Обработка персональных данных в России: судебная практика и правовое регулирование

Исследование RTM Group

Выводы

  1. Количество судебных дел, связанных с ПДн, выросло на 21%: в период с 01.01.2022 по 01.07.2022 (6 месяцев) было вынесено 4 855 судебных актов, за аналогичный период 2023 года вынесено уже 5 875 судебных актов.
  2. Основная категория, в которой встречаются персональные данные — банкротство: 57% дел за период в 2022 году, 76% — за период в 2023.
    В рамках этого сегмента рассматриваются вопросы предоставления персональных данных финансовому управляющему, обоснованности обработки тех или иных ПДн в рамках процедуры банкротства, обнародование данных, полномочия в отношении действий с ПДн. Другими категориями являются: гражданские дела (в 2022 г. – 25% судебных актов, в 2023 г. – 18%), административные споры (в 2022 г. – 18%, в 2023 г. – 14%).
  3. Ожидается дальнейшее распространение судебной практики и практики РКН в сфере ПДн, особенно в рамках административной и материальной ответственности. Законодательство ужесточается, требования усложняются (новые правила обработки биометрии, порядка уничтожения ПДн, правил трансграничной передачи данных,
    и тд).
  4. Согласно данным Роскомнадзора, значительно растет количество операторов ПДн, внесенных в реестр Операторов ПДн. На 41 % увеличилось количество операторов ПДн (реестр Операторов ПДн): с 15 178 в конце первого полугодия 2022 года до 21 360 в конце первого полугодия 2023. За полгода 2022 года была внесена 631 запись в реестр, а за полгода 2023 года уже 1 152, то есть почти в 2 раза больше.
  5. Политическая обстановка в мире повлияла на регламентацию работы с ПДн. В частности, это сказывается на трансграничной передаче ПДн. Основное в данном сегменте:
    • За нарушение требования о локализации баз данных при обработке ПДн граждан РФ сразу назначается административный штраф в качестве наказания, а не предупреждение;
    • К персональным данным относят максимально широкий перечень информации, в том числе: данные о логах, файлы cookies, платежные данные, информацию об использовании, о контенте, об устройстве и т.п;
    • Штрафы за нарушение трансграничной передачи назначаются довольно высокие. Средняя сумма штрафа за первое нарушение составила около 1,5 млн рублей. Штраф за повторное нарушение крупной площадкой достигает порядка 17–18 млн рублей.
      К примеру:

      • Сервис Speedtest, Snapchat: штраф 1 000 000 рублей;
      • Сервис Apple: штраф 2 000 000 рублей;
      • Facebook*: штраф 17 000 000 рублей;
      • WhatsApp: штраф 18 000 000 рублей.
    • В 2022-2023 гг. за нарушение локализации баз данных в РФ были привлечены известные иностранные компании: Airbnb, Apple, WhatsApp, Hotels.com, Snapchat, Speedtest, myheritage.com, Likee (сервис коротких видеороликов, аналог Tiktok), Freelancer.соm (австралийский портал по работе с фрилансерами).
  6. «Внутри» РФ одним из самых значимых нарушений является допущение утечки ПДн. Однако штрафы значительно ниже, чем за отсутствие локализации баз данных в РФ в связи с текущим законодательством.
    • Средний штраф, назначенный крупным компаниям, таким как Яндекс.Еда, Образовательные Технологии Яндекса, Skyeng, Ингосстрах, Высшая школа экономики, Тинькофф банк, у которых произошли утечки ПДн в 2022–2023 гг., достиг 60 000 рублей.
    • Планируется ужесточение законодательства и введение оборотных штрафов. Для оборотных штрафов за утечки персональных данных могут быть установлены пределы от 5 млн до 500 млн руб., что увеличивает размер штрафов сразу в тысячи раз (максимальный размер штрафа за утечки тогда возрастает в 1 667 раз). Сейчас максимальный штраф для ЮЛ — 100 000 рублей, за повторное нарушение — 300 000 рублей.
  7. Отдельные выводы судебной практики по сферам:
    • Обработка ПДн финансовыми организациями (банками, некредитными финансовыми организациями):
      • От банков и иных финансовых организаций требуется особая осмотрительность в отношении ПДн своих клиентов;
      • Финансовые организации должны особое внимание уделить заключению договоров через Интернет, проверке личности клиента и наличию волеизъявления на заключение договора и согласия на обработку персональных данных. Если произойдет инцидент и не были соблюдены формальности, суд признает, что компания не проявила предусмотрительность в проверке. Фиктивный договор будет признан недействительным, бремя возмещения убытков перейдет на организацию;
      • Отдельного согласия на передачу ПДн не требуется при передаче ПДн для взыскания задолженности по кредитному договору. При этом должны быть переданы только необходимые для взыскания задолженности данные, и только уполномоченным на то организациям.
    • Обработка ПДн в рамках трудовых отношений:
      • Важно получить письменное согласие сотрудников на обработку ПДн, а также разработать ряд документов, в которых детально регламентировать работу с ПДн в компании. Это касается в том числе и действий с ПДн и после увольнения сотрудников. В ином случае работник (или бывший работник) может обратиться в РКН или в суд с жалобой на нарушение прав субъекта ПДн;
      • Нельзя передавать без согласия или других правовых оснований ПДн, даже если это касается судебного спора (спор об алиментах);
      • Особое внимание нужно уделить биометрическим данным (изображение, голос, отпечатки пальцев), особенно с последними нововведениями по ЕБС. По общему правилу, для использования биометрической системы пропусков, а также для учета рабочего времени с ее помощью, необходимо получить письменное согласие работников. Исключение: цели безопасности в сфере объектов критически важной инфраструктуры (требования по закону).
    • Обработка ПДн в сети Интернет:
      • Самыми частыми являются нарушения: отсутствие или неправильное оформление документов на обработку ПДн (пользовательского соглашения, согласия на обработку, согласия на распространение ПДн);
      • Отдельное согласие должно быть получено для рекламной рассылки. Само по себе принятие условий обработки персональных данных не свидетельствует о наличии согласия на получение рекламной информации;
      • Персональные данные могут быть неправомерно разглашены не только в текстовом варианте, но и в видео (пример нарушения ПДн на видео в YouTube);
      • Отдельного согласия на распространение ПДн не требуется, если речь идет о размещении данных о медицинском работнике, о его профессиональной деятельности, а также отзывов пациентов на официальном сайте медицинской организации.

 

Введение

Данный отчет содержит анализ законодательства и судебной практики по делам, связанным с обработкой персональных данных в РФ. Был подготовлен обзор по законодательному регулированию работы с ПДн, в том числе последним нововведениям, а также спорным и проблемным моментам судебной практики и регулирования РКН.

Отчет был подготовлен экспертами юридического департамента компании RTM Group.

RTM Group (https://rtmtech.ru/) — группа экспертных и юридических компаний, специализирующихся на правовых и технических вопросах в области информационных технологий и информационной безопасности. Первый на российском рынке исполнитель судебных нормативно—технических ИТ и ИБ экспертиз.

Методика

В целях подготовки настоящего отчета проанализированы данные из опубликованных актов судов общей юрисдикции и арбитражных судов (sudact.ru, Caselook, Консультант Плюс, Гарант) и сведения, полученные из иных источников (разъяснения Роскомнадзора, законопроекты, новостные порталы).

Анализ судебной практики проведен по опубликованным данным, доступным по состоянию на 05.07.2023 года.

Статистика основывается исключительно на анализе судебных актов судов общей юрисдикции. При этом акты и решения, изготовленные, но не опубликованные до 05.07.2023 года или измененные после 05.07.2023 года, а также решения арбитражных судов в общую статистику не включены.

Дела были проанализированы и включены в статистику исследования на основе следующих критериев:

  1. В судебном акте по делу имеются ссылки на Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  2. Текст документа содержит ключевые слова: «персональные данные»; «утечка данных»;
  3. Принадлежит к таким категориям дел, как:
    • Банкротство;
    • Административные правонарушения;
    • Гражданские дела.

Каждое дело проанализировано экспертами RTM Group на предмет соответствия критериям и в целях выявления выводов и тенденций регулирования.

Цель исследования

Провести обобщение положений законодательства и судебной практики по обработке ПДн, проанализировать основные подходы судов к разрешению споров, а также выявить риски при работе с ПДн в разных сферах разными компаниями и сервисами.

IP

Расширенная версия настоящего отчета подготовлена для внутреннего использования компанией RTM Group и имеет отметку «ДСП».

Настоящий отчет является сокращенной версией и может быть использован неограниченным кругом лиц в научных, учебных, практических, полемических целях.

В случае использования данных из отчета третьими лица обязательна ссылка на источник.

 

Основная часть. I. Правовое регулирование обработки ПДн

Правовая база регулирования персональных данных достаточно обширна. Основным актом, конечно, является Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», но также существует еще ряд законов, подзаконных и иных актов, касающихся сферы ПДн:

  • Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ № 687 от 15.09.2008 (687–П);
  • Приказ ФСТЭК № 21 от 18 февраля 2013г. — «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (ФСТЭК России, 2008 г.);
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (от 15 февраля 2008 г.);
  • Банк данных угроз безопасности информации (ФСТЭК);
  • ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008;
  • ГОСТ РИСО/МЭК 27002–2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности»;
  • И др.

Персональными данными может быть признана любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Однозначно сказать, что является персональными данными, нельзя. Состав ПДн определяется в каждом конкретном случае и в сочетании с другими сведениями. Проверяется, насколько та или иная информация позволяет определить конкретного человека. ПДн могут быть как ФИО, паспортные данные, ИНН, и т.д., так и платежные данные, данные о подключениях в сети Интернет, местоположении и т.д. Часто по поводу отнесения тех или иных данных к ПДн возникают споры, которые становятся предметом разрешения суда.
Последней тенденцией в сфере персональных данных, несомненно, является ужесточение регулирования обработки различных категорий ПДн, а также ограничения трансграничного обмена данных, на что не могла не повлиять текущая обстановка в мире. Крайние изменения вступили в силу 1 марта 2023 года:

  • Операторам подтверждать уничтожение персональных данных нужно будет в соответствии с требованиями, установленными Роскомнадзором. То, каким должен быть акт об уничтожении, говорится в Приказе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179;
  • Операторы должны уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных до начала этой деятельности (ст. 12 №152-ФЗ), а не по факту, как это было раньше. Теперь РКН может и отказать;
  • Роскомнадзор будет вести реестр учета инцидентов в области персональных данных;
  • Изменения сроков уведомления РКН об изменениях: если они есть, оператор обязан проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. Если обработка прекращается, то нужно уведомить в течение 10 рабочих дней с даты прекращения обработки персональных данных;
  • Оценка вреда субъектов ПДн при утечках от оператора должна производиться по приказу Роскомнадзора от 27 октября 2022 г. № 178.

Также серьезные изменения коснулись биометрических персональных данных. С 1 июня 2023 года вступил в силу ряд положений нового закона о биометрии (N 572-ФЗ от 29.12.2022 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений…»).
Теперь все организации, обрабатывающие биометрические данные (например, использующие фото лица для оформления пропусков или абонементов), должны передавать данные в ЕБС* (Единая биометрическая система) и уведомить об этом субъектов.
При этом отдельно спрашивать самих субъектов о передаче их данных в ЕБС не требуется (хотя субъект сам может подать заявление в МФЦ и отказаться). Предоставляя изображение лица/образец голоса компании, банку или работодателю, субъект автоматически передает свои данные в государственную базу, если он не откажется через МФЦ.

*
Для подключения к ЕБС компании должны получить аккредитацию в Минцифры (для этого нужен капитал в 500 млн рублей, финансовое обеспечение ответственности на 100 млн рублей, базы данных в РФ и др. требования и ограничения. Так, иностранным компаниям запрещено обрабатывать биометрию россиян). Получается, многие нефинансовые коммерческие организации не смогут ни в каком виде использовать биометрию. Пока это касается только изображения лица и голоса, но в дальнейшем возможно расширение перечня.

Таким образом, прослеживается ужесточение порядка работы с персональными данными, особенно когда это связано с передачей чувствительных сведений (биометрия), а также с иностранной передачей или риском утечек ПДн.

II. Судебная практика

В период с 01.01.2022 по 01.07.2022 (6 месяцев) было вынесено 4 855 судебных актов, связанных с обработкой персональных данных. За аналогичный период 2023 года вынесено уже 5 875 судебных актов, что демонстрирует рост судебных дел по категории ПДн на 21%.
Количество судебных актов, связанных с обработкой ПДн (в общем по всем категориям) за 2022 и 2023 года

Количество судебных актов, связанных с обработкой ПДн (в общем по всем категориям) за 2022 и 2023 года

Банкротство:

Основная категория, в которой встречаются персональные данные — банкротство (57% дел за период в 2022 г., 76% — за период в 2023).
В рамках этого сегмента рассматриваются вопросы предоставления персональных данных финансовому управляющему, обоснованности обработки тех или иных ПДн в рамках процедуры банкротства, обнародование данных, полномочия в отношении действий с ПДн.

Гражданские дела:

Следующей категорией являются гражданские споры (25% — за 7 месяцев 2022 года, 14% — за 7 месяцев 2023 года). В основном эти дела связаны с требованиями о предоставлении данных, в том числе персональных, а также заявлениями о незаконной обработке персональных данных и компенсациях за ущерб.
Конкретно касается нарушений в области работы с ПДн категория административные споры. Ответственность по ней предусмотрена ст. 13.11 КоАП РФ, и налагает штрафы. На практику значительно повлияла текущая ситуация: блокируются ресурсы, содержащие данные о военнослужащих СВО, в том числе страницы в Википедии, на других ресурсах. К примеру, Решение Анадырского районного суда (Чукотский автономный округ) от 22.06.2022 по делу № 2А-166/2022 [М-217/2022]; Решение Кировского районного суда г. Хабаровска (Хабаровский край) от 22.03.2023 по делу № 2А-541/2023 [М-348/2023] и др.
Соотношение судебных споров, связанных с обработкой ПДн за 2022 год

Соотношение судебных споров, связанных с обработкой ПДн за 2022 год

Соотношение судебных споров, связанных с обработкой ПДн за 2023 год

Соотношение судебных споров, связанных с обработкой ПДн за 2023 год

Основным регулятором в сфере ПДн является Роскомнадзор*. Важно отметить, что РКН имеет полномочия по привлечению к административной ответственности за нарушения в сфере ПДн. Эти решения можно обжаловать в суде, если заявитель считает их безосновательными или незаконным.

*
К полномочиям Роскомнадзора, в том числе, относится осуществление федерального государственного контроля (надзора) за обработкой персональных данных, обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и неопределенного круга лиц, привлечение к административной ответственности лиц, виновных в нарушении Федерального закона «О персональных данных», рассмотрение жалоб и обращений по вопросам, связанным с обработкой персональных данных, ведение реестра операторов, осуществляющих обработку персональных данных, ограничение доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

 

III. Практика Роскомнадзора

Сравнимые периоды: первое полугодие 2022 и 2023 гг. Источник: Отчёты. Результаты деятельности. Типовые нарушения, выявленные Управлением.
Количество Операторов ПДн в реестре Роскомнадзора в 2021 и 2022 годах

Количество Операторов ПДн в реестре Роскомнадзора в 2021 и 2022 годах

  1. Увеличилось количество операторов персональных данных (реестр Операторов ПДн): с 15 178 в конце первого полугодия 2022 года до 21 360 в конце первого полугодия 2023 года (на 41% больше). За полгода 2022 г. была внесена 631 запись в реестр, а за полгода 2023 г. уже 1152, то есть почти в 2 раза больше.
  2. За оба периода основные нарушения схожи:
    • Отсутствие согласия субъекта персональных данных на обработку его персональных данных;
    • Невыполнение оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ (проверка надлежащего субъекта, меры защиты ПДн и т.д.);
    • Осуществление рекламных рассылок/звонков субъекту с использованием ПДн в отсутствие правовых оснований;
    • Неправомерная обработка ПДн субъекта в сети Интернет (сбор ПДн пользователей сайта без согласия, размещение ПДн субъектов на сайте);
    • Неправомерная обработка специальных и биометрических ПДн;
    • Неправомерная обработка ПДн третьих лиц — поручители, контактные лица, партнеры;
    • Неправомерная обработка ПДн субъекта в общественных местах (подъезды жилых домов, доски объявлений СНТ);
    • Неправомерная передача данных за рубеж.
  3. Статистика из офиц. соц. сетей и представителей РКН:
    В 2022 году произошло около 150 крупных утечек персональных данных. Прошло 78 внеплановых проверок по фактам утечек, и в 87% случаев факты незаконного распространения личной информации подтвердились. В суд направили 66 протоколов об административных правонарушениях. По результатам рассмотрения суды назначили штрафы на общую сумму лишь около 1 млн рублей, а также вынесли 9 предупреждений.
    Порядка 40 крупных утечек персональных данных уже зафиксировано в России на апрель 2023 г.

 

IV. Основные тенденции судебной практики

Далее приведем данные по отдельным подкатегориям дел, показывающим тенденции в судебной практике.
Обработка ПДн иностранными организациями
Несоблюдение правил локализации баз данных в России при обработке ПДн российских граждан влечет наложение высоких штрафов. Связано это с обеспечением безопасности данных, а также с текущей политической ситуацией.

  • Постановление Судебного участка № 422 Таганского судебного района г. Москвы от 28.07.2022 по делу № 05-1344/422/2022:
    На 1 млн рублей оштрафована компания Снэп Инк. (Snap Inc.) (сервис «Snapchat») по ч. 8 ст. 13.11 КоАП РФ за невыполнение требований «о приземлении» баз данных.

В деле интересны 2 момента:

  1. Невозможность замены административного штрафа на предупреждение объясняется геополитической обстановкой и нахождением баз данных в «недружественном» государстве (США):
    • С учетом цели Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (ст. 2 Закона), геополитической обстановки и нахождения баз данных, обрабатывающих данные российских пользователей сервиса «Snapchat», на территории Соединенных Штатов Америки, включенной в соответствии с Распоряжением Правительства РФ от дата N 430-р в «Перечень иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц», судья не усматривает оснований для замены административного штрафа на предупреждение.
  2. Состав ПДн, определенный судом, включает платежную информацию, информацию об использовании, о контенте, об устройстве, фотографии, информацию о местоположении, cookies, а также информацию лога.
    • Постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу N 16-9987/2022: компания Ookla LLC (сервис Speedtest, проверка скорости Интернета) обрабатывает ПДн российских субъектов без «приземления» баз данных в РФ. На компанию также наложен штраф в размере 1 000 000 рублей.
    • Постановление Судебного участка № 422 Таганского судебного района г. Москвы от 17.01.2022 по делу № 05-0030/422/2022 (05-3419/422/2021): сервис myheritage.com (генеалогические исследования онлайн) использовал базы данных Amazon Web Services (США), за что был оштрафован на 1 500 000 рублей. Суд учел, как смягчающее обстоятельство сотрудничество с РКН и ответы на запросы.
    • Постановление Судебного участка № 422 Таганского судебного района г. Москвы от 12.07.2022 по делу № 05-1139/422/2022: компанию Apple признали виновной в совершении административного правонарушения, предусмотренного ч. 8 ст. 13.11 КоАП РФ. Назначен административный штраф размере 2 000 000 рублей.
      Юристы Apple в суде настаивали на том, что к ответственности привлекается не то лицо, которое занимается сбором данных в РФ, и просили не назначать штраф. По их данным, к суду привлечена компания Apple Inc., а за обработку данных отвечает Apple Distribution. Однако представитель Роскомнадзора заявила, что на сайте компании нет сведений о других юридических лицах, поэтому протокол был составлен верно.
    • Постановление Судебного участка № 422 Таганского судебного района г. Москвы от 28.07.2022 по делу № 05-1345/422/2022: данные российских пользователей сервиса WhatsApp обрабатываются с использованием баз данных, находящихся на территории Республики Ирландия. РКН направлял запрос WhatsApp LLC о прекращении нарушения, однако компания не отреагировала. В итоге за повторное нарушение компании назначен штраф в 18 000 000 рублей.

Признанные ПДн:

  • Регистрационные данные учетной записи (имя, номер телефона);
  • Данные о транзакциях;
  • Данные о взаимодействиях пользователей с другими пользователями, включая компании, при использовании услуг компании WhatsApp LLC;
  • Информация об устройстве пользователя;
  • IP-адрес пользователя.

В 2022–2023 гг. за такое нарушение были привлечены известные иностранные сервисные компании: Airbnb, Apple, WhatsApp, Hotels.com, Snapchat, Speedtest, myheritage.com, Likee (сервис коротких видеороликов, аналог Tiktok), Freelancer.соm (австралийский портал по работе с фрилансерами). Средняя сумма штрафа за первое нарушение составила около 1,5 млн рублей. Штраф за повторное нарушение крупной площадкой достигает порядка 17-18 млн рублей (пример Facebook* и WhatsApp).
Также в 2022 году Facebook Inc.* пытался отменить штраф в 17 млн рублей за повторное нарушение локализации баз данных, но безуспешно (Постановление Второго кассационного суд общей юрисдикции от 11.02.2022 по делу № 16-707/2022).
Согласно судебному акту, Фейсбук обрабатывает данные, которые считаются ПДн:

  • Сведения о состоянии здоровья, расовой принадлежности, религиозных убеждениях, политических взглядах, контактную информацию с мобильного устройства (включая адресную книгу, журнал вызовов), информацию о транзакциях, данные местоположения;
  • Паспортные данные (в некоторых случаях для подтверждения личности);
  • Информация о приложениях, браузерах и устройствах, которые пользователь использует для доступа к продуктам Facebook*;
  • Уникальные идентификаторы (в частности, идентификационный номер мобильного телефона пользователя), а также сведения о типе и настройках браузера и устройства.

Также компанией Facebook Inc.* осуществляется сбор и обработка данных третьих лиц, не являющихся пользователями социальной сети Facebook*.
Обработка ПДн финансовыми организациями (банками, некредитными финансовыми организациями)
От банков и иных финансовых организаций требуется особая осмотрительность в отношении ПДн своих клиентов, так как банки, являясь профессиональными субъектами, для оказания услуг собирают перечень довольно чувствительной информации.
Финансовые организации должны особое внимание уделить заключению договоров через Интернет, так как случаи взломов и мошенничеств происходят ежедневно. Последствием нарушения этой обязанности будет расторжение таких договоров, взыскание убытков и компенсация морального вреда.

  • Решение Зюзинского районного суда (Город Москва) от 24.04.2023 по делу № 02-1758/2023 [М-8517/2022]: истец через сайт Госуслуг узнал о судебном производстве против него насчет якобы заключенного договора займа. Истец никакого договора не заключал, согласия на предоставление персональных данных не предоставлял. В итоге суд удовлетворил требования истца, расторг договор и взыскал компенсацию в пользу истца.
  • Решение Пресненского районного суда (Город Москва) от 21.03.2023 по делу № 02-0522/2023 [02-9418/2022; М-8559/2022]: истец подал заявление в суд, ссылаясь на то, что неизвестные лица с использованием его личного кабинета на портале Госуслуг прошли верификацию и заключили дистанционно от его имени с договор займа, деньги по которому были переданы злоумышленникам. Суд пришел к выводу, что заемщик (ЮЛ) не удостоверился надлежащим образом в действительности и подлинности согласия истца на обработку его персональных данных и не убедился в том, что волеизъявление заключить договоры и предоставить персональные данные для их обработки и передачи исходили от надлежащего лица, то есть от самого субъекта персональных данных, что повлекло за собой последствия для истца в виде формирования негативной кредитной истории. Договор признан недействительным, средства обязали вернуть.
*
Финансовой организации не требуется отдельного согласия на распространение ПДн, если у субъекта ПДн есть задолженность. Для передачи сведений организациям по ее взысканию не требуется отдельного согласия от клиента.
  • Определение Первого кассационного суда общей юрисдикции от 07.09.2022 N 88-20395/2022 по делу N 2-998/10-2022: Банк вне зависимости от наличия согласия должника был вправе передать сведения об истце ответчику, как лицу, осуществляющему деятельность по возврату просроченной задолженности в качестве основного вида деятельности, и ответчик был вправе ее использовать в пределах, установленных законом.

Обработка ПДн в рамках трудовых отношений
Для оформления на работу, издания приказов, осуществления рабочих заданий работодателю непременно требуются данные о сотрудниках. Важно получить на их обработку согласие самих сотрудников, а также закрепить это документально и разработать ряд документов, в которых детально регламентировать работу с ПДн. Это касается, в том числе, и действий с ПДн и после увольнения сотрудников. В ином случае работник (или бывший работник) может обратиться в РКН или в суд с жалобой на нарушение прав субъекта ПДн.

  • Решение Московского районного суда (Город Санкт-Петербург) от 14.06.2023 по делу № 12-790/2023: бывший сотрудник пожаловался на неправомерную обработку ПДн в рамках расчета выплаты. Он сообщил, что были сделаны скан-копии всех страниц трудовой книжки, а не только последней страницы, которая содержала сведения о последнем месте работы (что и нужно было для этой выплаты). Заявитель указал, что не давал на то согласия, а в трудовой книжке находятся его ПДн. Управление Роскомнадзора не выявило нарушения, ссылаясь на дачу согласия на обработку ПДн при начале работы в организации. Однако суд не согласился с такой логикой, отменил решение РКН и направил дело на новое рассмотрение.
  • Определение Первого кассационного суда общей юрисдикции от 28.03.2022 по делу N 88-6426/2022: ООО “Вайлдберриз” как работодатель привлечен к ответственности за разглашение ПДн бывшего сотрудника. Без его ведома и согласия общество выдало его бывшей сожительнице справку по форме 2-НДФЛ, которую она представила в суд вместе с иском о взыскании алиментов на ребенка.
    Суд посчитал, что справка о доходах физического лица по форме 2-НДФЛ представляет собой документ, содержащий персональные данные физического лица, и могла быть выдана работодателем (налоговым агентом) только по заявлению этого лица или с его согласия. В связи с чем суд пришел к выводу о взыскании с ответчика в пользу истца компенсации морального вреда, определив сумму в 3000 рублей.

Особое внимание нужно уделить биометрическим данным (изображение, голос, отпечатки пальцев), особенно с последними нововведениями по ЕБС.

  • Определение Седьмого кассационного суда общей юрисдикции от 06.09.2022 по делу № 8Г-12644/2022 [88-13416/2022]:
    Дело касалось пропуска сотрудником работы (работник электростанции). Работник утверждал, что он не давал согласия на обработку его биометрии для пропуска на территорию, поэтому не мог выйти на работу, где был пропускной пункт. Работодатель посчитал, что сотрудник допустил прогулы без уважительных причин. Сначала суд апелляционной инстанции удовлетворил требования работника и взыскал средний заработок за время вынужденного прогула в размере 1 451 357 рублей Вышестоящий суд это решение отменил и вот почему.
    По общему правилу для использования биометрической системы пропусков, как и для учета рабочего времени с ее помощью, необходимо получить письменное согласие на то работников и составить локальный нормативный акт организации, а также заключить дополнительные соглашения к трудовым договорам с работниками.
    Однако, если предприятие относится к объекту топливно-энергетического комплекса (и подобных объектов критически важной инфраструктуры) отдельного согласия на обработку биометрических ПДн не требуется в связи с необходимостью обеспечения безопасности. Там обработка биометрии осуществляется по закону.

Обработка ПДн в сети Интернет
Как указывает Роскомнадзор в обзоре наиболее распространенных нарушений, чаще всего встречаются такие проблемы: отсутствие или неправильное оформление документов на обработку ПДн, включая пользовательское соглашение, согласие на обработку, согласие на распространение ПДн.

  1. Отдельное согласие на обработку и/или распространение ПДн:
    • Решение Колпинского р/с (Город Санкт-Петербург) по делу №2-12/2022 [2-1081/2021; М-283/2021] от 19.01.2022: Участник конкурсной процедуры включил в список исполнителей документы на имя истца, которые содержат персональные данные, а именно фамилию, имя, отчество, сведения об образовании, присвоенной квалификации и тд. Истец не давал на то согласия. Суд указал, что тот факт, что сведения о частной жизни и персональные данные получены из открытых источников, сам по себе не лишает гражданина права на защиту частной жизни и защиту своих персональных данных. Должно быть получено отдельное согласие на распространение ПДн.
    • Отдельное согласие должно быть получено и для рекламной рассылки. Само по себе принятие условий обработки персональных данных не свидетельствует о наличии согласия на получение рекламной информации (Решение Арбитражного суда г. Москвы от 23.05.2023 по делу № А40-21074/2023).
    • Персональные данные могут быть неправомерно разглашены не только в текстовом варианте, но и в видео.
      Определение Второго кассационного суда общей юрисдикции от 28.04.2022 N 88-7873/2022: Роскомнадзором выявлен факт незаконного доступа неограниченного круга лиц к персональным данным несовершеннолетней в Ютуб посредством размещения видеоматериала. Google LLC признан виновным.
Исключение
Не требуется отдельного согласия на размещение данных о медицинском работнике, его профессиональной деятельности, а также для отзывов пациентов на официальном сайте медицинской организации (Постановление от 25 мая 2021 года N 22-П Конституционного Суда).
  1. Утечки данных пользователей:
    На слуху также случаи утечек ПДн в Интернете. Сейчас ответственность за них налагается ч. 1 ст. 13.11 КоАП РФ, предусматривающей максимальный штраф для ЮЛ 100 000 рублей, за повторное нарушение – до 300 000 рублей (ч. 1.1).
    Таким образом, даже крупным компаниям сейчас назначаются такие незначительные по масштабам штрафы.

    • Так, за утечку ПДн сервисом Яндекс.Еда был назначен штраф 60 000 рублей. (Постановление Судебного участка № 101 Замоскворецкого судебного района г. Москвы от 21.04.2022 по делу № 05-0413/101/2022).
    • Также к ответственности было привлечено АНО ДПО «ОБРАЗОВАТЕЛЬНЫЕ ТЕХНОЛОГИИ ЯНДЕКСА»: назначен штраф в 60 000 рублей (Постановление Судебного участка № 425 Хамовнического судебного района г. Москвы от 12.12.2022 по делу № 05-1728/425/2022).

    В 2023 г. произошли следующие крупные утечки ПДн:

    • Пользователей Скаенг, причем штраф составил 60 000 рублей (Постановление Судебного участка № 374 Таганского судебного района г. Москвы от 01.03.2023 по делу № 05-0195/374/2023);
    • ПДн клиентов страховой компании «Ингосстрах» также с последующим штрафом в 60 000 рублей (Постановление Судебного участка № 398 Замоскворецкого судебного района г. Москвы от 27.04.2023 по делу № 05-0436/398/2023);
    • Данных Высшей школы экономики со штрафом в 60 000 (Постановление Судебного участка № 387 Басманного судебного района г. Москвы от 10.05.2023 по делу № 05-0463/387/2023);
    • Данных Тинькофф банк со штрафом 70 000 рублей (Постановление Судебного участка № 348 Савёловского судебного района г. Москвы от 27.06.2023 по делу № 05-0612/348/2023);
    • Также утечку данных 150 тыс. пользователей допустил Совкомбанк.
      Сначала организации было вынесено предупреждение, потом оно было отменено, а затем истек срок привлечения к административной ответственности. Реально никаких последствий для банка после данного инцидента не было (Постановление Второго кассационного суд общей юрисдикции от 23.09.2022 по делу № 16-4474/2022).

Тенденции регулирования
Основное, что ожидается и разрабатывается уже несколько лет — ужесточение ответственности за утечки ПДн, а именно — введение оборотных штрафов за утечки ПДн.

Из последних сведений
В Госдуму внесли два проекта об ужесточении порядка работы с персональными данными. Первый вводит оборотные штрафы для компаний, допустивших утечку информации. Внесенные в Госдуму поправки предусматривают за первичную утечку данных фиксированный штраф, а за повторную — оборотный. Для оборотных штрафов за утечки персональных данных могут быть установлены пределы от 5 млн до 500 млн, что увеличивает размер штрафов сразу в тысячи раз (максимальный размер штрафа за утечки тогда возрастает в 1 667 раз).
Второй вводит уголовную ответственность для совершивших противоправные действия с использованием персональных данных — кражу, продажу, а также на создающих теневые форумы, где незаконно распространяются личные данные граждан.

 

Выводы с учетом опыта RTM Group

  1. Количество судебных дел, связанных с ПДн, выросло на 21%: в период с 01.01.2022 по 01.07.2022 (6 месяцев) было вынесено 4 855 судебных актов, за аналогичный период 2023 года вынесено уже 5 875 судебных актов.
  2. Основная категория, в которой встречаются персональные данные — банкротство: 57% дел за период в 2022 г., 76% — за период в 2023.
  3. В рамках этого сегмента рассматриваются вопросы предоставления персональных данных финансовому управляющему, обоснованности обработки тех или иных ПДн в рамках процедуры банкротства, обнародование данных, полномочия в отношении действий с ПДн. Другими категориями являются: гражданские дела (в 2022 г. — 25% судебных актов, в 2023 г. — 18%), административные споры (в 2022 г. — 18%, в 2023 г. — 14%).
  4. Ожидается дальнейшее распространение судебной практики и практики РКН в сфере ПДн, особенно в рамках административной и материальной ответственности. Законодательство ужесточается, требования усложняются (новые правила обработки биометрии, порядка уничтожения ПДн, правил трансграничной передачи данных, и тд).
  5. Согласно данным Роскомнадзора, значительно растет количество операторов ПДн, внесенных в реестр Операторов ПДн. На 41 % увеличилось количество операторов ПДн (реестр Операторов ПДн): с 15 178 в конце первого полугодия 2022 г. до 21 360 в конце первого полугодия 2023 г.. За полгода 2022 г. была внесена 631 запись в реестр, а за полгода 2023 г. уже 1 152, то есть почти в 2 раза больше.
  6. Политическая обстановка в мире повлияла на регламентацию работы с ПДн. В частности, это сказывается на трансграничной передаче ПДн. Основное в данном сегменте:
    • За нарушение требования о локализации баз данных при обработке ПДн граждан РФ сразу назначается административный штраф в качестве наказания, а не предупреждение;
    • К персональным данным относят максимально широкий перечень информации, в том числе: данные о логах, файлы cookies, платежные данные, информацию об использовании, о контенте, об устройстве и т.п;
    • Штрафы за нарушение трансграничной передачи назначаются довольно высокие. Средняя сумма штрафа за первое нарушение составила около 1,5 млн рублей. Штраф за повторное нарушение крупной площадкой достигает порядка 17-18 млн рублей:
      • Сервис Speedtest, Snapchat: 1 000 000 рублей;
      • Сервис Apple: 2 000 000 рублей;
      • Facebook*: 17 000 000 рублей;
      • WhatsApp: 18 000 000 рублей.
    • В 2022-2023 гг. за нарушение локализации баз данных в РФ были привлечены известные иностранные компании: Airbnb, Apple, WhatsApp, Hotels.com, Snapchat, Speedtest, myheritage.com, Likee (сервис коротких видеороликов, аналог Tiktok), Freelancer.соm (австралийский портал по работе с фрилансерами).
  7. «Внутри» РФ одним из самых значимых нарушений является допущение утечки ПДн. Однако штрафы значительно ниже, чем за отсутствие локализации баз данных в РФ в связи с текущим законодательством.
    • Средний штраф, назначенный крупным компаниям, таким как Яндекс.Еда, Образовательные Технологии Яндекса, Skyeng, Ингосстрах, Высшая школа экономики, Тинькофф банк, у которых произошли утечки ПДн в 2022–2023 гг., достиг 60 000 рублей.
    • Планируется ужесточение законодательства и введение оборотных штрафов. Для оборотных штрафов за утечки персональных данных могут быть установлены пределы от 5 млн до 500 млн, что увеличивает размер штрафов сразу в тысячи раз (максимальный размер штрафа за утечки тогда возрастает в 1 667 раз). Сейчас максимальный штраф для ЮЛ – 100 000 рублей, за повторное нарушение – 300 000 рублей.
  8. Отдельные выводы судебной практики по сферам:
    • Обработка ПДн финансовыми организациями (банками, некредитными финансовыми организациями):
      • От банков и иных финансовых организаций требуется особая осмотрительность в отношении ПДн своих клиентов;
      • Финансовые организации должны особое внимание уделить заключению договоров через Интернет, проверке личности клиента и наличию волеизъявления на заключение договора и согласия на обработку персональных данных. Если произойдет инцидент и не были соблюдены формальности, суд признает, что компания не проявила предусмотрительность в проверке. Фиктивный договор будет признан недействительным, бремя возмещения убытков перейдет на организацию;
      • Отдельного согласия на передачу ПДн не требуется при передаче ПДн для взыскания задолженности по кредитному договору. При этом должны быть переданы только необходимые для взыскания задолженности данные, и только уполномоченным на то организациям.
  9. Обработка ПДн в рамках трудовых отношений:
    • Важно получить письменное согласие сотрудников на обработку ПДн, а также разработать ряд документов, в которых детально регламентировать работу с ПДн в компании. Это касается в том числе и действий с ПДн и после увольнения сотрудников. В ином случае работник (или бывший работник) может обратиться в РКН или в суд с жалобой на нарушение прав субъекта ПДн;
    • Нельзя передавать без согласия или других правовых оснований ПДн, даже если это касается судебного спора (спор об алиментах);
    • Особое внимание нужно уделить биометрическим данным (изображение, голос, отпечатки пальцев), особенно с последними нововведениями по ЕБС. По общему правилу, для использования биометрической системы пропусков, а также для учета рабочего времени с ее помощью, необходимо получить письменное согласие работников. Исключение: цели безопасности в сфере объектов критически важной инфраструктуры (требования по закону).
  10. Обработка ПДн в сети Интернет:
    • Самыми частыми являются нарушения: отсутствие или неправильное оформление документов на обработку ПДн (пользовательского соглашения, согласия на обработку, согласия на распространение ПДн);
    • Отдельное согласие должно быть получено для рекламной рассылки. Само по себе принятие условий обработки персональных данных не свидетельствует о наличии согласия на получение рекламной информации;
    • Персональные данные могут быть неправомерно разглашены не только в текстовом варианте, но и в видео (пример нарушения ПДн на видео в Ютуб);
    • Отдельного согласия на распространение ПДн не требуется, если речь идет о размещении данных о медицинском работнике, о его профессиональной деятельности, а также отзывов пациентов на официальном сайте медицинской организации.

 

RTM Group

RTM Group — группа экспертных и юридических компаний, специализирующихся на правовых и нормативно-технических вопросах в области информационных технологий и информационной безопасности.

В RTM Group работает Центр судебных экспертиз, проводящий нормативные и нормативно-технические экспертизы, а также правовое подразделение, осуществляющее сопровождение клиентов при возникновении конфликтов, включая судебные, в области реализации банковской деятельности.

Компании группы обладают необходимыми лицензиями ФСТЭК России и ФСБ России.

Сотрудники компаний имеют большой опыт экспертной, а также правовой работы и специализируются на проведении следующих видов работ:

  • Помощь в разрешении споров, управлении рисками, ответные действия на заявления о злоупотреблении данными;
  • Подготовка судебных и досудебных экспертиз по вопросам информационных технологий, информационной безопасности и защиты информации;
  • Проведение исследований о соответствии IT-проекта требованиям законодательства (или правовой аудит);
  • Сопровождение IT-проекта (подготовка и согласование документов/договоров, положений и т. п.);
  • Структурирование и систематизация бизнес-процессов IT-компаний;
  • Помощь в выборе договорных конструкций для реализации IT-проекта;
  • Помощь в выборе подходящего режима налогообложения с учетом условий реализации IT-проекта;
  • Оформление трудовых отношений с работниками, создающими объекты интеллектуальной собственности;
  • Обеспечение безопасности интеллектуальной собственности;
  • Минимизация рисков судебных претензий;
  • Защита интересов клиента в суде, максимально возможное снижение штрафа, неустойки;
  • Представление интересов по обжалованию решений и действий Роскомнадзор, ИФНС, УФАС, прокуратуры, полиции и иных контролирующих органов;
  • Сопровождение при проверках контролирующих органов, предоставление мотивированных пояснений.

Эксперты компании обладают признанными Национальными и Международными сертификациями, такими как CISA, CISM, CISSP, СТО БР ИББС, 27001 и пр.

RTM Group является первым на российском рынке исполнителем судебных нормативно-технических экспертиз в области информационных технологий и информационной безопасности.


*Facebook — проект Meta Platforms Inc., деятельность которой в России запрещена.

Задать вопрос эксперту