Привлечение к ответственности за утечку персональных данных

1 июл, 23 - 00:51
4 июл, 23 - 19:21
 2K

В заголовках СМИ мы все чаще видим новости о том, что друг за другом происходят утечки персональных данных (далее — ПД) у крупных компаний, государственных учреждений и т.д. Так, буквально на днях суд в Москве оштрафовал Высшую школу экономики за утечку ПД студентов1, несколько раньше произошла утечка данных онлайн-платформы правовой помощи «СберПраво»2. Роскомнадзор зафиксировал 27 утечек ПД с начала 2023 г., которые привели к публикации в сети 165 млн записей о россиянах.

Всего с момента вступления в силу требования об обязательном информировании об утечках данных для российских компаний регулятор получил сообщения о 130 инцидентах3. Одновременно встает вопрос о том, информация о каком количестве инцидентов не была доведена до ведомства. Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний4.

Однако в большинстве случаев к ответственности привлекается сама организация, юридическое лицо. Поэтому встает вопрос о том, как обстоит ситуация с привлечением к ответственности за нарушение законодательства в сфере ПД физических лиц. Как часто это происходит и какие перспективы развития персонализации ответственности за утечку ПД?

В связи с тем, что расследование утечек довольно затруднительно и у правоохранительных органов не так много соответствующего опыта, в первую очередь к ответственности могут быть привлечены не «внешние» нарушители, организовавшие утечку (хакеры и т.п.), а «внутренние» — сотрудники компании и т.п.

В данной статье мы и изучим, в каких случаях сотрудники организаций могут быть привлечены к ответственности за утечки ПД, в частности к административной, уголовной ответственности, перспективы развития законодательного регулирования, а также попытаемся сформулировать практические рекомендации для митигации возникающих рисков.

АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ

В первую очередь административная ответственность предусмотрена за нарушение оператором обязанностей, предусмотренных законодательством о ПД (ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ)). Субъектами административного правонарушения могут выступать физическое лицо, юридическое лицо, должностное лицо оператора, ответственное за организацию процессов обработки ПД (ст. 22.1 Закона о защите ПД).

Как видно из положений ст. 13.11 КоАП РФ, она не предусматривает отд... ✂

Евсеев Артем Ведущий юрист практики интеллектуальной собственности и персональных данных юридической фирмы Клифф. Артем имеет обширный опыт в области интеллектуальной собственности, причем как транзакционной работы (лицензирование, франчайзинг, разработка ПО, оформление прав на служебные объекты интеллектуальной собственности, разработка договоров для запуска интернет-магазинов, проведение комплексных юридических проверок), так и судебной работы (ведение дел о нарушении исключительных прав, о принудительном лицензировании, оспаривание регистраций товарных знаков и т.п.). Кроме того, у Артема богатый опыт консультирования в сфере персональных данных, включая проведение аудита персональных данных, разработку внутренней документации, необходимой оператору персональных данных. Артем присоединился к Клифф в 2022 году. До прихода в фирму работал в московском офисе практики интеллектуальной собственности, медиа и технологий одной из ведущих англо-американских юридических фирм, отмеченной в рейтингах Chambers & Partners, IP Stars, Legal 500, Право.ru и Коммерсант.