Привлечение к ответственности за утечку персональных данных
В заголовках СМИ мы все чаще видим новости о том, что друг за другом происходят утечки персональных данных (далее — ПД) у крупных компаний, государственных учреждений и т.д. Так, буквально на днях суд в Москве оштрафовал Высшую школу экономики за утечку ПД студентов1, несколько раньше произошла утечка данных онлайн-платформы правовой помощи «СберПраво»2. Роскомнадзор зафиксировал 27 утечек ПД с начала 2023 г., которые привели к публикации в сети 165 млн записей о россиянах.
Всего с момента вступления в силу требования об обязательном информировании об утечках данных для российских компаний регулятор получил сообщения о 130 инцидентах3. Одновременно встает вопрос о том, информация о каком количестве инцидентов не была доведена до ведомства. Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний4.
Однако в большинстве случаев к ответственности привлекается сама организация, юридическое лицо. Поэтому встает вопрос о том, как обстоит ситуация с привлечением к ответственности за нарушение законодательства в сфере ПД физических лиц. Как часто это происходит и какие перспективы развития персонализации ответственности за утечку ПД?
В связи с тем, что расследование утечек довольно затруднительно и у правоохранительных органов не так много соответствующего опыта, в первую очередь к ответственности могут быть привлечены не «внешние» нарушители, организовавшие утечку (хакеры и т.п.), а «внутренние» — сотрудники компании и т.п.
В данной статье мы и изучим, в каких случаях сотрудники организаций могут быть привлечены к ответственности за утечки ПД, в частности к административной, уголовной ответственности, перспективы развития законодательного регулирования, а также попытаемся сформулировать практические рекомендации для митигации возникающих рисков.
АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ
В первую очередь административная ответственность предусмотрена за нарушение оператором обязанностей, предусмотренных законодательством о ПД (ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее — КоАП РФ)). Субъектами административного правонарушения могут выступать физическое лицо, юридическое лицо, должностное лицо оператора, ответственное за организацию процессов обработки ПД (ст. 22.1 Закона о защите ПД).
Как видно из положений ст. 13.11 КоАП РФ, она не предусматривает отд... ✂
Платный контент
Полная версия публикации доступна только подписчикам.