Журнал "Information Security/ Информационная безопасность" #1, 2024

В 2023 г. Роскомнадзор зафиксировал 168 случаев утечек персональных дан- ных, в результате которых в Интернет попали порядка 300 млн записей. Что обязан делать оператор в случае утечки ПДн? В терминологии российского законо- дателя "утечка ПДн" – это неправомер- ная или случайная передача ПДн, повлекшая нарушение прав субъектов ПДн (ч. 3.1. ст. 21 № 152-ФЗ) или непра- вомерная или случайная передача ПДн в результате компьютерного инцидента (ч. 12 ст. 19 № 152-ФЗ). В случае установления факта такой неправомерной или случайной передачи ПДн оператор обязан уведомить Рос- комнадзор. В течение 24 часов: l о произошедшем инциденте; l о предполагаемых причинах, повлек- ших нарушение прав субъектов ПДн; l о предполагаемом вреде, нанесенном правам субъектов ПДн; l о принятых мерах по устранению последствий соответствующего инци- дента; l о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом. В течение 72 часов: l о результатах внутреннего расследо- вания выявленного инцидента; l о лицах, действия которых стали при- чиной выявленного инцидента (при нали- чии). Порядок уведомления и конкретные требования к его содержанию установ- лены приказом Роскомнадзора от 14.11.2022 № 187. Кроме того, на оператора ПДн возло- жена обязанность информировать Гос- СОПКА о компьютерных инцидентах, повлекших неправомерную передачу ПДн (ч. 12 ст. 19 № 152-ФЗ). Для большинства операторов пер- сональных данных это взаимодей- ствие осуществляется через Роском- надзор. Какие штрафы предусмотрены за неправомерную или случайную передачу ПДн? Отдельного штрафа за утечку ПДн не существует. К административной ответственности оператора привлекают за нарушение № 152-ФЗ, повлекшее неправомерную или случайную пере- дачу ПДн. Поскольку прямой ответственности за утечки пока нет, основание для при- влечения к ответственности и вменяемая статья закона могут различаться: l за нарушение ч. 1 ст. 18.1 № 152-ФЗ – ч. 1 ст. 13.11 КоАП РФ; l за нарушение ст. 10.1 № 152-ФЗ – ч. 2 ст. 13.11 КоАП РФ. Известен также случай назначения административного штрафа по инициа- тиве прокуратуры по ч. 3 ст. 13.11 КоАП РФ (дело № 5-348/4/2023). На данный момент минимальный раз- мер штрафа за утечку ПДн для юриди- ческих лиц составлял 30 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ). Однако если будет принят законо- проект № 502113-8, то размер штрафов существенно возрастет: l в зависимости от объема и категории "утекших" ПДн максимальный размер штрафа может достигать 15–20 млн руб.; l за повторные случаи неправомерной или случайной передачи ПДн или пере- дачи ПДн в результате компьютерного инцидента предполагается наложение штрафа в диапазоне 0,1–3% выручки (но не менее 15 млн и не более 500 млн руб. При каких обстоятельствах суды оштрафуют оператора ПДн за утечки? Доказывание факта неправомерной и (или) случайной передачи ПДн, по моим наблюдениям, основывается: l на признании оператором ПДн факта утечки (оно может быть представлено уведомлением о факте неправомерной или случайной передачи данных); l на сведениях, собранных во время внеплановой проверки Роскомнадзора. Например, в деле № 05-0450/347/2023 2 именно по итогам внеплановой выездной проверки было установлено нарушение оператором ст. 10.1 № 152-ФЗ. Оно выразилось в предоставлении неправо- мерного доступа к ИСПДн и повлекло распространение ПДн работников в Интернете. Как следует из решения суда, факт умышленного распростране- ния баз данных компании значения не имел. Оператор был признан виновным в совершении правонарушения по ч. 2 ст. 13.11 КоАП РФ. По итогам анализа могу отметить, что наказание следует за любую передачу, если она носит неправомерный характер. Так, в деле№05-0470/456/2023 утечкой была признана публикация ПДн работ- ников на сайте работодателя без согласия на распространение в случае иных осно- ваний для обработки ПДн. Оператор был привлечен к ответственности на основа- нии ч. 2 ст. 13.11 КоАП РФ. Любопытно, что в этом деле направ- ление в Роскомнадзор уведомления о факте неправомерной передачи дан- ных было оценено судом как обстоя- тельство, смягчающее административ- ную ответственность, а также уведом- ление было направлено при наличии всего двух "утекших" записей. Оператор ПДн может быть привлечен к ответственности вне зависимости от количества "утекших" записей, а утечка всего лишь двух записей может не рас- сматриваться как смягчающее обстоя- тельство. 52 • СПЕЦПРОЕКТ Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных связи с тенденцией увеличения количества случаев утечек персональных данных продолжается активное обсуждение ужесточения мер ответственности операторов ПДн. На каких основаниях операторы ПДн привлекаются к ответственности в таких ситуациях и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных? В Денис Лукаш, управляющий партнер юридической компании Lukash & Partners 1 1 https://lukash.info/ 2 https://mos-sud.ru/347/cases/docs/content/6ea79254-d24d-4441-a189-e13210c38bec Фото: Антон Косицын