Ужесточение ответственности за утечки персональных данных: к чему стоит готовиться бизнесу
Всеобщий тренд на цифровизацию требует сбора и обработки больших объемов персональных данных пользователей, но обратной стороной этого процесса является большое число утечек. Причины максимально разнообразны: от кибератак и мошеннических действий до неосторожности сотрудников или подрядчиков оператора. По данным InfoWatch, в прошлом году по количеству утечек персональной информации Россия находилась на втором месте после США, и на проблему обратило внимание государство. О том, как усиление ответственности операторов скажется на статистике соответствующих судебных споров, рассказывает партнер, глава практики коммерческих споров и групповых исков LEVEL Legal Services Виктор Домшенко.
С 11 декабря прошлого года в Уголовном кодексе действует новая статья 272.1 за незаконные использование, передачу, сбор или хранение персональных данных, максимальное наказание по которой составляет до десяти лет лишения свободы. Увеличить срок наказания может установленный факт трансграничной передачи незаконно распространенных данных. Прежде всего новая норма направлена против хакеров, однако не ясно, можно ли привлечь к ответственности по этой статье и сотрудников компании, если допущенная ими рабочая небрежность привела к утечке информации.
Операторы, у которых происходят утечки, как правило, инициируют возбуждение уголовных дел. Ранее в зависимости от обстоятельств деяние квалифицировалось по ч. 1 ст. 137 (нарушение неприкосновенности частной жизни), ч. 3 ст. 272 (неправомерный доступ к компьютерной информации) либо по ч. 2 ст. 273 Уголовного кодекса (создание, использование и распространение вредоносных программ). Теперь же к этим составам добавился новый. И если в первых двух статьях четко сказано, что они не применяются при вменении ст. 272.1, то каким образом между собой соотносятся ч. 2 ст. 273 и новый состав статьи 272.1 и могут ли они образовывать совокупность преступлений, еще только предстоит разобраться.
Минимальный размер штрафа, который юридические лица могут заплатить сегодня за утечку данных, составляет всего 60 тыс. руб., но с 30 мая этот порог составит уже 3 млн руб. Изменится и максимальный порог штрафа за повторную утечку — с 300 тыс. руб. он возрастет до 500 млн руб. Размер штрафа также приобретает прямую зависимость от объема утечки и типа данных, неправомерно распространяемых оператором. Самый чувствительный, а потому и самый дорогой тип данных — биометрические. Если утечка данных произошла впервые, штраф составит от 15 млн до 20 млн руб., при повторной утечке штраф составит 1–3% от выручки оператора, но не менее 25 млн руб.
Мнение
Леонид Эрвиц, управляющий партнер, глава корпоративной практики LEVEL Legal Services:
При текущих размерах штрафов операторы далеко не всегда направляли существенные ресурсы на улучшение процессов сбора, использования и обеспечения технической защиты персональных данных, а также судебное сопровождение споров, связанных с утечками. Изменения в уголовном законодательстве и законодательстве об административных правонарушениях наверняка приведут к серьезной трансформации подходов: и превентивных, то есть направленных на улучшение процессов внутри компаний для минимизации риска утечек, и к тому, что операторы будут иначе подходить к ведению судебных споров из-за утечек.
Можно ожидать, что при совершении сделок M&A стороны также будут учитывать эти новые риски — прежде всего риски высоких административных штрафов и групповых исков, связанных с утечками данных. Поэтому корпоративные юристы, вероятно, начнут включать новые формулировки, касающиеся обработки персональных данных, в разделы о заверениях об обстоятельствах и обязательствах о возмещении имущественных потерь, рекомендовать клиентам закладывать данные риски в цену сделок, а также более детально анализировать вопросы обработки персональных данных при проведении юридического due diligence.
Оператор и сейчас обязан уведомлять Роскомнадзор об утечках — в течение суток после происшествия и повторно в течение 72 часов. Теперь же за отсутствие или несвоевременное уведомление органа об утечке вводится специальный состав административного правонарушения с санкцией для юридических лиц от 1 млн до 3 млн руб. Ответственность за произошедшую повторную утечку может быть снижена на 90%, но в любом случае ее размер составит от 15 млн до 50 млн руб. Правда, для этого должны выполняться следующие условия: ежегодные расходы оператора на информационную безопасность — не менее 0,1% от его годовой выручки, оператор в течение года до привлечения к ответственности соблюдал требования к защите персональных данных, у оператора нет отягчающих обстоятельств.
Если уголовную и административную ответственность несут перед государством, то гражданскую — непосредственно перед потерпевшими. Наиболее распространенным требованием пользователей к оператору является компенсация морального вреда, в редких случаях — требование об убытках.
Анализ судебной практики показывает, что пользователь обычно добивается компенсации морального вреда в размере не более 5–10 тыс. руб.— немногие готовы тратить время на суды из-за столь небольшой суммы. Однако существует инструмент, способный объединить потерпевших в одном деле,— это групповой иск. Он активно используется в ряде стран, в том числе в связи с утечками данных. К примеру, в США компания Eqifax, потерявшая около 150 млн записей, выплатила по групповому иску $380 млн согласно условиям мирового соглашения, а компания T-Mobile, допустившая утечку около 77 млн записей, согласилась выплатить $350 млн.
В России групповые иски только набирают обороты, в том числе по обсуждаемой категории дел: иски об утечке персональных данных уже подавались к компаниям «Яндекс Еда» и СДЭК. Несмотря на то что в России более популярна публичная ответственность, можно ожидать, что групповых исков станет больше.
