держать ответ перед судом.

Акт Первый: Свидетель из Роскомнадзора – Разъяснение Удара

Ключевым моментом судебного разбирательства стали показания главного специалиста-эксперта отдела по защите прав субъектов персональных данных Роскомнадзора. Ее свидетельство было подобно хорошо наведенному артиллерийскому орудию, разбивающему все возможные защиты банка на мелкие осколки.

Эксперт РКН четко и недвусмысленно заявила суду:

1. WhatsApp – Запрещенная Территория: Мессенджер WhatsApp включен в официальный перечень информационных систем и программ для ЭВМ, указанных в части 8 статьи 10 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот перечень публично доступен на сайте Роскомнадзора. Использование любого ресурса из этого списка для обработки персональных данных граждан РФ – прямое нарушение.
2. Любое Сообщение = Обработка ПДн: Здесь прозвучал тезис, ставший главным юридическим открытием дела для многих наблюдателей. Факт отправки сообщения через WhatsApp (или любой другой электронный канал связи – email, другой мессенджер) сам по себе является автоматизированной обработкой персональных данных. Принципиально важно: это не зависит от содержания сообщения! Даже если сотрудник банка написал просто «Здравствуйте!» – это уже обработка ПДн. Почему? Потому что для отправки сообщения используется номер телефона – уникальный идентификатор, однозначно связанный с конкретным физическим лицом. Система (WhatsApp) обрабатывает этот номер (устанавливает соединение, доставляет сообщение), а банк инициирует и контролирует этот процесс.
3. Конкретные Данные Усилили Нарушение: В данном конкретном случае, помимо самого факта использования запрещенного канала, в сообщении присутствовали имя, отчество и номер телефона клиента. Этой информации, по заключению эксперта, более чем достаточно для идентификации конкретного физического лица – субъекта персональных данных. Это дополнительно подчеркивало характер передаваемой информации.

Вывод эксперта РКН был категоричен: в действиях ПАО «Банк Уралсиб» усматривается состав правонарушения, предусмотренного статьей 13.11.2 КоАП РФ («Обработка персональных данных с нарушением установленных законодательством в области персональных данных требований к защите персональных данных при их обработке операторами, являющимися государственными или муниципальными органами, иными операторами»).

Акт Второй: Защита Банка – «Но Данных же Нет!»

Адвокаты банка, конечно, не сдавались без боя. Их основная линия защиты строилась на, казалось бы, здравом смысле: «В оспариваемом сообщении нет персональных данных!» Или, по крайней мере, нет данных, которые прямо и однозначно идентифицируют человека без дополнительной информации (которой у получателя, возможно, и не было).

Они апеллировали к тому, что имя, отчество и номер телефона – это информация, часто находящаяся в публичном доступе (телефонные книги, соцсети), и сама по себе не всегда позволяет однозначно определить человека. Особенно если нет фамилии или других деталей.

Кульминация: Вердикт Суда – Закон Суров, но Это Закон

Суд внимательно выслушал доводы защиты, но отверг их полностью. В своем решении судья дал исчерпывающее и жесткое толкование закона, которое должно стать предупреждением для всех:

1. Широкое Понятие ПДн: Суд напомнил о пункте 1 статьи 3 Федерального закона № 152-ФЗ «О персональных данных». Персональные данные – это ЛЮБАЯ информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Ключевые слова: «косвенно» и «определяемому». Не требуется, чтобы данные прямо называли ФИО и паспорт. Достаточно информации, которая в сочетании с другими сведениями (которые могут быть у оператора или даже потенциально доступны) позволяет установить личность. Номер телефона + имя + отчество – это классический пример такой комбинации. Банк, как оператор, безусловно имеет возможность по этим данным однозначно идентифицировать своего клиента в своих системах.
2. Запрет на Иностранные Мессенджеры – Абсолютен: Суд полностью согласился с Роскомнадзором в квалификации WhatsApp как запрещенного для обработки ПДн ресурса согласно ч. 8 ст. 10 Закона № 149-ФЗ. Сам факт использования этого канала для коммуникации с клиентом, где передается любая информация, связанная с ним (а установление контакта по номеру телефона уже такая связь), является нарушением требований к защите ПДн.
3. «Пустое» Сообщение – Не Оправдание: Судьей был фактически закреплен принцип, вытекающий из показаний эксперта: Любая передача информации через электронные системы связи (мессенджеры, email) при участии оператора ПДн является их обработкой. Отправка даже технического сообщения («Ваш заказ готов») через запрещенный канал – нарушение, так как использует идентификатор (телефон/email). Содержание дополнительных ПДн в сообщении (имя, отчество) лишь усугубляет нарушение, но не является его обязательным элементом для квалификации по ст. 13.11.2 КоАП РФ в контексте использования запрещенного ресурса.
4. Процессуальная Безупречность: Суд отметил, что протокол составлен правильно, права банка при его оформлении соблюдены, а показания эксперта РКН являются достоверными, последовательными и непротиворечивыми. Отсутствие заинтересованности эксперта в исходе дела также было подчеркнуто.

Приговор: ПАО «Банк Уралсиб» было признано виновным в совершении административного правонарушения, предусмотренного статьей 13.11.2 КоАП РФ, за использование иностранного мессенджера WhatsApp (включенного в запрещенный перечень) для передачи информации, содержащей персональные данные гражданина РФ. Банку назначен штраф. Для юридических лиц по этой статье он составляет от 1 до 6 миллионов рублей за первое нарушение, а при повторном – от 6 до 18 миллионов рублей.

Юридическая Практика: Волна Штрафов и Ужесточение Требований

Дело «Банка Уралсиб» – не единичный эпизод, а часть мощного тренда в правоприменительной практике, инициированного Роскомнадзором и поддерживаемого судами:

1. Перечень РКН – Не Просто Список, а «Красная Линия»: Включение WhatsApp (а также, например, Zoom, Google Chat, Microsoft Teams, Viber, Telegram и др.) в перечень по ч. 8 ст. 10 Закона № 149-ФЗ означает полный запрет на их использование для любой обработки ПДн граждан РФ. Это касается не только банков, но и интернет-магазинов, сервисов доставки, медицинских центров, образовательных учреждений, госорганов – всех, кто является оператором ПДн.
2. Толкование «Обработки» Расширяется: Позиция РКН и судов, что любая коммуникация через электронные каналы с использованием идентификатора (телефон, email) является обработкой ПДн, становится стандартом. Это революционно меняет подходы. Раньше многие считали, что нарушение начинается только при передаче «конфиденциальных» данных (паспорт, СНИЛС). Теперь ясно: отправка любого сообщения клиенту через запрещенный мессенджер – уже нарушение.
3. Фокус на Канале Связи: Ключевым критерием нарушения по ст. 13.11.2 КоАП РФ в таких случаях становится не содержание сообщения, а сам факт использования запрещенного инструмента (мессенджера/платформы) для установления связи и передачи информации, связанной с субъектом ПДн. Номер телефона – это ПДн, и его использование в запрещенной системе для коммуникации – уже обработка с нарушением требований к защите.
4. Волна Штрафов: Роскомнадзор активно выявляет подобные нарушения. Штрафы получают не только гиганты вроде Уралсиба, но и средний, и малый бизнес. Известны случаи штрафов за использование WhatsApp:
   Для отправки клиентам ссылок на оплату.
   Для уточнения деталей заказа.
   Для информирования о готовности услуги.
   Для обсуждения условий договора.
   Даже за использование WhatsApp для внутренних коммуникаций сотрудников, если в переписке фигурируют данные клиентов или сотрудников (телефоны, имена).
5. Судебная Поддержка: Суды, как показало дело Уралсиба и множество аналогичных, последовательно поддерживают позицию РКН. Доводы операторов о «несущественности» данных, «отсутствии прямого идентификатора» или «общедоступности информации» отвергаются. Толкование закона судами – максимально широкое в пользу защиты ПДн и соблюдения запрета на иностранные ресурсы.
6. Альтернативы и Риски:
   Российские Мессенджеры (VK Мессенджер, Сферум, etc.): Их использование разрешено, но только при условии, что сам оператор (банк, магазин) обеспечил надлежащую защиту ПДн на своей стороне (сертифицированные ФСТЭК/ФСБ средства защиты, аттестованная ИСПДн и т.д.). Просто использовать «Сферум» вместо WhatsApp недостаточно, инфраструктура оператора должна соответствовать закону.
   СМС и Звонки: Традиционные каналы остаются рабочими, но тоже требуют соблюдения законов (например, согласие на коммуникацию).
   Собственные защищенные кабинеты/чаты: Наиболее безопасный путь – общение через личный кабинет на сайте/в мобильном приложении оператора, развернутом на инфраструктуре, соответствующей требованиям ФЗ-152.

Эпилог: Цифровой След Дороже Денег

История с «Банком Уралсиб» и WhatsApp – не просто сухой судебный прецедент. Это громкий сигнал тревоги для всего российского бизнеса и госсектора. Эпоха беспечного использования удобных иностранных мессенджеров для рабочих коммуникаций с клиентами и сотрудниками в России закончилась.

Одно «невинное» сообщение с именем и номером, отправленное через привычный WhatsApp, может обернуться миллионными штрафами и репутационными рисками. Роскомнадзор вооружен четкой позицией и перечнем запрещенных ресурсов. Суды эту позицию жестко поддерживают.

Мораль для бизнеса проста:

1. Срочно аудировать все каналы коммуникации с клиентами и сотрудниками.
2. Полностью исключить использование мессенджеров и платформ из запрещенного перечня РКН (WhatsApp, Telegram, Viber, Zoom, Teams и т.д.) для любых рабочих контактов, где фигурируют телефоны, имена или другие данные.
3. Переходить на законные альтернативы: российские мессенджеры (при условии выполнения всех требований ФЗ-152 к своей инфраструктуре!), СМС, защищенные личные кабинеты, звонки.
4. Обязательно получать актуальные согласия на обработку ПДн и коммуникацию.
5. Обучать сотрудников новым правилам цифровой гигиены в части ПДн. Незнание закона не освобождает от штрафа.

Цифровой след, оставленный сообщением в запрещенном мессенджере, может оказаться дороже самого сообщения во много миллионов раз. Дело Уралсиба – это не атака на один банк, это новая реальность защиты персональных данных в России. Игнорировать ее – значит сознательно идти под падающий гильотину штрафов.