Обработка персональных данных в России: судебная практика и правовое регулирование
Целью данного исследования является обобщение положений законодательства и судебной практики по обработке персональных данных в России. В исследовании использовались такие методы, как анализ судебных актов, законопроектов, разъяснения уполномоченных органов. Результаты исследования могут быть использованы для совершенствования законодательства, разработки методических рекомендаций и учебных материалов.
Ключевые слова: персональные данные; утечка данных; защита персональных данных; локализация данных; судебная практика.
The purpose of this study is to summarize the provisions of legislation and judicial practice on personal data processing in Russia. The study used such methods as: analysis of judicial acts, draft laws, explanations of authorized bodies. The results of the study can be used to improve the legislation, development of methodological recommendations and training materials.
Key words: personal data, data leakage, personal data protection, data localization, judicial practice.
В нынешнее время можно наблюдать непрерывное развитие экономики [1, р. 230 - 234] и в том числе информационных технологий [2, с. 234 - 238], а вместе с ним и массовое наращивание доли населения, пользующихся Интернетом в том числе для взаимодействия с судебной системой [3, с. 82 - 88]. В связи с этим возникают новые вызовы и угрозы, связанные с защитой персональных данных граждан. Человек испытывает потребность в гарантии невмешательства в личное пространство и доступа к личным данным третьих лиц [4, с. 82 - 88]. Вопросы обеспечения защиты персональных данных приобрели особую актуальность на фоне активного наращивания и развития информационных государственных сервисов и платформ, увеличения количества интернет-пользователей, общей геополитической картиной мира и места России на мировой арене.
В Российской Федерации государственная политика в отрасли персональных данных регулируется одноименным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", в котором под персональными данными понимается "любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)". Данный Закон устанавливает правовые основы для обработки персональных данных, включая сбор, хранение, использование и передачу. Он также устанавливает ответственность за нарушение установленных требований. Несмотря на десятилетний период действия закона, защита персональных данных, которые размещены в информационных системах государства и коммерческих организаций, является актуальной практико-ориентированной задачей.
Уполномоченным органом в области обеспечения защиты персональных данных граждан, осуществляющим контрольно-надзорную деятельность за соответствием обработки персональных данных операторами согласно требованиям законодательства, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор).
Утечка персональных данных представляет собой серьезную угрозу для информационной безопасности и прав граждан [5, с. 56 - 63]. Законодательство Российской Федерации предусматривает строгие меры по борьбе с этим явлением. Утечки персональных данных могут проявляться в различных формах, таких как несанкционированный доступ к базам данных, утеря или кража устройств, содержащих персональные данные, фишинговые атаки и взлом электронной почты, социальная инженерия и мошенничество.
Государство стремится усилить контроль и ужесточить наказание за утечку персональных данных. Ответственность за утечку персональных данных строго карается российским законодательством. К виновным лицам применяются наказания в рамках Трудового, Административного, Уголовного кодексов.
Так, Кодекс РФ об административных правонарушениях (далее - КоАП РФ) предусматривает административную ответственность за нарушение законодательства о персональных данных в виде штрафов. В настоящее время компании могут столкнуться с небольшими штрафами за утечку данных (до 100 тыс. руб. для юридических лиц согласно ч. 1 ст. 13.11 КоАП РФ) [6, с. 15 - 25]. Однако в будущем материальная ответственность может значительно возрасти, поскольку Правительство РФ готовит законопроект о введении оборотных штрафов за допущение утечки персональных данных. Государственная Дума ФС РФ уже одобрила введение оборотных штрафов за утечки данных в первом чтении. Поправки коснуться ст. 13.11 КоАП РФ и повысят действующие штрафы. Например, штраф за утечку данных от 1 000 до 10 000 субъектов персональных данных для юридических лиц составит от 3 до 5 млн руб. Размер штрафа непосредственно коррелирует с объемом утечки. Также за повторные утечки к представителям бизнеса будет применяться оборотный штраф: от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб. [7]
Уголовная ответственность за нарушение защиты персональных данных может возникнуть, если действия лица нарушают специальные нормы Уголовного кодекса РФ, такие как незаконное собирание или распространение сведений о частной жизни лица без его согласия (ч. 1 ст. 137 УК РФ) или неправомерный доступ к компьютерной информации, приводящий к уничтожению, блокированию, модификации или копированию информации (ч. 1 ст. 272 УК РФ).
За последние годы судебная практика по защите прав субъектов персональных данных существенно расширилась [8, с. 309 - 312]. Это связано с увеличением количества обращений граждан и организаций в суд для защиты своих прав и интересов.
Судебная практика по защите прав субъектов персональных данных в России охватывает широкий спектр категорий, наиболее распространенными из которых являются: неправомерный сбор, обработка или передача персональных данных, нарушение прав доступа субъектов персональных данных к своей информации, утечка данных и нарушение безопасности, использование персональных данных без согласия.
В 2023 г. Роскомнадзор зарегистрировал 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 млн записей о россиянах. За 2023 г. суды рассмотрели 87 протоколов Роскомнадзора, составленных по факту утечек данных, и назначили штрафы на сумму больше 4,6 млн руб. Данные показатели значительно выросли в сравнении с годами ранее [9].
Рассмотрим данные по отдельным подкатегориям дел, показывающим тенденции в судебной практике в области персональных данных.
1. Компании, работающие с персональными данными российских граждан, обязаны хранить эти данные на серверах в России (в соответствии с действующими правилами). Нарушение этого требования может привести к серьезным штрафам.
Одним из самых популярных и громких судебных дел по этой категории является разбирательство Роскомнадзора с американской компанией Snap Inc., владеющей мессенджером Snapchat.
Роскомнадзор утверждал, что Snap Inc. обрабатывала персональные данные российских граждан без их согласия и без локализации этих данных в России. Роскомнадзор также указал на то, что США, где расположены серверы Snap Inc., включены в список "недружественных" стран, что повышает риски для безопасности данных.
Snap Inc. утверждала, что не является "оператором персональных данных" в соответствии с российским законодательством, поскольку она не собирает и не обрабатывает персональные данные российских граждан напрямую. Компания также заявила, что ее деятельность не представляет угрозы для безопасности данных российских граждан.
Постановлением Судебного участка N 422 Таганского судебного района г. Москвы от 28 июля 2022 г. по делу N 05-1344/422/2022 на 1 млн руб. была оштрафована компания Снэп Инк. (Snap Inc.) (сервис "Snapchat") по ч. 8 ст. 13.11 КоАП РФ за невыполнение требований "о приземлении" баз данных. Суд отверг аргументы Snap Inc. и постановил, что компания является "оператором персональных данных" в соответствии с российским законодательством. Суд также постановил, что деятельность Snap Inc. представляет угрозу безопасности данных российских граждан, поскольку ее серверы расположены в "недружественной" стране.
По аналогичной категории спора в 2022 г. было крупное разбирательство с американской компанией Apple. 12 июля 2022 г. Судебный участок N 422 Таганского судебного района Москвы признал компанию Apple виновной в нарушении требований российского законодательства о защите персональных данных. Компания была оштрафована на 2 млн руб.
Суд постановил, что компания нарушила закон, а именно обрабатывала персональные данные российских граждан без их согласия и без локализации этих данных в России. Это дело стало первым случаем, когда российские власти оштрафовали крупную американскую технологическую компанию за нарушение законодательства о защите данных [10, с. 83 - 89].
2. Еще одним резонансным судебным разбирательством в части несоблюдения правил локализации баз данных в России при обработке персональных данных стало дело об административном правонарушении в отношении Вотсэпп ЛЛС (WhatsApp LLC). Суд признал WhatsApp виновной и наложил на компанию штраф в размере 3 млн руб. Следующей интересной и объемной категорией судебных дел в области персональных данных является утечка персональных данных пользователей в сеть Интернет. Ответственность за такие утечки установлена в ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях, предусматривающей максимальный штраф для юридических лиц в размере 100 000 руб., за повторное нарушение - до 300 000 руб. (ч. 1.1).
В 2022 г. за утечку персональных данных Постановлением Судебного участка N 101 Замоскворецкого судебного района г. Москвы от 21 апреля 2022 г. по делу N 05-0413/101/2022 был оштрафован сервис "Яндекс.Еда" на 60 тыс. руб. Утечка произошла в марте 2022 г. и затронула данные более 58 млн пользователей. Тогда Роскомнадзор обвинил Яндекс.Еду в нарушении требований российского законодательства о защите персональных данных. Согласно закону компании обязаны принимать меры для защиты персональных данных от неправомерного доступа, уничтожения, модификации, блокирования, копирования, распространения, а также от иных неправомерных действий.
Яндекс.Еда признала факт утечки данных, но заявила, что компания предприняла все необходимые меры для защиты данных пользователей. Компания также заявила, что утечка не привела к каким-либо негативным последствиям для пользователей.
В 2023 г. по аналогии за утечку персональных данных были оштрафованы многие крупные российские компании, такие как страховая компания "Ингосстрах", "Тинькофф Банк", "Совкомбанк" и др.
3. Следующей специфической категорией дел, связанных с обработкой персональных данных, является работа финансовых учреждений (банков и некредитных организаций). Дело в том, что подобным организациям необходимо осуществлять обработку данных с особой осторожностью, поскольку они собирают большой объем конфиденциальной информации для предоставления услуг. При заключении договоров через Интернет финансовым учреждениям следует уделять повышенное внимание этому процессу, так как ежедневно происходят случаи взлома и мошенничества. Нарушение данной обязанности может привести к расторжению договоров, взысканию убытков и компенсации морального вреда.
Практическим примером является дело N 02-0522/2023 [02-9418/2022; М-8559/2022] Пресненского районного суда города Москвы. Суд признал недействительным договор займа, который был заключен мошенниками через личный кабинет истца на портале Госуслуг. Истец обратился в суд, заявив, что неизвестные лица без его ведома прошли верификацию на портале Госуслуг и заключили от его имени договор займа. Деньги по этому договору были перечислены мошенникам.
Суд установил, что заемщик (юридическое лицо) не принял достаточных мер для проверки подлинности согласия истца на обработку его персональных данных. Заемщик не убедился, что волеизъявление на заключение договора и передачу персональных данных исходило от самого истца.
В результате ненадлежащей проверки со стороны заемщика истец пострадал. У него образовалась негативная кредитная история. Суд признал договор займа недействительным и обязал заемщика вернуть истцу полученные по договору денежные средства.
Это решение суда является важным прецедентом для защиты прав граждан в сфере дистанционного заключения договоров. Суд подчеркнул, что организации, которые заключают договоры с использованием персональных данных граждан, должны принимать все необходимые меры для проверки подлинности этих данных и волеизъявления граждан.
Таким образом, судебная практика и правовое регулирование в России в области обработки персональных данных постоянно развиваются, чтобы обеспечить баланс между интересами бизнеса и правами граждан на неприкосновенность частной жизни [11, с. 320 - 324]. Суды активно применяют законы, защищая права субъектов на неприкосновенность частной жизни, доступ к своей информации и защиту от неправомерного использования персональных данных. Тенденции, наблюдаемые в судебной практике, свидетельствуют об усилиях судов по поддержанию баланса между законными интересами субъектов персональных данных и необходимостью использования таких данных для различных целей [12, с. 72 - 75]. Судебная практика создает важные прецеденты, которые помогают судам принимать справедливые решения.
В то же время законодательство о защите персональных данных постоянно совершенствуется, чтобы соответствовать меняющимся технологиям и угрозам безопасности. Новые законы и постановления направлены на повышение уровня защиты персональных данных граждан и усиление ответственности организаций за их нарушение [13, с. 50 - 57].
Организациям важно быть в курсе последних изменений в законодательстве и судебной практике в области защиты персональных данных. Они должны принимать все необходимые меры для обеспечения безопасности персональных данных своих клиентов и сотрудников. Несоблюдение этих требований может привести к серьезным финансовым и репутационным потерям, и тут немаловажное значение имеет зарубежный опыт работы в данном направлении [14, с. 6 - 14].
Развитие судебной практики и правового регулирования в области обработки персональных данных в России свидетельствует о растущей важности защиты прав граждан в цифровую эпоху. Суды и законодатели работают над созданием надежной системы защиты персональных данных, которая будет соответствовать современным вызовам и угрозам.
