InfoWatch исследовал судебную практику по делам, связанным с безопасностью персональных данных: «ситуация пока плохо контролируема»

Компания InfoWatch провела исследование судебной практики по административным правонарушениям, связанным с безопасностью персональных данных (ПД) и защитой информации начиная с 2019 года: в числе основных выводов – ввиду редкости обращений в суд лицами, пострадавшими от утечек персональных данных и низкими штрафами за большинство нарушений правил безопасной обработки ПД, ситуация в этой сфере пока плохо контролируема.

«Несмотря на наличие федеральных законов и статей Кодекса об административных правонарушениях, относящихся к защите информации, в т.ч. персональных данных, на текущий момент судебная практика в этой сфере неразвита. Причиной этому может служить отсутствие государственных требований и практики информирования пострадавших и государственных органов об утечках конфиденциальной информации, в связи с чем необходимо установление административной и уголовной ответственности в отношении должностных лиц за неинформирование о подобных инцидентах», – считают эксперты.

За административные правонарушения по статьям 13.11-13.14 (утечки персональных данных и нарушения, приведшие к утечкам, нарушения в сфере защиты информации) в 2019-2020 годах самый крупный штраф физическому лицу – 50 тысяч рублей – был назначен по части 8 статьи 13.11 должностному лицу за передачу ПД граждан РФ иностранной организации.

Проверка Роскомнадзором Центра немецкого языка в Москве обнаружила, что организация передает ПД лиц, сдавших экзамен по немецкому языку, своим партнёрам – Немецкому культурному центру имени Гёте при посольстве ФРГ, и Гёте-Институту в Мюнхене. К ответственности привлекли директора Центра немецкого языка и назначили ей наказание – 50 тысяч рублей штрафа.

В случае юридического лица как ответчика самый крупный штраф – 17 миллионов рублей – назначен за повторное нарушение статьи о локализации ПД граждан РФ. Самый крупный оплаченный штраф – четыре миллиона рублей – компания Facebook внесла за отказ от хранения ПД российских пользователей на серверах в РФ.

В 34% случаях по статьям 13.11-13.14 КоАП РФ в 2019-20 гг. были рассмотрены дела, связанные с правонарушениями с применением автоматизированных систем обработки ПД и другой конфиденциальной информации. Таким образом, более трети правонарушений из выборки InfoWatch были совершены с помощью Интернета, компьютеров, телефонов и других систем.

В остальных случаях утечки конфиденциальной информации произошли через неавтоматизированные каналы обработки данных. Таким образом, суды чаще рассматривают дела, касающиеся неавтоматизированной обработки персональных данных и другой конфиденциальной информации. К примеру, размещение ПД жителей-должников в подъездах по адресу их проживания на бумажных объявлениях или использование конфиденциальной информации противоположной стороны в судебных заседаниях, полученной по запросу в ведомствах. Во всех изученных делах доступ к раскрытым ПД был правомерным.

Судебные решения по своему типу можно разделить на три категории:

1. Отказ в возбуждении дела – 32%;

2. Назначение наказания – 56%;

3. Другое (перевод дела в другую инстанцию, возвращение дела заявителю и т.п.) – 12%.

Решения как с отказом от возбуждения дела, так и по назначению наказания заявители многократно обжалуют в различных инстанциях. Среднее число обжалований одного решения – два раза.

Заявителями чаще выступают физические лица, кроме случаев, когда инициаторами возбуждения дел являются не только сами пострадавшие от распространения их ПД, но и государственные органы (Роскомнадзор или прокуратура) при проведении проверок (в 70 случаях из 182 дел – 38%).

Истец-рекордсмен из Ивановской области направил иски к 24 различным лицам, включая юридические и относящихся к ним должностных лиц, а также физические лица. Среди них как коммерческие компании (например, Совкомбанк и «М.Видео»), так и государственные организации (такие, как управление Роспотребнадзора, управление федерального казначейства, отделение МВД и т.п.). Доля дел, приходящихся на этого истца, составляет 13% и могла бы быть ещё выше, если бы все решения, связанные с многочисленными обжалованиями по одному инциденту, не объединили в одно судебное дело.

Самые крупные штрафы, назначенные нескольким юридическим лицам (все они коммерческие компании) по ч.1 статьи 13.11, составили 30 тысяч рублей.

Эти нарушения касались звонков коллекторов и сотрудников банка заявителям с требованиями погасить задолженность перед банками. Также это были звонки с рекламными целями. ПД были получены официально или от заявителя в процессе получения кредита, или из банка в процессе переуступки долга.

«Явной корреляции между тяжестью нарушения и величиной наказания не прослеживается. Так, злоумышленнику, который скопировал из ГАС «Выборы» на съёмный носитель данные избирателей одного из участков в республике Татарстан, назначили штраф в размере 1500 рублей (даже такой штраф нарушитель пытался оспорить, причем четырежды, но безрезультатно). А за звонки в рекламных целях суды назначали административные штрафы от 5 до 30 тысяч рублей», – говорится в исследовании.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: