Как штрафуют за нарушения в работе с персональными данными

В последнее время тема штрафов за нарушения в обработке персональных данных набирает обороты: санкции ужесточились, а контролирующие органы стали активнее. Разберёмся, как Роскомнадзор узнаёт о нарушениях, на что обращают внимание суды при привлечении к административной ответственности за нарушения правил работы с персональными данными (ПДн), и как минимизировать риски.

По инициативе граждан

Анализ судебной практики показывает, что сегодня дела о привлечении к административной ответственности за нарушение правил обработки ПДн чаще всего возбуждаются:

1) по заявлениям граждан;

2) после публикаций новостей об утечках персональных данных.

Интерес граждан к таким делам объясняется возможностью взыскания компенсации морального вреда с оператора данных при доказанности нарушения. Например, после утечки базы данных пользователей сервиса «Яндекс.Еда» в московских судах рассматривалось около 20 исков о компенсации, однако, как правило, суммы выплат не превысили 5 000 рублей.

Какие доказательства принимает суд

Стандарт доказывания по таким делам относительно невысок. Суды обычно отклоняют доводы защиты о недостаточности доказательств, подтверждающих факт административного правонарушения. Это связано, в частности, с особенностями цифровых доказательств - вопрос об их допустимости остаётся на усмотрение суда.

Примеры из практики:

- В деле о нарушении правил локализации обработки данных иностранной соцсети (Решение Таганского районного суда г. Москвы № 12-0449/2020 от 16.03.2020) суд ограничился документами контролирующего органа и объяснениями ответчика.

- В другом случае (Постановление мирового судьи уч. № 101 по г. Москве № 5-413/2022 от 21.04.2022) достаточными оказались протокол об административном правонарушении, скриншоты сайта и пояснения юрлица.

- Иногда суды учитывают протоколы осмотра информационных систем и опросов (Решение Басманного районного суда г. Москвы № 12-701/24 от 12.03.2024).

Попытки переложить ответственность на сотрудников

Юридические лица часто пытаются избежать ответственности, ссылаясь на вину конкретных сотрудников. Однако судебная практика показывает неэффективность такого подхода.

Яркий пример - дело об утечке данных «Яндекс.Драйв». Суд не принял аргумент о вине сотрудника, указав, что юридическое лицо обязано доказать:

- принятие всех необходимых мер для предотвращения нарушений;

- соблюдение требований законодательства;

- отсутствие объективных препятствий для выполнения установленных обязанностей (Решение Басманного районного суда г. Москвы № 12-1970/24 от 14.05.2024).

Подводя итог, хотелось бы выразить надежду на то, что изменения в законодательство о персональных данных будут направлены на стимулирование соблюдения прав субъектов персональных данных и применение эффективных способов защиты и безопасности данных, на замену штрафов - предписаниями и устранением нарушений в рамках исполнения функций контрольно-надзорными органами.