Журнал "Information Security/ Информационная безопасность" #1, 2024

Как суды оценивали построение технической защиты персональных данных? В судебных решениях отсутствовала информация об оценке применяемых мер защиты, в том числе не встречалось упоминание: l Методики оценки угроз безопасности информации, утвержденной ФСТЭК Рос- сии 05 февраля 2021 г.; l Требований по защите персональных данных, утвержденных приказом ФСТЭК от 18 февраля 2013 г. № 21 и приказом ФСБ от 10 июля 2014 г. № 378. Даже при наличии таких упоминаний рынок технологий защиты персональных данных не имеет массовых доступных решений и пока остается экспертной сферой. Кто несет ответственность за утечку ПДн, случившуюся по вине контрагента? Обработчик (лицо, осуществляющее обработку ПДн по поручению операто- ра) – это лицо, которое не имеет собст- венных законных заранее определенных целей перед субъектом ПДн и действует по поручению оператора на обработку. Например, обработчиками ПДн могут быть внешняя бухгалтерия, провайдер хостинга, SaaS-сервис и пр. За действия обработчика-контрагента ответственность несет оператор ПДн (ч. 3, ч. 5 ст. 6 № 152-ФЗ). Роскомнадзор подтвердил эту позицию. Тем не менее оператор ПДн может воздействовать на лицо, которому он поручил обработку, различными гражданско-правовыми механизмами. Если оператор оштрафован за действия обработчика, каким образом возможно взыскать эту сумму с последнего? По итогам анализа судебной практики могу предложить три варианта ответа на поставленный вопрос. Возмещение убытков Оператор вправе включить в договор с обработчиком положение, в соответ- ствии с которым последний обязан воз- местить убытки в случае нарушения № 152-ФЗ и привлечения оператора к ответственности на этом основании. В судебной практике встречаются споры, аргументация сторон которых может быть применима по аналогии и в рас- сматриваемой ситуации. Так, в деле № А65-19461/20163 компа- ния-поставщик обратилась в суд с иском о взыскании с контрагента убытков в связи с наложением штрафа по ч. 10. ст. 12.21.1 КоАП РФ. Договор поставки между истцом и ответчиком содержал оговорку о возмещении убытков в размере назначенных административных штрафов. Однако ответчик полагал, что спорное положение договора противоречит осно- вам российского правопорядка, посколь- ку позволяет покупателю беспрепят- ственно нарушать законодательство и перекладывает административную ответ- ственность на другое лицо. Руковод- ствуясь такой логикой, покупатель подал встречный иск с требованием признать оговорку ничтожной на основании ст. 168, 169 ГК РФ. Тем не менее суд удовлетворил пер- воначальные исковые требования в пол- ном объеме с ссылкой на ст. 309, 310, 393 ГК РФ. В этом деле договорная оговорка о возмещении убытков в размере назна- ченного административного штрафа ока- залась эффективным механизмом. На мой взгляд, подобным образом свои права может защищать и оператор ПДн. Однако этот механизм может быть реализован исключительно в судебном порядке. Нужно принимать во внимание, что в случае отказа в удовлетворении исковых требований, например, из-за некачественной проработки договора права оператора ПДн останутся неза- щищенными. Возмещение потерь Еще один гражданско-правовой меха- низм воздействия на обработчика – это заключение соглашения, предусматри- вающего обязанность возместить иму- щественные потери оператора ПДн в случае назначения административного штрафа (п. 1 ст. 406.1 ГК РФ). Такое соглашение можно включить в договор с обработчиком, однако сфор- мулировать его следует ясно и недву- смысленно. В противном случае поло- жения ст. 406.1 ГК РФ не будут подле- жать применению (п. 17 постановления Пленума ВС РФ от 24.03.2016 № 7). Заверения об обстоятельствах В поручении на обработку ПДн должна быть установлена обязанность обработ- чика по запросу оператора в течение срока действия поручения, в том числе до обработки ПДн, предоставлять доку- менты и иную информацию, подтвер- ждающие принятие мер и соблюдение требований, установленных в соответ- ствии со ст. 6 № 152-ФЗ. Предоставление соответствующей информации может быть оформлено как заверение об обстоятельствах (п. 1 ст. 431.2 ГК РФ). Решается это посред- ством юридической техники с корректи- ровками бизнес-процесса (например, введением опросных листов). Если обработчик предоставил недо- стоверные сведения о принятии необхо- димых мер, то на основании п. 1 ст. 431.2 ГК РФ он обязан по требованию опера- тора ПДн возместить убытки или упла- тить предусмотренную договором неустойку. Итоги наблюдений Отдельного штрафа за утечку ПДн нет. В случае таковой оператор привле- кается к ответственности за невыполне- ние требований № 152-ФЗ. Рано или поздно серьезные штрафы непосредственно за утечки ПДн будут введены. При этом изменений в мето- дике доказывания нарушений Роском- надзором не предполагается, за исклю- чением введения механизма админи- стративных расследований. Главные доказательства факта непра- вомерной или случайной передачи ПДн или неправомерной передачи ПДн в результате компьютерного инцидента – признание оператора в этом, а также итог сравнения "утекших" данных с дан- ными в ИСПДн в рамках внеплановой проверки. Защита данных в соответствии с тре- бованиями ФСТЭК и (или) ФСБ не исклю- чает и не смягчает наказание за непра- вомерную или случайную передачу ПДн. Но самое главное – уже сейчас сле- дует особое внимание уделять поруче- ниям обработки ПДн, в том числе пред- усматривать механизмы возмещения имущественных потерь оператора в слу- чае утечек по вине обработчика. l • 53 Защита персональных данных www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 https://base.garant.ru/39248306/ Фото: pxhere.com