С 30 мая административная ответственность за утечки персональных данных станет намного суровее. Другой важной поправкой будет изменение компетентного суда: сейчас эти дела рассматривают мировые судьи, будут — арбитражные суды. Поэтому интересно рассмотреть, какая судебная практика сформирована сейчас и будут ли такие подходы распространены на новые дела. Об этом рассуждают Виктор Домшенко, партнер, глава практики коммерческих споров и групповых исков LEVEL Legal Services, и Артем Сабиров, юрист LEVEL Legal Services.
Мы изучили судебные акты более чем по 100 делам в судах общей юрисдикции в связи с крупными утечками данных за последние два с половиной года. Вывод для операторов неутешительный: в 96% случаев их привлекают к административной ответственности. Это исследование показывает и другие интересные детали, которые стоит учитывать операторам при утечках персональных данных.
Ответственность для юридических лиц за первую утечку сейчас составляет от 60 000 до 100 000 руб., за повторную — до 300 000 руб. Такой размер штрафа во многом влияет на то, сколько ресурсов компания потратит на сопровождение административного дела в связи с утечкой. Когда компания признает вину в самом факте утечки, желание нести расходы на сопровождение дела стремятся к нулю: нет смысла проводить дорогостоящие технические исследования, нанимать консультантов по информационной безопасности и ведущих литигаторов. В этом случае разумно обойтись «малой кровью», то есть ресурсами внутренних служб, поскорее получить и уплатить штраф и в идеале — по нижней границе.
Есть корреляция между признанием вины и размером вменяемого операторам штрафа: тем, кто признавал вину, назначали штраф в размере ниже низшего предела в 15% случаев, то есть в пять раз чаще, чем тем, кто вину не признал.
В свою очередь, операторы, которые не признавали вину, на 5% реже получали минимальный штраф, а в 17% случаев их подвергали штрафу выше минимального, притом что при признании вины штрафы выше 60 000 руб. вообще не назначали.
Независимо от того, признал ли оператор вину или нет, вероятность применения к нему предупреждения одинаковая. Можно предположить, что определяющим фактором для применения к оператору предупреждения выступает вывод о несущественности конкретной утечки.
Исследование показывает, что безотносительно к обстоятельству признания операторами вины их ответственность распределялась следующим образом:
В 75% случаев суды назначают минимальное наказание (60 000 руб.), в 10% случаев — даже ниже низшего предела (30 000 руб.), а в 7% случаев только предупреждают нарушителя. Наказание в размере выше минимального, то есть 70 000–100 000 руб., суды сейчас назначают крайне редко — лишь в 7% случаев.
Признание операторами вины, сравнительно низкий размер штрафа, частое назначение минимального штрафа привели к формированию парадигмы, что если уполномоченный орган возбуждает такое дело, то оператор — правонарушитель. И чтобы опровергнуть это, операторы должны приложить несоразмерные сумме возможного штрафа усилия, что нерационально как минимум экономически. От этого и дела сопровождаются операторами вполноги. Итог для операторов удручающий: в 96% они проигрывают такие споры.
В 2% случаев суды хотя и констатировали наличие состава правонарушения, тем не менее освобождали операторов от ответственности ввиду малозначительности, не установив существенного нарушения охраняемых общественных отношений.
Например, в постановлении мирового судьи судебного участка № 456 Даниловского района Москвы от 30 ноября 2023 года по делу № 05-1415/456/2023 малозначительность была обоснована следующими факторами:
малый размер утечки (всего одна запись);
персональные данные были опубликованы в течение трех минут и не представлены доказательства, что их кто-либо скопировал.
И лишь в 2% случаев суды согласились, что операторы не допускали правонарушений, и прекратили производство по делу. Рассмотрим два таких примера.
Дела в связи с утечками персональных данных в «АльфаСтраховании» (№ 05-1048/244/2023) и «Спортмастере» (№ 05-0309/52/2023) разрешены вопреки мейнстриму — они были прекращены в связи с отсутствием состава административного правонарушения. Причем не из-за того, что факты утечек не подтвердились, а потому, что операторы смогли убедить суд в совершении ими всех возможных и разумных действий до и после утечек.
Какие именно мероприятия совершали операторы до утечек — в судебных актах не отражено; сказано лишь, что требования, предусмотренные ФЗ № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, операторы выполнили своевременно и в полном объеме. Однако важно, что суды исследовали этот вопрос и операторы, как можно понять, представили доказательства выполнения всех необходимых мер и действий.
Более интересно, что операторы сделали после состоявшихся утечек. Они:
прекратили доступ к скомпрометированной базе данных;
изменили пароль технологической учетной записи, с использованием которой реализована несанкционированная выгрузка информации;
сбросили пароли пользователей;
привлекли консультантов по информационной безопасности;
инициировали возбуждение уголовного дела по признакам преступления, предусмотренного ч. 3 ст. 272 УК («Неправомерный доступ к компьютерной безопасности»). Важно, что с декабря 2024 года введен новый специальный состав — ст. 272.1 УК.
Исходя из совокупности всех обстоятельств в обоих делах, суды пришли к выводу об отсутствии состава административного правонарушения.
23% постановлений о привлечении к административной ответственности были обжалованы операторами в апелляцию (районный суд). Но только 9% апелляционных жалоб были полностью или частично удовлетворены.
9% постановлений о привлечении к административной ответственности были обжалованы операторами в кассационный суд. Но в нашей выборке нет ни одного дела, где бы оператору удалось отменить постановление о привлечении к ответственности в суде кассационной инстанции.
Оператор обязан уведомить уполномоченный орган об утечке (ч. 3.1 ст. 21 закона «О персональных данных»). С 30 мая вводится новый состав административного правонарушения — за отсутствие или несвоевременное уведомление уполномоченного органа об утечке. Хотя, судя по мировому тренду, операторы часто не уведомляют уполномоченные органы об утечках, текущая российская судебная практика показывает, что 82% операторов уведомления направляли.
Если такая ситуация сохранится и после 30 мая, то 18% операторов, которые не уведомили РКН об утечке, могут привлечь к административной ответственности по новому составу, а это от 1 до 3 млн руб. Такое нарушение считается самостоятельным; по нему проводится отдельное административное производство, применяются смягчающие и отягчающие обстоятельства и положения о давности привлечения к ответственности.
Сейчас операторы склонны чаще признавать вину, а суды, в свою очередь, привлекают их к минимальному размеру административной ответственности, а иногда даже ниже минимального. Эта ситуация, весьма вероятно, сильно изменится после 30 мая. С учетом существенных штрафов — от 3 до 15 млн руб. за первую утечку и оборотный штраф в размере 20–500 млн руб. за повторную — операторы едва ли будут так легко признавать вину и довольствоваться быстрым производством и штрафами по нижнему пределу. Такие штрафы станут чувствительными даже для самых крупных игроков рынка.
Существующие закономерности и подходы в судах общей юрисдикции вряд ли сохранятся после вступления в силу нового регулирования о рассмотрении дел арбитражными судами. Более вероятно, что операторы значительно изменят стратегию ведения судебных разбирательств: будут спорить о факте, объеме, дате утечки, типе данных и других важных обстоятельствах спора и активно пользоваться различными средствами доказывания (заключения специалистов, компьютерно-технические экспертизы), привлекать консультантов для ведения таких споров. Если эта гипотеза оправдается, количество дел в пользу операторов должно вырасти.