В ходе подготовки отчета было рассмотрено общее количество записей - 372, содержащихся в Государственной информационной системе (ГАС) «Правосудие» за 2021 год. Учитывая факт, что несколько записей о судебных решениях из ГАС «Правосудие» могут относиться к одному правонарушению, записи были сгруппированы в одно нарушение и была сформирована выборка из 104 нарушений в сфере защиты информации. Основная часть правонарушений относится к статьям 13.11 и 13.14 КоАП РФ, отвечающих теме утечек информации ограниченного доступа и относящихся к нарушениям в области защиты информации и персональных данных. По этим статьям большая часть судебных дел - 73 дела или 70%, относится к статье 13.11 ч.1. На статью 13.14, соответственно, приходится 30%.
Практически все судебные дела выборки по статье 13.11 КоАП РФ были рассмотрены в региональных судах (только 1 дело в Москве) и большинство из них в 2021 году заканчивалось отказами заявителю в возбуждении дел надзорными органами – 60% (44 дела из 73), соответственно, только по 29 нарушениям из 73 ответчикам были назначены наказания. В 97% случаях заявителями являются физические лица и только в 3% – юридические лица. Примером штрафов за нарушение по данной статье служит дело о факте хранения в МФЦ в Ненецком автономном округе обрабатываемых персональных данных работников в превышающем установленный п. 2 ст. 86 ТК РФ объеме. Ответчику – МФЦ – был назначен административный штраф в размере 60 000 тысяч рублей.
По статье 13.14 КоАП РФ выделено 31 судебное дело. Все они были рассмотрены в региональных инстанциях. В качестве истцов по выделенным делам в большинстве случаев выступали физические лица – 97% и в 3% (всего 1 случай) – юридические лица. В качестве ответчиков на 100% выступали только физические лица, из которых должностных – 65% (20 человек). По 27 делам (87%) по статье 13.14 КоАП РФ было назначено наказание, по остальным нарушениям заявителям было отказано в возбуждении дел, либо дела прекращены за отсутствием состава преступления. Самый большой по этой статье штраф в 2021 года – 4000 рублей назначен по нарушениям, связанным с размещением в сети «Интернет» паспортов безопасности и сведений о доходах служащих. Как отметил руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов, «в России пока не сложилась общепринятая практика официальных заявлений от компаний о произошедших утечках. Поэтому число обращений от лиц, чьи данные «утекли», в надзорные органы и суды хотя и достаточно большое, но все же значительно чаще относится к нарушениям, совершенным другими физическими лицами, которые выкладывают что-то в соцсетях, пересылают в мессенджерах, размещают на сайтах, и практически никогда не встречалось исков к юридическим лицам. И это не потому, что таких утечек нет, а, скорее потому, что о них редко становится известно пострадавшим от утечек физлицам. Несмотря на увеличение штрафов по статьям, связанным с защитой информации, в том числе, персональных данных, число дел и число наказаний по делам пока не меняется. На наш взгляд, и об этом говорится давно, в части законодательства необходимы доработки, направленные на усиление ответственности и ужесточения наказания за нарушения, связанные с защитой данных».