Утечка персональных данных – что грозит компании и к чему готовиться в суде?

Марина Айрапетян

Адвокат, Московская коллегия адвокатов "Железников и партнеры"

специально для ГАРАНТ.РУ

Регулирование отношений, связанных с обработкой персональных данных, несмотря на актуальность проблематики, остается для многих представителей бизнеса (операторов персональных данных) не вполне понятным и транспарентным, что порождает трудности в обеспечении надлежащего уровня безопасности этой чувствительной информации. Для соблюдения многочисленных требований законодательства в данной сфере требуется симбиоз правовых и технических инструментов. Угрозы безопасности персональных данных растут, однако, ни законодательство, ни правоприменение не дают на них соразмерный ответ. Уязвимость технических устройств и программного обеспечения – проблема, которую невозможно решить исключительно правовыми методами.

Государство, ощущая беспомощность в борьбе с постоянными утечками персональных данных, расширяет полномочия регулятора, вводит новые составы правонарушений, ужесточает ответственность за их совершение и тянется за излюбленным уголовно – правовым инструментом.

© vectomart / Фотобанк Фотодженика

Сейчас за утечку персональных данных компании грозит фиксированный и относительно небольшой штраф (для юридических лиц от 60 тыс. до 100 тыс. руб. – ч. 1 ст. 13.11 КоАП). Более существенными оказываются репутационные риски, так как подобные инциденты могут привести к снижению доверия к компании. Но в ближайшем будущем материальная ответственность может быть значительна ужесточена – Правительство РФ готовит законопроект о введении оборотных штрафов за допущение утечки персональных данных.

Как правило, персональные данные клиентов или сотрудников компании становятся достоянием общественности в результате неправомерного доступа со стороны третьих лиц (хакерские атаки) или злоупотреблений со стороны недобросовестных работников. Мишенью для злоумышленников становятся базы данных учебных заведений, образовательных платформ, медицинских организаций, клиентские базы крупных магазинов и т. д.

Административная ответственность за нарушение требований о защите персональных данных

В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных (ч. 3.1. ст. 21 Федерального закона "О персональных данных" от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ). Результатом такого уведомления, скорее всего, станет проверка со стороны Роскомнадзора и, как следствие, возбуждение дела об административном правонарушении в отношении компании по ч. 1 ст. 13.11 КоАП РФ.

Данная норма предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку, несовместимую с целями сбора персональных данных.

Анализ судебной практики показывает крайне низкий стандарт доказывания по данным делам. Формула, заложенная в основу большинства судебных решений, заключается в следующем: сам факт утечки персональных данных является обработкой персональных данных в не предусмотренных законом случаях, что образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

Компания должна нести ответственность за недостаточные меры по защите персональных данных, на практике же она несет ответственность за сам факт их утечки.

Такой подход приводит к объективному вменению, то есть привлечению юридического лица к ответственности без установления вины.

Юридическое лицо признается виновным в совершении административного правонарушения, если у него имелась возможность для соблюдения правил и норм, но им не были приняты все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).

Таким образом, Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Суд должен установить, какие меры защиты персональных данных организация обязана была предпринять, но не сделала этого. Однако на практике суды удовлетворяются формальным подходом и приходят к немотивированному выводу о том, что у компании имелась "реальная возможность обеспечить выполнение требований закона, то есть не допустить утечку данных" (Решение Замоскворецкого районного суда г. Москвы от 16 июня 2023 г. по делу № 12-2028/22).

Справедливости ради стоит отметить, что и привлекаемые лица не торопятся сообщать о принятых мерах, и о том, принимались ли они вообще. Довольно мягкое наказание зачастую приводит к пассивной позиции привлекаемого лица, которое признает вину и просит лишь о смягчении ответственности.

Требования по защите персональных данных закреплены в Законе № 152-ФЗ и ряде подзаконных нормативно-правовых актов.

Согласно требованиям федерального закона, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона № 152-ФЗ).

При определении состава мер по обеспечению безопасности персональных данных компания должна ориентироваться на ст. 19 Федерального закона № 152-ФЗ, Постановление Правительства РФ от 1 ноября 2012 г. № 1119, Приказ ФСТЭК России от 18 февраля 2013 г. № 21, Приказ ФСБ России от 10 июля 2014 г. № 378 (для операторов, использующих средства криптографической защиты). Безопасность критической информационной инфраструктуры регулируется отдельными актами.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 определяет типы угроз безопасности персональных данных и уровни их защищенности. Типы угроз определяет сам оператор. Исходя из типов угроз, а также категории персональных данных и количества субъектов персональных данных, компания должна поддерживать определенный уровень защищенности – от самого минимального 4-го до самого строгого 1-го. Приложение к Приказу ФСТЭК России от 18 февраля 2013 г. № 21 устанавливает состав и содержание мер, необходимых для обеспечения каждого из уровней защищенности персональных данных.

Невыполнение предусмотренных данными актами мер должно быть необходимым условием для привлечения компании к ответственности в случае утечки персональных данных. Имеющаяся практика ограничивается констатацией вывода о том, что оператор "не предпринял всех зависящих от него мер" и "не обеспечил конфиденциальность персональных данных" (Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 17 марта 2023 года по делу № 05-0240/374/2023).

В ряде случаев компании, привлекаемые к административной ответственности, указывали, что вина организации отсутствует, так как причиной утечки персональных данных стали неправомерные действия третьих лиц, которые получили доступ к информации незаконно с использованием вредоносных компьютерных программ.

Данный аргумент не находит отклика у судей, в многочисленных судебных решениях можно найти повторяющуюся формулировку: "То обстоятельство, что обработка (распространение) персональных данных связана с несанкционированным доступом к информации, не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ" (Постановление мирового судьи судебного участка № 387 Басманного района г. Москвы от 10 мая 2023 года по делу № 5-463/2023, Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 1 марта 2023 года по делу № 05-0195/374/2023).

В этом плане показательно дело о привлечении к ответственности медицинской лаборатории "Гемотест". Мировой судья, рассматривавший дело в первой инстанции, указал, что факт несанкционированного доступа к персональным данным, который подтвержден материалами служебной проверки и отчетом IT-компании, не влияет на квалификацию действий самой лаборатории. При этом суд указывает, что организация "самостоятельно и намеренно" предоставила неправомерный доступ к информационной системе персональных данных, что, однако, из самого судебного решения не следует (Постановление мирового судьи судебного участка № 281 района Вешняки г. Москвы от 8 июля 2022 года по делу № 5-564/2022). Суд апелляционной инстанции оставил решение без изменения, не ответив на доводы защиты об отсутствии вины со стороны юридического лица и не указании ни Роскомнадзором, ни судом конкретных действий, которые общество должно было совершить для предотвращения правонарушения (Решение Перовского районного суда г. Москвы от 8 сентября 2022 года по делу № 12-2741/2022). Аргумент компании о подаче в правоохранительные органы заявления в отношении неустановленного лица, получившего неправомерный доступ к персональным данным, также не повлиял на выводы суда.

Административная ответственность за нарушение требований о защите информации

Интересно сопоставление административного состава, предусмотренного ч. 1 ст. 13.11 КоАП РФ, с составом ч. 6 ст. 13.12 КоАП РФ. Последний предусматривает ответственность за нарушение требований законодательства о защите информации (в том числе персональных данных).

В отличие от практики по ч. 1 ст. 13.11 КоАП РФ практика привлечения к ответственности по ч. 6 ст. 13.12 КоАП РФ крайне немногочисленна. Однако изучение доступных судебных решений позволяет сделать вывод об их существенно большей обоснованности и мотивированности, нежели решений по ч. 1 ст. 13.11 КоАП РФ.

В судебном решении указываются допущенные компанией нарушения со ссылкой на конкретные положения Закона № 153-ФЗ и подзаконных нормативно-правовых актов, которые закрепляют ту или иную обязанность по защите персональных данных, не выполненную организацией (например, Решение Магаданского областного суда от 28 июля 2017 г. по делу № 12-176/2017). Аналогичный подход должен использоваться и в делах по ст. 13.11 КоАП РФ. Установление требований, не выполненных юридическим лицом, должно предшествовать выводу о его виновности в утечке персональных данных.

Уголовная ответственность за утечку и кражу персональных данных

Физические лица, умышленно распространившие персональные данные гражданина без его согласия, подлежат уголовной ответственности за нарушение неприкосновенности частной жизни (ст. 137 Уголовного кодекса). Предметом данного преступления является личная и семейная тайна, поэтому ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц (например, гражданин может не скрывать дату, место своего рождения, образование и т. д.).

Так как в большинстве случаев персональные данные хранятся в информационных системах, помимо ст. 137 УК РФ, действия лица, "укравшего" персональные данные, подлежат квалификации по ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации. При использовании в целях получения персональных данных вредоносных компьютерных программ подлежит вменению также ст. 273 УК РФ.

Сотрудник организации, нарушивший правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правила доступа к информационно – телекоммуникационным сетям, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных, может нести ответственность по ст. 274 УК РФ. Нарушение правил эксплуатации может выражаться, например, в отказе от использования антивирусного программного обеспечения, обработке конфиденциальной информации вне рабочего места и т. д. Данное преступление может быть совершенно как умышленно, так и по неосторожности.

В случае привлечения к ст. 274 УК РФ необходимо установить, какие именно правила эксплуатации, закрепленные в законе, подзаконных или локальных нормативных актах, были нарушены. Кроме того, субъектом преступления может быть только лицо, до сведения которого была доведена обязанность соблюдения этих правил – в трудовом договоре, отдельным актом об ознакомлении и т. д. (п. 12 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. № 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно – телекоммуникационных сетей, включая сеть "Интернет").

На практике ст. 274 УК РФ применяется крайне редко, так как состав требует причинение крупного ущерба (1 млн руб.). В связи с этим, правоохранительные органы квалифицируют действия сотрудников, злоупотребивших своим доступом к охраняемой законом информации, по ст. 272 УК РФ (неправомерный доступ к охраняемой законом информации). Такой подход отвечает определению "неправомерного доступа", которое сформулировано в п. 5 Постановления Пленума Верховного суда РФ от 15 декабря 2022 г. № 37.