Ответственность за разглашение персональных данных
Разглашение персональных данных
Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.
Содержание статьи:
Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.
В перечень персональных данных включается следующее:
- Сведения о дате и месте рождения
- Паспортные данные, а равно сведения, содержащиеся в любом ином удостоверении личности
- Уровень образования
- Трудоустройство и стаж
- Наличие / отсутствие судимости
- Кредитные данные
- Информация о родственниках
- Место жительства (регистрации) лица
- Переписка в любой ее форме
- Состояние здоровья
- Образ жизни и иные биографические данные
- И так далее.
По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.
Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.
Что такое персональные данные с точки зрения УК РФ
Согласно п. 1 ст. 3 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ персональными данными признается любая информация, так или иначе относящаяся к физическому лицу и позволяющая идентифицировать его. Иными словами, это может быть все что угодно — от фамилии человека до его антропометрических особенностей.
Указом Президента РФ от 06.03.1997 № 188 информация о частной жизни гражданина отнесена к сведениям конфиденциального характера, следовательно, разглашению и несанкционированному сбору не подлежит.
Уголовно-правовая защита такого рода сведений реализована в ст. 137 УК РФ. Название нормы позволяет распространить ее на все виды сведений о фактах, обстоятельствах и событиях частной жизни гражданина.
Таким образом, к понятию «частная жизнь», неприкосновенность которой охраняет ст. 137 УК РФ, можно отнести следующую информацию о человеке:
- данные непосредственно о самой личности, включая реквизиты удостоверяющих документов, сведения о месте пребывания (проживания) человека и его жилище;
- данные о родственниках и иных близких людях;
- сведения, составляющие иную тайну, охраняемую законом (информацию о вкладах и счетах в кредитных организациях, об усыновлении, содержание телефонных переговоров, переписки (в том числе электронной), телеграфных сообщений, факт составления и содержание завещания и т. д.).
Кроме того, в эту же категорию входят сведения, отнесенные к налоговой, адвокатской, врачебной тайне, информация, полученная в ходе исповеди (тайна исповеди). Интересную статью о категориях персональных данных предлагает к прочтению КонсультантПлюс. Оформить доступ к системе КонсультантПлюс можно бесплатно здесь.
Сбор таких сведений и тем более разглашение без согласия их носителя возможны только в случаях, прямо предусмотренных законом. Например, в рамках расследования или рассмотрения уголовного дела, в ходе исполнения судебного решения и т. д.
В иных ситуациях сбор и распространение данных о частной жизни есть прямое нарушение ст. 23–24 Конституции РФ. Лицо, допустившее такое нарушение, рискует подвергнуться уголовному преследованию.
Чтобы случайно не разгласить чужие персональные данные, ознакомьтесь с порядком обработки персональных данных.
Важно! На разглашение некоторых сведений, отнесенных к тайне, могут распространяться иные, более узкие нормы УК РФ. Так, например, ответственность за нарушение тайны усыновления должностным лицом, обязанным сохранять ее конфиденциальность, наступает по ст. 155 УК РФ.
Депутаты усиливают борьбу с нежелательными организациями
Комитет Госдумы по законодательству рекомендовал принять в первом чтении законопроект, ужесточающий уголовную ответственность за участие в деятельности нежелательной в России организации. Согласно одобренным поправкам к ст. 284.1 УК, за участие в ее деятельности будет грозить наказание вплоть до лишения свободы на срок от года до четырех лет (если ранее гражданин понес за это административную ответственность), а за руководство такой деятельностью — от двух до шести лет тюрьмы (вне зависимости от административных наказаний). Сейчас за оба состава предусмотрено одно наказание (до шести лет), но лишь после двукратного привлечения к административной ответственности в течение года.
Инициатива депутатов о частичном отказе от административной преюдиции вызвала претензии Верховного суда: как отмечается в его отзыве, такое предложение, согласно регламенту Госдумы, должно сопровождаться мотивированным обоснованием и статистикой, подтверждающей недостаточность существующего регулирования, но авторы их не представили. По данным суда, по этой статье за период с 2015 по 2019 год в России осужденных не было. На это обратил внимание при обсуждении инициативы на заседании комитета депутат от ЛДПР Сергей Иванов. Он напомнил, что только в 2021 году по этой статье активистку «Открытой России» Анастасию Шевченко приговорили к четырем годам лишения свободы условно. «Вы что вообще творите? За что так поступаете с человеком?» — обращался он к коллегам, которые ответили ему молчаливой поддержкой законопроекта. Помимо господина Иванова, против «усиления ответственности» выступил также коммунист Юрий Синельщиков.
Наказание за «слив» персональных данных хотят ужесточить
Фото: АГН Москва
В последние годы проблема защиты персональных данных (ПД) приобрела особую остроту. Огромное количество пользователей социальных сетей и медиаплатформ предоставляет свою личную информацию в обмен на возможность воспользоваться определенными услугами. При этом в руках IT-компаний оказываются массивы данных, расшифровав которые, можно узнать любые подробности жизни человека. Нередко эти сведения незаконно утекают третьим лицам без всякого согласия… В преддверии Международного дня защиты персональных данных «Парламентская газета» выясняла, как законодательство охраняет персональную информацию и что намерены делать парламентарии для совершенствования этой сферы.
Какие данные относятся к персональным?
Название федерального закона, который прямо регулирует работу с персональными данными, говорит само за себя: «О персональных данных». Согласно ему, ПД — это любая информация, относящаяся к физическому лицу.
При этом данные бывают специальными — информация о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Есть и общедоступные — те, которые человек самостоятельно предоставляет той или иной инстанции и которые с точки зрения закона не считаются конфиденциальными: Ф. И. О., дата и место рождения, номер телефона, место работы или учебы, а также информация, предоставляемая при трудоустройстве, переписи населения и других подобных ситуациях. Или интернет-сведения: е-mail, IP-адрес, геолокация, файлы, фотографии, информация о поведении пользователя на сайте.
По факту нашими персональными данными располагают все сайты, где есть формы обратной связи, возможность разместить объявление или зарегистрироваться в личном кабинете, анкеты для заполнения, форма подписки для рассылки или заказа товара или услуги.
Также в число ПД входят биометрические данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, — отпечатки пальцев, ДНК-материалы, рисунок радужной оболочки глаза.
За обработку всех этих сведений отвечают операторы персональных данных (банки, работодатели, медицинские организации, интернет-сайты и прочие структуры), к которым закон предъявляет ряд конкретных требований. Например, они обязаны обеспечить определенным уровнем защиты, соответствующим угрозам и категориям данных, информационные системы ПД, а серверы, на которых они хранятся, должны находиться исключительно на территории России.
Кроме того, операторам необходимо уведомлять пользователей о сборе их данных и получать на это персональное согласие. Не делать этого они могут только в случаях, когда личная информация человека нужна для соблюдения трудового законодательства и когда человек сам сделал свои данные общедоступными.
Также согласие на обработку данных не требуется, если сведения получены в результате договора и используются для его исполнения и если информация включена в государственные информационные системы, созданные для защиты порядка и безопасности.
Операторы ПД обязаны знакомить людей с политикой обработки данных, обеспечивать их тайну, сохранность, точность, не передавать их третьим лицам, использовать ПД только в заявленных целях и не собирать лишние сведения. Например, операторы не могут запрашивать данные о семейном, имущественном положении в форме заказа товара.
Контролирует исполнение всех требований Роскомнадзор, а также ФСБ России и Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Какая ответственность предусмотрена для операторов данных?
За нарушение законодательства в части сохранения персональных данных предусмотрена как административная, так и уголовная ответственность.
Кодекс об административных правонарушениях позволяет привлечь операторов за использование несертифицированных средств защиты информации. Гражданам за это могут выписать штраф до 2,5 тысячи рублей, должностным лицам — до трех тысяч, юридическим — до 25 тысяч рублей. Меньше заплатит тот, кому вменят нарушение требований о защите информации: гражданин — тысячу рублей, чиновник — две тысячи, компания — 15 тысяч. За разглашение сведений с ограниченным доступом (к коим относятся и персональные сведения) с гражданина также взыщут тысячу, а с должностных лиц — до пяти тысяч рублей.
Чуть серьезнее санкции для операторов, не позаботившихся о сохранности обрабатываемой информации, что открыло к ней неправомерный доступ или позволило скопировать и распространить. В этом случае граждане поплатятся штрафом две тысячи рублей, должностные лица — до десяти тысяч, ИП — до 20 тысяч, юрлица — до 50 тысяч рублей.
Правда, на практике получается, что действующие санкции недостаточно эффективны, отметила член Комитета Совета Федерации по конституционному законодательству и государственному строительству Елена Мизулина. И, подчеркнула она, периодически возникают скандальные истории утечки баз данных сотен тысяч людей.
«Сливной бачок»
Один из последних подобных случаев связан со «сливом» в Сеть сведений о трехстах тысячах жителей Москвы, переболевших коронавирусом. Из-за ненадлежащего хранения баз данных в свободном доступе оказались имена, адреса, номера телефонов и полисов ОМС, ключи доступа к системе учета, а также диагнозы пациентов, проходивших лечение от COVID-19 в период с апреля по июнь 2020 года.
То же самое случилось с фотографиями смартфонов с установленным мобильным приложением по мониторингу самоизоляции, скриншотами из программы «Мониторинг заболеваемости 1С», где видны паспортные данные москвичей.
«Конституция РФ гарантирует право граждан на неприкосновенность частной жизни, — напомнила Елена Мизулина. — Но в условиях цифровизации, к сожалению, персональные данные человека, а это и есть неотъемлемая часть его частной жизни, становятся все более доступными и открытыми для широкого круга пользователей и чаще всего вопреки его воле. Реализация многих положений о защите персональных данных зависит от усмотрения специалиста в области IT-технологий, собственников интернет-ресурсов, которые таким образом как бы приобретают власть над другими людьми. Такое информационно-правовое регулирование создает риски недобросовестного использования персональных данных людей в чьих-то корыстных или иных личных интересах».
Поэтому, рассказала сенатор, председатель Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас поручил оценить, насколько соразмерна существующая ответственность за нарушение неприкосновенности частной жизни общественной опасности такого нарушения. Скорее всего, за этим последует увеличение санкций, подчеркнула Мизулина.
А в Госдуме такую работу уже начали. Глава Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн сообщил «Парламентской газете», что депутаты готовят законодательные инициативы, усиливающие наказание за незаконный оборот персональных данных и их утечку.
Однако работа над информационным законодательством на этом не закончится. Елена Мизулина также рассказала, что поскольку эта область права очень противоречива, громоздка, то парламентариям предстоит заняться ее серьезной переработкой и систематизацией.
Как уничтожить свои данные в Сети?
Закон закрепляет право субъектов персональных данных обжаловать в судебном порядке действия или бездействие оператора, если есть подозрение в том, что он не выполняет требования законодательства. Когда, например, не защитил данные от несанкционированного доступа. Также люди вправе обратиться в суд с иском о возмещении морального вреда.
Кроме того, владельцы информационных ресурсов обязаны уничтожить ПД, если они получили требование физлица об их удалении. Сроки уничтожения данных зависят от того, что конкретно потребовал клиент в письме.
Так, если человек попросил уничтожить ПД из-за того, что они были незаконно получены или не являются необходимыми для заявленной цели обработки, то оператор должен избавиться от них в течение семи рабочих дней. Правда, в законе оговаривается, что для удаления данных оператор должен иметь сведения, подтверждающие, что ПД действительно получены им неправомерно.
Помимо этого, интернет-пользователь может отозвать согласие на обработку его персональных данных. В этом случае оператор обязан в течение 30 дней прекратить их обработку.
Однако компания вправе продолжить обработку ПД без согласия субъекта при наличии некоторых оснований: например, если обработка ПД необходима для достижения целей, предусмотренных международным договором РФ, а также если обработка ПД нужна для исполнения договора, «стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных» (статья 6 Закона №152-ФЗ).
Если операторы по требованию физлица не приняли меры по уточнению, блокированию или уничтожению данных в сроки, установленные законодательством, то им грозят штрафы. Для должностных лиц штраф составляет от 4 до 10 тысяч рублей, для ИП — от 10 до 20 тысяч, для юрлиц — от 25 тысяч до 45 тысяч рублей.
Кроме того, если компания обрабатывает ПД без согласия клиента, то штраф для должностных лиц составит от 10 до 20 тысяч, для юрлиц — от 15 до 75 тысяч рублей.
В Госдуме считают, что граждане должны иметь право на удаление своих данных без судебных разбирательств, без объяснения причин и доказывания нарушений. Закон на эту тему одобрен парламентом. Его автор, член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин сообщил, что под его действие попадут операторы ПД, которые выкладывают их в общий доступ. Это прежде всего социальные сети, различные мессенджеры, IT-компании, банки данных. Причем у зарубежных соцсетей будут те же обязательства, что и у российских, отметил депутат.
Кроме того, закон предоставляет пользователям при регистрации в соцсети или оформлении услуги право дать или не дать согласие на передачу своих данных третьим лицам, выставить условия их использования, определить категории данных, которые можно или нельзя передавать. Например, фото копировать можно, а тексты нельзя, пояснил Горелкин.
Читайте также:
Как защитить свои данные в Интернете?
Несмотря на то что именно владельцы сайтов ответственны за охрану персональных данных, предотвратить утечку своих сведений пользователи могут и сами.
Например, председатель общественной организации по защите прав потребителей «Общественная потребительская инициатива» Олег Павлов посоветовал читателям «Парламентской газеты» в первую очередь не регистрироваться на сомнительных сайтах, не оставлять на них свой номер телефона, электронную почту, свои профили в соцсетях и тем более свои платежные данные — ни через банковские формы, ни через предоставление фотографий своей карты.
«Кроме того, перед тем как вы собираетесь заполнить форму со своими контактными данными и другими персональными данными, посмотрите соглашение об обработке ПД: кто именно занимается обработкой данных, какому юрлицу или ИП вы их предоставляете, имеет ли право это лицо распространять дальше эти данные, — конкретизировал эксперт. — Если эта информация неочевидная, скрытая или ее сложно найти, это явный признак того, что вы имеете дело с недобросовестной компанией или мошенниками».
Он уточнил, что все крупные и серьезные компании размещают на своих сайтах соглашение об обработке ПД, указывают реквизиты, позволяющие их идентифицировать как юрлиц.
Отдельно эксперт обратил внимание на интернет-магазины, порекомендовав покупать только в известных компаниях. «Либо, если цена очень привлекательна на каком-то малоизвестном сайте, нужно выбирать способ оплаты только после получения товара и ознакомления с ним. Потому что мошенники часто предлагают наложенный платеж, когда вы вынуждены оплатить «кота в мешке» до того, как сможете распаковать товар. С такими сайтами вы не только рискуете потерять ПД, но и, предоставив свои платежные данные, деньги». РФС
Громкие случаи утечек персональных данных в России в 2019-2020 годах
3 октября 2019. База данных с подробной информацией о владельцах 60 миллионов кредитных карт Сбербанка (как действующих, так и закрытых) оказалась на черном рынке. Эта утечка стала самой крупной в российском банковском секторе.
28 января 2020. в ряде Telegram-каналов появилась информация о том, что в открытом доступе находится база данных со списком участников программы лояльности алкомаркетов «Красного & Белого» — почти 17 миллионов покупателей компании с оформленной картой лояльности.
1 февраля 2020. в Сети были обнаружены данные клиентов кредитного брокера «Альфа-Кредит«, который собирает заявки на кредиты и помогает выбрать и получить заем в банке — более 44 000 записей с инициалами клиентов, суммами и видами запрашиваемого кредита, номерами телефонов, адресами.
11 февраля 2020. «Лента» выпустила пресс-релиз, в котором сообщила, что ее внутреннее расследование не выявило утечек данных клиентов.
6 февраля 2020. СМИ сообщили о продаже в Интернете данных более 1,2 миллиона клиентов российских микрофинансовых организаций.
16 апреля 2020. в открытом доступе была обнаружена база данных клиентов программы лояльности розничных сетей «К-Руока» и «К-Раута», которые в России развивала финская Kesko с 2011 по 2018 год, — более 970 тысяч строк с данными клиентов, включая Ф. И. О., дату рождения, телефон, электронную почту, город и район проживания, количество человек в семье.
29 апреля 2020. стало известно, что на продажу были выставлены персональные данные россиян, которые оформляли микрозаймы в 2017-2019 годах, — 12 миллионов записей с паспортными данными, телефонами и сведениями об электронных кошельках (в пробной бесплатной версии — 1,8 тысячи человек).
23 июня 2020. стало известно, что эксперты компании DeviceLock обнаружили утечку данных почти пяти миллионов пользователей в РФ, предположительно с одного из порталов по трудоустройству, — контактные данные и Ф. И. О., которые можно было скачать бесплатно.
20,7 тысячи преступлений, совершенных с использованием информационно-телекоммуникационных технологий, зарегистрировано в январе — октябре 2020 года (на 75,1 процента больше, чем за аналогичный период 2019 года)
В зависимости от классификации ущерба ответственность за нарушение законодательства о персональных данных варьируется по степени тяжести. Основная ответственность для операторов персональных данных предусмотрена КоАП. Уголовное законодательство станет основанием для возбуждения дел против лиц, виновных в краже персональных данных.
В Гражданском кодексе описаны условия для возмещения морального и материального ущерба, причиненного субъектам персональных данных в результате неправомерных действий операторов или граждан.
Административные меры воздействия
Основной блок наказаний операторов за нарушение требований по защите персональных данных прописан в КоАП РФ. Статья 13.11, претерпевшая серьезные изменения в 2017 году, конкретизирует типы нарушений в области законодательства с персональными данные и называет размер штрафов за их совершение. Если до изменений КоАП содержал один состав нарушений, сейчас их восемь, при этом максимальный штраф достигает 18 млн рублей. Штрафы меняются в зависимости от субъекта и тяжести нарушения: должностное лицо будет оштрафовано на меньшую сумму, чем организация.
Основные типы нарушений, указанные в ст.13.11:
- обработка персональных данных в целях, не предусмотренных законом или не указанных оператором в политике обработки. Минимальное наказание за это нарушение – предупреждение в адрес должностного лица, а при высокой тяжести совершенного – штраф 30-50 тысяч рублей;
- обработка персональных данных без согласия правообладателей, если это деяние не находится в сфере уголовной юрисдикции, повлечет наложение на организацию штрафа до 75 тысяч рублей;
- отказ от публикации на сайте оператора политики по обработке персональных данных, ее некорректное составление или ограничение доступа к ней влечет штраф в размере до 30 тысяч рублей;
- отказ от предоставления правообладателю сведений о порядке обработки персональных данных по письменному запросу станет основанием для наложения штрафа до40 тысяч рублей;
- отказ по требованию правообладателя или его представителя блокировать, изменить или уничтожить персональные данные в предусмотренные законом сроки повлечет наложение штрафа на юридическое лицо до 45 тысяч рублей;
- невыполнение при обработке персональных данных без использования средств автоматизации условий, обеспечивающих сохранность персональных данных на материальных носителях, наказывается штрафом в размере до 50 тысяч рублей;
- отказ государственной или муниципальной организации от выполнения обязанностей по обезличиванию персональных данных приведет к наложению штрафа до 6 тысяч рублей;
- повторное нарушение обязанности по хранению персональных данных на серверах, размещенных в России, приведет к штрафу до 18 миллионов рублей.
Усиление степени тяжести санкций и ужесточение регламента проверок Роскомнадзора стимулирует операторов выполнять требования закона. В русле обеспечения контроля над деятельностью оператора работает статья 19.7 КоАП , которая предусматривает наказание за отказ от предоставления информации регулятору по его запросу или предоставление ее в неполном виде. После проведения проверки, кроме штрафа, регулятор вправе направить в адрес оператора предписания об устранении нарушения законодательства, а в случае отказа от выполнения таких предписаний – временно приостановить деятельность оператора персональных данных.
Уголовная ответственность
Для субъектов, нарушения закона которыми причинили существенный ущерб субъектам персональных данных, предусмотрена уголовная ответственность. Чаще всего к ней привлекают нарушителей, получивших неправомерный доступ к персональным данным граждан и разгласивших их в корыстных целях. Суды и правоохранительные органы в большинстве случаев применяют нормы ст. 137 УК РФ, которая вводит санкции за нарушение неприкосновенности частной жизни.
Статья состоит из трех частей:
- незаконный сбор и распространение информации о частной жизни без отягощающих признаков караются мягко, максимальное наказание – 2 года лишения свободы;
- если в целях неправомерного завладения персональными данными и их распространения использовалось служебное положение, максимально возможное наказание увеличится до 4 лет лишения свободы;
- если в СМИ или по телекоммуникационным каналам связи распространялись персональные данные, связанные с личной жизнью несовершеннолетнего, тюремный срок увеличится до 5 лет.
За последнее преступление СМИ может лишиться лицензии.
Стандартные ситуации применения статьи:
- распространение в СМИ данных о личной жизни или заведомо ложной информации о потерпевших без их согласия;
- обжалование действий сотрудников правоохранительных органов, получавших данные о гражданах без оформления соответствующего постановления суда;
- сбор информации о личной жизни супругов или других лиц с использованием технических средств;
- хищение сотрудниками банков или мобильных операторов персональных данных клиентов с целью перепродажи.
Преступниками в рамках этой статьи чаще всего становятся простые люди, в полной мере не осознающие общественную опасность своих действий. Группировки хакеров, системно похищающие и продающие персональные данные, из-за их высокой осторожности почти не происходит, к уголовному преследованию практически не привлекаются.
Ответственность за нарушения в сфере законодательства о персональных данных устанавливает и ст. 140 УК, по которой отвечают должностные лица, отказывающие гражданам в предоставлении доступа к собранным о них личным сведениям. Статья имеет простой состав, без квалифицирующих признаков. За отказ допустить субъекта персональных данных к ознакомлению с ними должностному лицу грозит штраф до 200 тысяч рублей или запрет занимать определенные должности на срок до 5 лет. В судебных делах она фигурирует нечасто– с 2017 года упоминается не более 150 случаев применения ст.140 УК РФ.
Наиболее часто встречаются такие нарушения:
- отказ представителей Росреестра передать гражданам информацию о сделках, ставших основанием для неправомерного завладения чужой собственностью;
- отказ правоохранительных органов в предоставлении информации, полученной в ходе дознания или следствия;
- отказ сотрудников Пенсионного фонда предоставить данные о состоянии пенсионных счетов.
Как правило, уголовные дела, возбужденные по таким статьям, связанным с хищением персональных данных, доходят до суда, но суды отказывают заявителям, считая требования неправомерными. Намного чаще возбуждаются дела по 272-й ст. УК РФ, предусматривающей наказание за неправомерный доступ к компьютерной информации. Норма состоит из четырех частей. Наказание за минимальное нарушение не превышает 2 лет лишения свободы, но, если в рамках части 4 эти же деяния повлекли тяжкие последствия, можно получить тюремный срок до 7 лет.
В практике применения статьи наиболее часто встречаются:
- продажа сотрудниками мобильных операторов детализации телефонных переговоров абонентов, включающие персональные данные;
- хищение и использование в личных целях номеров кредитных карт;
- хищение логинов и паролей интернет-пользователей для неправомерного доступа к трафику.
Иногда в практике борьбы с неправомерным распространением и использованием персональных данных возникают необычные случаи. Так, переводчицу Олесю Красилову, работавшую несколько лет в посольстве США в Москве и занимавшуюся снятием отпечатков пальцев, американские власти задержали в Испании за передачу биометрических данных третьим лицам. Девушке грозит пожизненное заключение по американским законам, а российское уголовное право в этом случае оказывается менее строгим.
Гражданско-правовые механизмы
Причинение финансового ущерба или морального вреда субъектам персональных данных становится основанием для требования о его возмещении, в порядке гражданского судопроизводства. Применение 15-й статьи ГК РФ о возмещении убытков редко встречается в судебной практике по делам, связанным с персональными данными, так как действительный размер убытков практически недоказуем. Защита интересов в форме возмещения морального вреда иногда встречается, но его выплаченные за ущерб суммы не превышают 5-10 тысяч рублей.
В российских судах чаще всего встречаются дела о неправомерной передаче ПД для обработки третьим лицам. Банки, микрофинансовые компании, организации ЖКХ без получения согласия передают персональные данные должников коллекторам. Многочисленные иски редко удовлетворяются, так как на стороне, например, Альфа-банка всегда выступают более опытные юристы, чем на стороне частного лица, и так называемого перелома практики стараются не допустить. Наказание чаще всего реализуется только в случае жалобы регулятору, который стремится привлечь нарушителя к административной ответственности. При этом пострадавший гражданин реального возмещения не получает, и защита его интересов происходит только в форме принуждения оператора осуществить предусмотренные законом действия.