Привлечение к ответственности за утечку персональных данных

Евсеев Артем Евсеев Артем
1 июл, 2023 - 00:51 Обновлено: 4 июл, 2023 - 19:21
2047

В заголовках СМИ мы все чаще видим новости о том, что друг за другом происходят утечки персональных данных (далее — ПД) у крупных компаний, государственных учреждений и т.д. Так, буквально на днях суд в Москве оштрафовал Высшую школу экономики за утечку ПД студентов1, несколько раньше произошла утечка данных онлайн-платформы правовой помощи «СберПраво»2. Роскомнадзор зафиксировал 27 утечек ПД с начала 2023 г., которые привели к публикации в сети 165 млн записей о россиянах.

Всего с момента вступления в силу требования об обязательном информировании об утечках данных для российских компаний регулятор получил сообщения о 130 инцидентах3. Одновременно встает вопрос о том, информация о каком количестве инцидентов не была доведена до ведомства. Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний4.

Однако в большинстве случаев к ответственности привлекается сама организация, юридическое лицо. Поэтому встает вопрос о том, как обстоит ситуация с привлечением к ответственности за нарушение законодательства в сфере ПД физических лиц. Как часто это происходит и какие перспективы развития персонализации ответственности за утечку ПД?

В связи с тем, что расследование утечек довольно затруднительно и у правоохранительных органов не так много соответствующего опыта, в первую очередь к ответственности могут быть привлечены не «внешние» нарушители, организовавшие утечку (хакеры и т.п.), а «внутренние» — сотрудники компании и т.п.

В данной статье мы и изучим, в каких случаях сотрудники организаций могут быть привлечены к ответственности за утечки ПД, в частности к административной, уголовной ответственности, перспективы развития законодательного регулирования, а также попытаемся сформулировать практические рекомендации для митигации возникающих рисков.

АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ

В первую очередь административная ответственность предусмотрена за нарушение оператором обязанностей, предусмотренных законодательством о ПД (ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ)). Субъектами административного правонарушения могут выступать физическое лицо, юридическое лицо, должностное лицо оператора, ответственное за организацию процессов обработки ПД (ст. 22.1 Закона о защите ПД).

Как видно из положений ст. 13.11 КоАП РФ, она не предусматривает отд... ✂

Теги: