В Петербурге растёт число споров из–за нарушений бизнесом требований в сфере оборота персональных данных.
Суды Северной столицы за прошлый год рассмотрели 23 административных материала, возбуждённых по ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах). Это, так сказать, "титульная" статья, по которой квалифицируются нарушения, допускаемые компаниями в сфере персональных данных (ПД). А основным контролёром соблюдения законодательства в этой сфере является Роскомнадзор (РКН).
В I квартале нынешнего года суды города рассмотрели уже 11 административных дел по ст. 13.11 КоАП РФ. Правда, в январе–марте никто из петербургских компаний, за одним исключением, не был оштрафован: суды ограничивались только предупреждениями. Тем не менее динамика налицо.
Запросы с избытком
Из свежей практики можно привести решение, принятое в феврале мировым судом участка № 87 в отношении петербургского ООО "Комитет по информационной и правовой безопасности" (КИПБ). Как следует из материалов дела, в 2023 году жителю Оренбурга на электронный адрес пришло письмо от КИПБ с угрозами наложения штрафа, если он не предоставит свои данные ООО для "аудита в сфере правовой и информационной безопасности" (ФИО, сведения о регистрации в качестве ИП, ИНН, ОГРНИП и т. д.). Гражданин вместо предоставления персональных данных подал жалобу в управление Роскомнадзора по Оренбургской области. В ответе автору жалобы управление указало: правовые основания у КИПБ для обработки ПД оренбуржца отсутствуют. Письмо аналогичного содержания управление РКН направило и в КИПБ.
Сама компания либо её представитель в мировой суд не явились, но суд посчитал компанию надлежаще извещённой и рассмотрел дело в её отсутствие.
Мировой суд квалифицировал действия КИПБ по ч. 1. ст. 13.11 КоАП РФ и оштрафовал её на 60 тыс. рублей. Кроме того, мировой суд отметил, что компания не является госорганом, контролирующим или надзирающим за обработкой ПД.
КИПБ и не скрывает, что продолжает рассылку подобных электронных писем предпринимателям страны. Об этом можно судить по свежим отзывам клиентов на сайте компании. По–видимому, цель таких писем — убедить бизнес заключить договор на консалтинг в сфере защиты ПД. По данным СПАРК, численность персонала КИПБ на начало года — один человек. Выручка компании уверенно растёт — с 9,9 млн рублей в 2019 году до 22,7 млн в 2023–м.
Превентивные меры
В I квартале этого года РКН не проверял петербургские компании, но за аналогичный период 2023–го были проинспектированы четыре организации с выдачей предписаний об устранении нарушений, рассказали "ДП" в пресс–службе РКН.
Среди самых частых ошибок бизнеса в ведомстве называют предоставление в РКН уведомлений об обработке ПД, содержащих неполные или недостоверные сведения, непринятие мер, необходимых для обеспечения обязанностей по обработке персональных данных, и их обработка в случаях, не предусмотренных законом. "Больше всего нарушений выявлено у организаций, работающих в сфере оказания услуг", — резюмируют в РКН.
Вместе с ростом числа судебных дел, связанных с нарушениями в сфере оборота персональных данных, растёт и запрос петербургского бизнеса на профилактические меры, говорят опрошенные "ДП" эксперты. Петербургские юристы фиксируют значительный рост запросов от компаний на privacy–комплаенс (аудит в сфере ПД). По разным данным, количество запросов в этом году увеличилось на 10–30%.
"Аудит позволяет комплексно обследовать не только документы, но и внутренние процессы компании на соответствие требованиям законодательства и практике по защите персональных данных, — говорит управляющий партнёр Comply Артём Дмитриев. — Как и любой аудит, он предполагает независимую оценку privacy–комплаенса компании. По итогам специалисты готовят отчёт о несоответствиях, а также план работы с выявленными рисками. На этом этапе обычно разрабатываются внутренние положения и другие документы".
Важно не просто оформить правильные бумаги, но и выстроить стандартные процедуры в области ПД. Например, подготовить алгоритмы работы на случай запросов, претензий граждан или утечки ПД. Также необходимо привести в порядок бизнес–процессы и IT–системы, вплоть до интерфейсов сайтов и приложений.
"Качественный аудит даёт компании набор понятных схем и инструкций, чтобы каждый работающий с ПД сотрудник компании понимал, что ему нужно делать. Нередко по итогам аудита с персоналом проводятся вебинары и тренинги", — поясняет Артём Дмитриев.
В Versus.legal говорят, что бизнес обращается и за более "точечной" работой — к примеру, подготовка и подача уведомлений в РКН об обработке ПД, помощь с разработкой политики конфиденциальности на сайте или подготовка согласия на обработку ПД.
По мнению Артёма Дмитриева, аудит позволяет снизить или исключить риски из проверок РКН. "Не стоит забывать, что РКН сейчас проводит дистанционный мониторинг сайтов, а часть рисков связана с жалобами потребителей или так называемых privacy–экстремистов", — обращает внимание эксперт.
По его словам, компании Петербурга и Северо–Запада достаточно часто обращаются за помощью, поскольку местное управление Роскомнадзора ведёт себя довольно активно. "Только за последний год несколько наших проектов для петербургских компаний были связаны с утечками данных и последующими внеплановыми проверками Роскомнадзора. Причём речь идёт о компаниях из разных секторов экономики", — говорит Артём Дмитриев.
На рассмотрении в Госдуме находятся законопроекты о введении так называемых оборотных штрафов за утечки персональных данных, а также уголовной ответственности непосредственных виновников утечки. Всё это означает, что в ближайшие годы компании должны серьёзно подойти к выстраиванию работы с ПД, прогнозируют в Savina Legal.
“
Число дел, связанных с нарушением персональных данных, в общем количестве дел, рассматриваемых петербургскими судами, невелико. Вместе с тем эта категория споров показывает значительный рост. Если наши суды в 2021–2023 годах назначали штрафы (в общей сложности за год размер штрафов колебался в пределах 0,39–1,33 млн рублей), то в текущем году суды практически ограничиваются только предупреждениями.
Дарья Лебедева
глава объединённой пресс–службы судов Петербурга
“
За последние годы штрафы в сфере персональных данных существенно возросли и стали более дифференцированы по видам правонарушений. Сейчас в среднем административный штраф для юрлиц за первое нарушение составляет 50–150 тыс. рублей, за повторное — уже 300–500 тыс. А если говорить о нарушении обязанности по "локализации" персональных данных, то тут только за первое нарушение штраф может достигать 6 млн рублей. Важно помнить и о дополнительных видах ответственности за нарушения законодательства в сфере ПД. В частности, это может быть и увольнение работника, и блокировка сайта за незаконный сбор персональных данных.
Иван Кайсаров
руководитель практики интеллектуальной собственности Versus.Legal
“
Число фиксируемых нарушений в сфере персональных данных увеличивается, так как на протяжении последнего года происходит постепенное снятие моратория на проверки Роскомнадзора. Параллельно была запущена система индикаторов рисков, при наличии которых РКН может организовать внеплановую проверку компании по согласованию с прокуратурой. Негативные последствия за нарушение законодательства о персональных данных не исчерпываются штрафами. Так, установленный Роскомнадзором факт нарушения приведёт к более пристальному вниманию к деятельности компании со стороны остальных регуляторов.
Артём Евсеев
руководитель практики интеллектуальной собственности, IT и защиты информации Savina Legal