Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
Денис Лукаш, 21/02/24
В связи с тенденцией увеличения количества случаев утечек персональных данных продолжается активное обсуждение ужесточения мер ответственности операторов ПДн. На каких основаниях операторы ПДн привлекаются к ответственности в таких ситуациях и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
Автор: Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
В 2023 г. Роскомнадзор зафиксировал 168 случаев утечек персональных данных, в результате которых в Интернет попали порядка 300 млн записей.
Что обязан делать оператор в случае утечки ПДн?
В терминологии российского законодателя "утечка ПДн" – это неправомерная или случайная передача ПДн, повлекшая нарушение прав субъектов ПДн (ч. 3.1. ст. 21 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ) или неправомерная или случайная передача ПДн в результате компьютерного инцидента (ч. 12 ст. 19 № 152-ФЗ).
В случае установления факта такой неправомерной или случайной передачи ПДн оператор обязан уведомить Роскомнадзор.
В течение 24 часов:
- о произошедшем инциденте;
- о предполагаемых причинах, повлекших нарушение прав субъектов ПДн;
- о предполагаемом вреде, нанесенном правам субъектов ПДн;
- о принятых мерах по устранению последствий соответствующего инцидента;
- о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
В течение 72 часов:
- о результатах внутреннего расследования выявленного инцидента;
- о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Порядок уведомления и конкретные требования к его содержанию установлены приказом Роскомнадзора от 14.11.2022 № 187.
Кроме того, на оператора ПДн возложена обязанность информировать ГосСОПКА о компьютерных инцидентах, повлекших неправомерную передачу ПДн (ч. 12 ст. 19 № 152-ФЗ).
Для большинства операторов персональных данных это взаимодействие осуществляется через Роскомнадзор.
Какие штрафы предусмотрены за неправомерную или случайную передачу ПДн?
Отдельного штрафа за утечку ПДн не существует. К административной ответственности оператора привлекают за нарушение № 152-ФЗ, повлекшее неправомерную или случайную передачу ПДн.
Поскольку прямой ответственности за утечки пока нет, основание для привлечения к ответственности и вменяемая статья закона могут различаться:
- за нарушение ч. 1 ст. 18.1 № 152-ФЗ – ч. 1 ст. 13.11 КоАП РФ;
- за нарушение ст. 10.1 № 152-ФЗ – ч. 2 ст. 13.11 КоАП РФ.
Известен также случай назначения административного штрафа по инициативе прокуратуры по ч. 3 ст. 13.11 КоАП РФ (дело № 5-348/4/2023).
На данный момент минимальный размер штрафа за утечку ПДн для юридических лиц составлял 30 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).
Однако если будет принят законопроект № 502113-8, то размер штрафов существенно возрастет:
- в зависимости от объема и категории "утекших" ПДн максимальный размер штрафа может достигать 15–20 млн руб.;
- за повторные случаи неправомерной или случайной передачи ПДн или передачи ПДн в результате компьютерного инцидента предполагается наложение штрафа в диапазоне 0,1–3% выручки (но не менее 15 млн и не более 500 млн руб.
При каких обстоятельствах суды оштрафуют оператора ПДн за утечки?
Доказывание факта неправомерной и (или) случайной передачи ПДн, по моим наблюдениям, основывается:
- на признании оператором ПДн факта утечки (оно может быть представлено уведомлением о факте неправомерной или случайной передачи данных);
- на сведениях, собранных во время внеплановой проверки Роскомнадзора.
Например, в деле № 05-0450/347/2023 [2] именно по итогам внеплановой выездной проверки было установлено нарушение оператором ст. 10.1 № 152-ФЗ. Оно выразилось в предоставлении неправомерного доступа к ИСПДн и повлекло распространение ПДн работников в Интернете. Как следует из решения суда, факт умышленного распространения баз данных компании значения не имел. Оператор был признан виновным в совершении правонарушения по ч. 2 ст. 13.11 КоАП РФ.
По итогам анализа могу отметить, что наказание следует за любую передачу, если она носит неправомерный характер.
Так, в деле № 05-0470/456/2023 утечкой была признана публикация ПДн работников на сайте работодателя без согласия на распространение в случае иных оснований для обработки ПДн. Оператор был привлечен к ответственности на основании ч. 2 ст. 13.11 КоАП РФ.
Любопытно, что в этом деле направление в Роскомнадзор уведомления о факте неправомерной передачи данных было оценено судом как обстоятельство, смягчающее административную ответственность, а также уведомление было направлено при наличии всего двух "утекших" записей.
Оператор ПДн может быть привлечен к ответственности вне зависимости от количества "утекших" записей, а утечка всего лишь двух записей может не рассматриваться как смягчающее обстоятельство.
Как суды оценивали построение технической защиты персональных данных?
В судебных решениях отсутствовала информация об оценке применяемых мер защиты, в том числе не встречалось упоминание:
- Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05 февраля 2021 г.;
- Требований по защите персональных данных, утвержденных приказом ФСТЭК от 18 февраля 2013 г. № 21 и приказом ФСБ от 10 июля 2014 г. № 378.
Даже при наличии таких упоминаний рынок технологий защиты персональных данных не имеет массовых доступных решений и пока остается экспертной сферой.
Кто несет ответственность за утечку ПДн, случившуюся по вине контрагента?
Обработчик (лицо, осуществляющее обработку ПДн по поручению оператора) – это лицо, которое не имеет собственных законных заранее определенных целей перед субъектом ПДн и действует по поручению оператора на обработку.
Например, обработчиками ПДн могут быть внешняя бухгалтерия, провайдер хостинга, SaaS-сервис и пр.
За действия обработчика-контрагента ответственность несет оператор ПДн (ч. 3, ч. 5 ст. 6 № 152-ФЗ). Роскомнадзор подтвердил эту позицию. Тем не менее оператор ПДн может воздействовать на лицо, которому он поручил обработку, различными гражданско-правовыми механизмами.
Если оператор оштрафован за действия обработчика, каким образом возможно взыскать эту сумму с последнего?
По итогам анализа судебной практики могу предложить три варианта ответа на поставленный вопрос.
Возмещение убытков
Оператор вправе включить в договор с обработчиком положение, в соответствии с которым последний обязан возместить убытки в случае нарушения № 152-ФЗ и привлечения оператора к ответственности на этом основании. В судебной практике встречаются споры, аргументация сторон которых может быть применима по аналогии и в рассматриваемой ситуации.
Так, в деле № А65-19461/2016 [3] компания-поставщик обратилась в суд с иском о взыскании с контрагента убытков в связи с наложением штрафа по ч. 10. ст. 12.21.1 КоАП РФ. Договор поставки между истцом и ответчиком содержал оговорку о возмещении убытков в размере назначенных административных штрафов.
Однако ответчик полагал, что спорное положение договора противоречит основам российского правопорядка, поскольку позволяет покупателю беспрепятственно нарушать законодательство и перекладывает административную ответственность на другое лицо. Руководствуясь такой логикой, покупатель подал встречный иск с требованием признать оговорку ничтожной на основании ст. 168, 169 ГК РФ.
Тем не менее суд удовлетворил первоначальные исковые требования в полном объеме с ссылкой на ст. 309, 310, 393 ГК РФ.
В этом деле договорная оговорка о возмещении убытков в размере назначенного административного штрафа оказалась эффективным механизмом. На мой взгляд, подобным образом свои права может защищать и оператор ПДн.
Однако этот механизм может быть реализован исключительно в судебном порядке. Нужно принимать во внимание, что в случае отказа в удовлетворении исковых требований, например, из-за некачественной проработки договора права оператора ПДн останутся незащищенными.
Возмещение потерь
Еще один гражданско-правовой механизм воздействия на обработчика – это заключение соглашения, предусматривающего обязанность возместить имущественные потери оператора ПДн в случае назначения административного штрафа (п. 1 ст. 406.1 ГК РФ).
Такое соглашение можно включить в договор с обработчиком, однако сформулировать его следует ясно и недвусмысленно. В противном случае положения ст. 406.1 ГК РФ не будут подлежать применению (п. 17 постановления Пленума ВС РФ от 24.03.2016 № 7).
Заверения об обстоятельствах
В поручении на обработку ПДн должна быть установлена обязанность обработчика по запросу оператора в течение срока действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований, установленных в соответствии со ст. 6 № 152-ФЗ.
Предоставление соответствующей информации может быть оформлено как заверение об обстоятельствах (п. 1 ст. 431.2 ГК РФ). Решается это посредством юридической техники с корректировками бизнес-процесса (например, введением опросных листов).
Если обработчик предоставил недостоверные сведения о принятии необходимых мер, то на основании п. 1 ст. 431.2 ГК РФ он обязан по требованию оператора ПДн возместить убытки или уплатить предусмотренную договором неустойку.
Итоги наблюдений
Отдельного штрафа за утечку ПДн нет. В случае таковой оператор привлекается к ответственности за невыполнение требований № 152-ФЗ.
Рано или поздно серьезные штрафы непосредственно за утечки ПДн будут введены. При этом изменений в методике доказывания нарушений Роскомнадзором не предполагается, за исключением введения механизма административных расследований.
Главные доказательства факта неправомерной или случайной передачи ПДн или неправомерной передачи ПДн в результате компьютерного инцидента – признание оператора в этом, а также итог сравнения "утекших" данных с данными в ИСПДн в рамках внеплановой проверки.
Защита данных в соответствии с требованиями ФСТЭК и (или) ФСБ не исключает и не смягчает наказание за неправомерную или случайную передачу ПДн.
Но самое главное – уже сейчас следует особое внимание уделять поручениям обработки ПДн, в том числе предусматривать механизмы возмещения имущественных потерь оператора в случае утечек по вине обработчика.