Слива не вытянешь: аналитики заявили об удовлетворении 56% исков об утечках данных

Российские суды назначают административное наказание по итогам рассмотрения 56% исков, касающихся безопасности персональных данных, утверждают специалисты компании InfoWatch. В остальных случаях гражданам отказывают в возбуждении дела, закрывают их или передают в другие инстанции. Эксперты считают, что судебная практика РФ в сфере персональных данных только формируется и такая статистика абсолютно нормальна и не должна вызывать беспокойства. Впрочем, в Роскомнадзоре заверили, что составление протоколов по ст. 13.11 КоАП «Обработка персональных данных в случаях, не предусмотренных законодательством РФ…» оканчивается привлечением к административной ответственности практически в 100% случаев. Кроме того, ужесточаются нормы в области работы с личной информацией граждан: в этом году сроки давности по привлечению к ответственности за нарушения в этой сфере выросли вчетверо, а штрафы — вдвое.

Дело наше

В России 56% заявлений в суд по статьям КоАП РФ, касающихся нарушений безопасности персональных данных, заканчиваются наказаниям, выяснили специалисты компании InfoWatch. В 32% случаев истцу отказывают в возбуждении дела. Как правило, из-за истечения срока давности правонарушения или из-за отсутствия состава преступления. Остальные 12% приходятся на возвраты документов заявителю, переводы в другие инстанции и иные решения, итоги которых неизвестны. Такую статистику компания получила, проанализировав более 2 тыс. записей в государственной автоматизированной системе РФ «Правосудие» (ГАС «Правосудие») за 2019 и 2020 годы.

В InfoWatch просмотрели дела по статьям 13.11–13.14 КоАП РФ, которые относятся в том числе к утечкам персональных данных и нарушениям в сфере защиты информации. Из более 2 тыс. отобранных записей для подробного анализа компания выделила 270 уникальных правонарушений, поскольку только они фактически были связаны с перечисленными выше проблемами. Остальные записи, хоть и подпадали под указанные статьи, не относились к утечкам данных и защите информации напрямую. Например, многие дела касались публикации вакансий с ограничениями дискриминационного характера (по возрасту, полу, семейному положению), которые относятся к ст. 13.11.1 КоАП РФ. Также было отсеяно множество записей, которые дублировали друг друга по сути, допустим, из-за многократного обжалования решений суда по одному и тому же делу.

182 из 270 проанализированных дел пришлись на ч. 1 ст. 13.11 «Обработка персональных данных в случаях, не предусмотренных законодательством РФ…». Она касается противоправного сбора личной информации либо обработки данных, несовместимой с целями их сбора. Как правило, ответчиками по этим делам выступали коллекторы и распространители телефонной рекламы. В этой категории встречается наибольшая доля отказов в возбуждении дела — 36%. Практически все жалобы не были рассмотрены судом по существу из-за истечения срока давности административного нарушения либо ввиду отсутствия состава преступления.

Иски по остальным статьям и их частям, которые не заканчивались приговорами, как правило, переводились в другие инстанции или возвращались заявителю. В нескольких случаях в ГАС «Правосудие» просто не опубликована необходимая для получения вывода информация. Как и в случае с ч. 1 ст. 13.11, встречались и отказы, но значительно реже.

Эксперты отмечают, что реальная ситуация может отличаться от той, что приведена в исследовании: в ГАС «Правосудие» публикуется большая часть информации о делопроизводстве, но не вся.

Не всё однозначно

В Роскомнадзоре, уполномоченном органе по защите прав субъектов персональных данных, привели иные данные. Там сообщили, что составление протоколов по ст. 13.11 КоАП оканчивается привлечением к административной ответственности практически в 100% случаев. В отношении остальных статей, которые рассмотрены в исследовании, Роскомнадзор составлять протоколы не уполномочен.

— Лишь в единичных случаях суд принимает решение о прекращении дела за малозначительностью правонарушения. Принятие такого решения является исключительной компетенцией суда, — заявили в ведомстве.

Там напомнили, что в феврале 2021 года были приняты поправки в КоАП, которые увеличили срок давности по привлечению к ответственности за нарушения в области персональных данных. По новым правилам наказание может последовать в течение года со дня совершения нарушения, ранее этот срок составлял три месяца. Также вдвое увеличен размер штрафов за нарушения в области персональных данных и введена ответственность за нарушения, совершенные повторно.

«Известия» направили запрос в Генеральную прокуратуру РФ.

Исследователи считают, что сейчас судебная практика в сфере утечек информации неразвита.

— Ввиду редкости обращений в суд лицами, пострадавшими от утечек персональных данных, и низких штрафов за большинство нарушений правил безопасной обработки персональных данных, ситуация в этой сфере пока плохо контролируема, — поделились мнением в InfoWatch.

В Главном радиочастотном центре (ГРЧЦ, подведомственен Роскомнадзору), который в сентябре запустил Центр юридической помощи гражданам в цифровой среде, отметили, что за три месяца работы было рассмотрено более 300 обращений по нарушениям персданных. В четырех случаях организация помогла заявителю собрать необходимый пакет документов для подачи иска в суд.

— Наши эксперты продолжат оказывать правовую помощь истцам и будут принимать участие в судебных заседаниях в качестве их представителей, — добавила директор центра Людмила Куровская.

Судебная практика в отношении персональных данных в РФ только формируется, поэтому количество не дошедших до суда дел для нынешней стадии нормально, уверен управляющий компанией RTM Group Евгений Царёв.

Роман Кильдюшкин

Тематики: Регулирование, Безопасность

Ключевые слова: информационная безопасность, регулирование, Роскомнадзор, персональные данные, защита персональных данных, InfoWatch