Персональные данные – это особый класс личных неимущественных прав граждан, которые защищаются на основе международных соглашений и национального законодательства. Основные правила обработки ПД отражены в законе № 152-ФЗ «О персональных данных», меры наказания за нарушение закона предусмотрены административным, уголовным, гражданским законодательством. 

Виды санкций за нарушение законодательства о ПД 

В зависимости от классификации ущерба ответственность за нарушение законодательства о персональных данных варьируется по степени тяжести. Основная ответственность для операторов персональных данных предусмотрена КоАП. Уголовное законодательство станет основанием для возбуждения дел против лиц, виновных в краже персональных данных. 

В Гражданском кодексе описаны условия для возмещения морального и материального ущерба, причиненного субъектам персональных данных в результате неправомерных действий операторов или граждан.

Административные меры воздействия

Основной блок наказаний операторов за нарушение требований по защите персональных данных прописан в КоАП РФ. Статья 13.11, претерпевшая серьезные изменения в 2017 году, конкретизирует типы нарушений в области законодательства с персональными данные и называет размер штрафов за их совершение. Если до изменений КоАП содержал один состав нарушений, сейчас их восемь, при этом максимальный штраф достигает 18 млн рублей. Штрафы меняются в зависимости от субъекта и тяжести нарушения: должностное лицо будет оштрафовано на меньшую сумму, чем организация. 

Основные типы нарушений, указанные в ст.13.11: 

• обработка персональных данных в целях, не предусмотренных законом или не указанных оператором в политике обработки. Минимальное наказание за это нарушение – предупреждение в адрес должностного лица, а при высокой тяжести совершенного – штраф 30-50 тысяч рублей; 
• обработка персональных данных без согласия правообладателей, если это деяние не находится в сфере уголовной юрисдикции, повлечет наложение на организацию штрафа до 75 тысяч рублей;
• отказ от публикации на сайте оператора политики по обработке персональных данных, ее некорректное составление или ограничение доступа к ней влечет штраф в размере до 30 тысяч рублей;
• отказ от предоставления правообладателю сведений о порядке обработки персональных данных по письменному запросу станет основанием для наложения штрафа до 40 тысяч рублей;
• отказ по требованию правообладателя или его представителя блокировать, изменить или уничтожить персональные данные в предусмотренные законом сроки повлечет наложение штрафа на юридическое лицо до 45 тысяч рублей;
• невыполнение при обработке персональных данных без использования средств автоматизации условий, обеспечивающих сохранность персональных данных на материальных носителях, наказывается штрафом в размере до 50 тысяч рублей;
• отказ государственной или муниципальной организации от выполнения обязанностей по обезличиванию персональных данных приведет к наложению штрафа до 6 тысяч рублей;
• повторное нарушение обязанности по хранению персональных данных на серверах, размещенных в России, приведет к штрафу до 18 миллионов рублей.

Усиление степени тяжести санкций и ужесточение регламента проверок Роскомнадзора стимулирует операторов выполнять требования закона. В русле обеспечения контроля над деятельностью оператора работает статья 19.7 КоАП , которая предусматривает наказание за отказ от предоставления информации регулятору по его запросу или предоставление ее в неполном виде. После проведения проверки, кроме штрафа, регулятор вправе направить в адрес оператора предписания об устранении нарушения законодательства, а в случае отказа от выполнения таких предписаний – временно приостановить деятельность оператора персональных данных.

Уголовная ответственность

Для субъектов, нарушения закона которыми причинили существенный ущерб субъектам персональных данных, предусмотрена уголовная ответственность. Чаще всего к ней привлекают нарушителей, получивших неправомерный доступ к персональным данным граждан и разгласивших их в корыстных целях. Суды и правоохранительные органы в большинстве случаев применяют нормы ст. 137 УК РФ, которая вводит санкции за нарушение неприкосновенности частной жизни.

Статья состоит из трех частей:

• незаконный сбор и распространение информации о частной жизни без отягощающих признаков караются мягко, максимальное наказание – 2 года лишения свободы;
• если в целях неправомерного завладения персональными данными и их распространения использовалось служебное положение, максимально возможное наказание увеличится до 4 лет лишения свободы;
• если в СМИ или по телекоммуникационным каналам связи распространялись персональные данные, связанные с личной жизнью несовершеннолетнего, тюремный срок увеличится до 5 лет.

За последнее преступление СМИ может лишиться лицензии. 

Стандартные ситуации применения статьи:

• распространение в СМИ данных о личной жизни или заведомо ложной информации о потерпевших без их согласия;
• обжалование действий сотрудников правоохранительных органов, получавших данные о гражданах без оформления соответствующего постановления суда;
• сбор информации о личной жизни супругов или других лиц с использованием технических средств;
• хищение сотрудниками банков или мобильных операторов персональных данных клиентов с целью перепродажи.

Преступниками в рамках этой статьи чаще всего становятся простые люди, в полной мере не осознающие общественную опасность своих действий. Группировки хакеров, системно похищающие и продающие персональные данные, из-за их высокой осторожности почти не происходит, к уголовному преследованию практически не привлекаются.

Ответственность за нарушения в сфере законодательства о персональных данных устанавливает и ст. 140 УК, по которой отвечают должностные лица, отказывающие гражданам в предоставлении доступа к собранным о них личным сведениям. Статья имеет простой состав, без квалифицирующих признаков. За отказ допустить субъекта персональных данных к ознакомлению с ними должностному лицу грозит штраф до 200 тысяч рублей или запрет занимать определенные должности на срок до 5 лет. В судебных делах она фигурирует нечасто– с 2017 года упоминается не более 150 случаев применения ст.140 УК РФ. 

Наиболее часто встречаются такие нарушения: 

• отказ представителей Росреестра передать гражданам информацию о сделках, ставших основанием для неправомерного завладения чужой собственностью; 
• отказ правоохранительных органов в предоставлении информации, полученной в ходе дознания или следствия;
• отказ сотрудников Пенсионного фонда предоставить данные о состоянии пенсионных счетов.

Как правило, уголовные дела, возбужденные по таким статьям, связанным с хищением персональных данных, доходят до суда, но суды отказывают заявителям, считая требования неправомерными. Намного чаще возбуждаются дела по 272-й ст. УК РФ, предусматривающей наказание за неправомерный доступ к компьютерной информации. Норма состоит из четырех частей. Наказание за минимальное нарушение не превышает 2 лет лишения свободы, но, если в рамках части 4 эти же деяния повлекли тяжкие последствия, можно получить тюремный срок до 7 лет. 

В практике применения статьи наиболее часто встречаются:

• продажа сотрудниками мобильных операторов детализации телефонных переговоров абонентов, включающие персональные данные;
• хищение и использование в личных целях номеров кредитных карт;
• хищение логинов и паролей интернет-пользователей для неправомерного доступа к трафику.

Иногда в практике борьбы с неправомерным распространением и использованием персональных данных возникают необычные случаи. Так, переводчицу Олесю Красилову, работавшую несколько лет в посольстве США в Москве и занимавшуюся снятием отпечатков пальцев, американские власти задержали в Испании за передачу биометрических данных третьим лицам. Девушке грозит пожизненное заключение по американским законам, а российское уголовное право в этом случае оказывается менее строгим.

Гражданско-правовые механизмы

Причинение финансового ущерба или морального вреда субъектам персональных данных становится основанием для требования о его возмещении, в порядке гражданского судопроизводства. Применение 15-й статьи ГК РФ о возмещении убытков редко встречается в судебной практике по делам, связанным с персональными данными, так как действительный размер убытков практически недоказуем. Защита интересов в форме возмещения морального вреда иногда встречается, но его выплаченные за ущерб суммы не превышают 5-10 тысяч рублей.

В российских судах чаще всего встречаются дела о неправомерной передаче ПД для обработки третьим лицам. Банки, микрофинансовые компании, организации ЖКХ без получения согласия передают персональные данные должников коллекторам. Многочисленные иски редко удовлетворяются, так как на стороне, например, Альфа-банка всегда выступают более опытные юристы, чем на стороне частного лица, и так называемого перелома практики стараются не допустить. Наказание чаще всего реализуется только в случае жалобы регулятору, который стремится привлечь нарушителя к административной ответственности. При этом пострадавший гражданин реального возмещения не получает, и защита его интересов происходит только в форме принуждения оператора осуществить предусмотренные законом действия. 

03.03.2020