30.09.2008

Кто ответит за утечку персональных данных?

Владимир Митин, PC Week/RE №36 (642)

Разговор с оператором справочной правительства Москвы:

— Какая структура правительства контролирует исполнение закона “О персональных данных”?

— А что такое персональные данные?


Эпиграф к этой статье взят из личного опыта менеджера по маркетингу BioLink Solutions Игоря Лукашова. Ответ сall-центра весьма характерен и наводит на мысль, что деятельность такого рода подразделений надо оценивать не по общему количеству ответов на вопросы (в том числе в единицу времени), а по количеству ответов по существу. Но это тема отдельного разговора. Сегодня же речь пойдёт о другом.

Нынешним летом исполнилось два года со дня подписания В. В. Путиным закона Российской Федерации № 152-ФЗ “О персональных данных” (www.rg.ru/2006/07/29/personaljnye-dannye-dok.html). Этим законом определяются такие важные понятия, как “персональные данные” (ПД), “субъект ПД”, “оператор ПД”, “реестр операторов ПД”, который должен вести “уполномоченный орган по защите прав субъектов персональных данных” и так далее. Своими мнениями о том, как работает этот закон и в каких усовершенствованиях он нуждается, кроме уже упомянутого Игоря Лукашова с нами поделились директор аналитического департамента ОАО “Элвис-Плюс” Сергей Вихорев, заместитель генерального директора компании Aladdin Software Security R.D. Алексей Сабанов, руководитель аналитического центра Perimetrix Владимир Ульянов и главный аналитик компании InfoWatch Николай Федотов. Во врезках к описанию этого заочного круглого стола читатель найдёт итоги опроса читателей PC Week/RE “Кто должен отвечать за утечку персональных данных?”, проведённого редакцией в августе 2008 г.

География участников нашего опроса оказалась исключительно широка При этом общее количество ответов не намного превысило количество городов, из которых эти ответы пришли. Однопроцентный барьер перешагнула лишь Москва. В ней, судя по анкетам, проживает 8% откликнувшихся. Велик и “профессиональный разброс” респондентов: от простых программистов, инженеров и индивидуальных предпринимателей до генеральных директоров и их заместителей по различным вопросам (включая информационную безопасность). Большинство их работают в коммерческих структурах или государственных организациях, связанных с обслуживанием физических или юридических лиц. И лишь один респондент представился как “помощник депутата”. Поэтому создалось впечатление, что вопросы о том, кто и в какой степени должен отвечать за утечку персональных данных, волнуют в основном “народ”, а не представителей законодательной и исполнительной власти. Что, конечно, весьма печально и может быть описано фразой: “Верхи не хотят жить по-новому, а низы уже не могут жить по-старому”. Сразу заметим, что мнения читателей и опрошенных нами экспертов совпадают далеко не всегда. Впрочем, в данном случае и мнения экспертов зачастую весьма различны.

Прецеденты
Однако ближе к делу. Статья 24 закона № 152-ФЗ гласит: “Лица, виновные в нарушении требований настоящего федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность”. Но были ли в правоприменительной практике РФ случаи, чтобы операторы персональных данных привлекались бы к гражданской или уголовной ответственности за несоблюдение тех или иных положений Закона о персональных данных?

“Лично я о таких случаях пока не слышал, — говорит Алексей Сабанов. — Мера наказания всегда напрямую зависит от масштабов ущерба, но публично о понесённых потерях вследствие утечки ПД, насколько мне известно, до настоящего времени никто из отечественных операторов не заявлял. Однако это отнюдь не означает, что ситуация столь безоблачна”.

Впрочем, Николай Федотов в этом не видит ничего удивительного: “Пока рано говорить о правоприменительной практике. Закон ещё не начал действовать в полной мере. К настоящему времени правоохранительные органы не имеют ни методик, ни руководящих указаний, ни прецедентов. Думаю, если ответственность за нарушения в области ПД вообще будет применяться в нашей стране, то начнётся это в 2010—2011 году, не раньше”. С ним согласен и Сергей Вихорев: “Согласно ст. 25.3 этого закона информационные системы персональных данных, созданные до дня его вступления в силу, должны быть приведены в соответствие с требованиями закона не позднее 01.01.2010 г., а согласно ст. 25.4 операторы персональных данных обязаны направить в уполномоченный орган по защите прав субъектов ПД соответствующее уведомление не позднее 01.01.2008 г. Так что законодатель дал время “на раскачку”, и сейчас только отрабатываются механизмы репрессивного воздействия на нарушителей, хотя основы этого механизма уже заложены и в Кодекс РФ по административным нарущениям (КоАП РФ), и в Уголовный кодекс (УК РФ)”.

Несколько иначе оценивает ситуацию Игорь Лукашов: “На самом деле имеющиеся нормы права уже сейчас позволяют привлекать к ответственности виновников утечек ПД. Ведь эти утечки не происходят сами по себе. Они неизбежно сопровождаются другими нарушениями, и, повторюсь, проблема заключается не в отсутствии специального закона, а в нежелании и неумении использовать то, что уже имеется в наличии. Можно назвать по меньшей мере семь федеральных ведомств, которые в рамках действующего законодательства отвечают за соблюдение прав субъектов персональных данных. Это Россвязьохранкультура, Минкомсвязи, ФСБ, ФСТЭК, МВД, Генеральная прокуратура и Следственный комитет. Нельзя сказать, что данные организации бездействуют: принимаются постановления правительства, нацеленные на практическую реализацию закона О персональных данных, вышли ведомственные документы Россвязьохранкультуры и ФСТЭК. Но раз обсуждается тема специального закона об ответственности за утечку ПД, этих усилий, видимо, еще недостаточно. Беда в том, что отсутствует системный подход и, выражаясь военным языком, единоначалие. Кто же должен отвечать за судьбу и защиту персональных данных в целом, а не по кусочкам? На мой взгляд, это должен быть уполномоченный по правам человека, ведь “субъект персональных данных”, если перевести данное выражение на обычный язык, и есть человек”.

Гласность и ответственность
Как мы уже отмечали, согласно закону “О персональных данных” в нашей стране должен быть “уполномоченный орган по защите прав субъектов персональных данных”, который отвечает за ведение реестра операторов ПД. По словам Сергея Вихорева, первоначально функции такого уполномоченного органа были возложены на Россвязьохранкультуру, которая своим приказом № 3 от 11.01.2008 г. определила форму уведомления о намерении обрабатывать персональные данные. Но в мае нынешнего года Дмитрий Медведев подписал указ о передаче этих функций вновь созданной структуре Россвязькомнадзор. Именно она в настоящее время отвечает за реестр операторов ПД, который ведется по административно-территориальным образованиям и очень обширен. Судя по информации, представленной на специально созданном сайте http://pd.rsoc.ru, к середине сентября в отечественном “Реестре операторов персональных данных” было уже более 16 тыс. записей. Списка операторов ПД там нет, но возможен их поиск по названию организации. Иными словами, с помощью этого сайта можно узнать, причислена ли та или иная организация (если, конечно, вы знаете её точное наименование) к лику операторов ПД или не причислена. Не очень-то всё это информативно, но, как говорится, и на том спасибо.

В условиях такого информационного “полумрака” неизбежно возникает вопрос: подпадают ли под статьи Закона о персональных данных и связанных с ним подзаконных актов предприятия и учреждения, отсутствующие в реестре операторов ПД?

“Закон один для всех, — подчёркивает Алексей Сабанов. — Незнание закона не освобождает от ответственности. Заявительный характер процедуры занесения в реестр, конечно, предполагает некоторую свободу для нечестных манёвров: ты можешь не заявлять о себе, но это не значит, что в твоей информационной системе не обрабатываются персональные данные. Однако согласно закону любая компания, которая получает, передаёт, хранит, обрабатывает персональные данные, является оператором ПД и, следовательно, обладает как всеми правами, так и всеми обязанностями такого оператора”.

Но есть и исключения. “Часть 2 статьи 22 закона № 152-ФЗ описывает восемь случаев, когда уведомление уполномоченного органа (и соответственно включение его в реестр) не требуется, — отмечает Николай Федотов. — Работа некоторых предприятий специально выведена из-под этого закона, сюда относятся, например, почта и операторы электросвязи, архивный фонд РФ, правоохранительные органы. Предусмотрены и некоторые другие послабления для государственных органов. Чиновники не любят сами себя обременять дополнительными обязанностями”.

Интересно отметить, что в законе ничего не говорится об ответственности операторов ПД за утечку персональных данных, возникшую в результате злого умысла или по причине халатности персонала. Поэтому многих волнует вопрос: “Существуют ли законодательные акты, устанавливающие такую ответственность”?

“Да, существуют, — говорит Николай Федотов. — Такая ответственность установлена. Но не в ФЗ “О персональных данных”, а в “Кодексе об административных правонарушениях” (ст. 13.11). Правда, ответственность наступает не из-за утечки, а за нарушение установленного порядка обработки ПД. Всякому понятно, что не любое нарушение установленного порядка ведёт к утечке. И не каждая утечка происходит из-за такого нарушения ”. При этом, отмечает Алексей Сабанов, никакого разграничения ответственности по причине утечки (злой умысел или халатность) на данный момент закон не предусматривает.


В западных странах ответственность наступает не за утечку персональных данных, а за нарушение прав граждан вследствие такой утечки.

Между тем Сергей Вихорев не уверен, что законодательные акты, устанавливающие ответственность за утечку ПД, вообще нужны. “Законы писать надо тогда, когда без них уже никак нельзя. Утечка персональных данных по халатности, превышению полномочий или по какой другой аналогичной причине должна оцениваться не только как факт собственно нарушения режима обработки персональных данных, но и как неправомочное деяние, предусмотренное одной из статей УК РФ. Мне эта ситуация напоминает дискуссию конца 90-х годов, когда правоведы рассматривали вопрос о том, как правильно квалифицировать извлечение хакерскими методами информации из их информационной системы: как кражу со взломом (ст. 158 УК РФ) и с отягощающими последствиями или как мошенничество (ст. 159 УК РФ). Мне кажется, это дело следственных органов и судей. Наша задача научить их правильно квалифицировать противоправные действия”.

Зарубежный опыт
Бытует мнение, что в США и некоторых других информационно-развитых странах уже давно принят некий закон об ответственности за утечку персональных данных (дело не в названии, а в сути). Почему же у нас ещё нет такого закона?

“В данном случае важно понимать причинно-следственные связи, — утверждает Алексей Сабанов. — Обладателем большинства самых обширных баз данных является государство. Понятно, что такие БД необходимо защищать. До недавнего времени ответ на вопрос “как именно?” повисал в воздухе. Только сейчас ФСТЭК выпустила свой четырёхтомник, а ФСБ завершила работу над документами с методическими указаниями. Данные материалы рассылаются лицензиатам, причем каналы распространения ФСТЭК и ФСБ никак не пересекаются: каждый рассылает по своим. Отчасти в этих материалах даются ответы на многие вопросы, без которых базовые основы системы защиты государственных БД ранее оставались весьма туманными. Так, описываются меры, необходимые к принятию для обеспечения должного уровня информационной безопасности, условия, процедуры. Разумеется, на всё это нужны средства, а о госбюджете на обеспечение защиты ПД я пока не слышал. Процессуальная, правовая и техническая неготовность государства объясняется отсутствием единого мощного института, который занимался бы исключительно вопросами, связанными с персональными данными граждан и их защитой. Нам нужно, условно говоря, своё агентство национальной безопасности, как в США. А у нас проблемой data privacy системно не занимается никто, вся научная, правовая и организационная работа по защите ПД организована “лоскутно-кусочным” методом”.

Похожую позицию занимает Владимир Ульянов: “Вероятно, за разработку документа об ответственности никто попросту не хочет браться. Мало кто ясно представляет, какой эта ответственность вообще должна быть. Впрочем, помочь тут может опыт зарубежных коллег. Отсрочка работы над законом об ответственности за компрометацию персональных данных крайне негативно отражается на ФЗ “О персональных данных”, который банально не работает. Объяснить причину такого положения сложно”.

Иного мнения придерживается Николай Федотов: “Мне такой зарубежный закон не известен. В так называемых “некоторых” странах ответственность наступает не за утечку персональных данных, а за нарушение прав граждан вследствие такой утечки. И дело, как правило, разрешается в порядке гражданского производства. В России подобная возможность тоже имеется: любое нарушенное право человек может защитить в гражданском порядке (ст.11 ГК РФ). На мой взгляд, в нашей стране специальный закон об ответственности за утечку ПД не нужен, поскольку на сегодняшний день отсутствует общественная опасность таких утечек. Персональные данные российских граждан пока невозможно использовать для мошенничества или иного извлечения дохода. Как следствие злоумышленники ими особо и не интересуются. Таким образом, утечки ПД вряд ли причинят какой-либо вред, кроме морального. И, конечно, не приходится говорить о массовых убытках. Следовательно, пока нет необходимости переносить эти отношения в область публичного права. Вполне достаточно частного”.

С ним соглашается Сергей Вихорев: “Целесообразнее идти по пути внесения дополнений и изменений в действующий УК РФ. Это правильнее и в конце концов прагматичнее”.

Как видим, у наших экспертов нет единого мнения о том, нужен ли России специальный закон об ответственности за утечку данных. Но если такой закон нужен, то кто должен инициировать его обсуждение и принятие?

“Это дело общественных организаций, ассоциаций, альянсов, именно они должны отстаивать права и свободы граждан государства и подвигать власть к тому, чтоб эти права и свободы защищались, — говорит Алексей Сабанов. — Такая роль должна принадлежать независимой третьей стороне, которая а) выступит с инициативой по созданию вышеупомянутого института; б) добьётся его создания и с) инициирует от имени этого института принятие необходимых дополнительных законов, подзаконных актов, указов, поправок, словом, совершит ряд действий, чтобы обозначить правила игры и создать здоровую среду для работы Закона о персональных данных”.

А вот мнение Владимира Ульянова: “Закон об ответственности за утечку ПД должен быть непосредственным спутником ФЗ “О персональных данных”. Таким образом, разработкой законопроекта должен заниматься тот же орган, что несёт ответственность за исполнение ФЗ № 152”.

О том, кто должен инициировать обсуждение и принятие закона об ответственности за утечку персональных данных, мы спрашивали и участников нашего онлайн-опроса. Ответы на него (в порядке убывания голосов) распределились следующим образом: Госдума (30,85%), Президент РФ (18,05%), Председатель Правительства РФ (15,40%), правоохранительные органы (13,55%), некоммерческие общественные организации (10,15%), “иные ответы” (12%). В данном случае из “иных ответов”, то есть тех, что не “запрограммированы” инициаторами опроса, нам больше всего понравился такой: “Всё равно, кто инициирует. Важнее “консенсус” в обществе — надо, чтобы все этого захотели, а уж кто со знаменем из окопа выскочит, не так важно”.

Очень много (21,38%) “иных ответов” вызвал также вопрос “Почему в некоторых странах есть закон об ответственности за утечку персональных данных, а у нас нет?”. Эти ответы можно разделить на две основные примерно равные (по количеству высказываний) категории. Одна группа респондентов во всём винит “верхи” (“Власть любит заниматься не правами граждан, а их обязанностями”; “В таком законе не заинтересована ни одна организация, ни государство, поэтому ничего и не будет”; “Несовершенство законодательства в целом и области ИТ в частности”; “В нашей стране на первом месте стоит государство — люди ничто, когда же мы поймем, что во главе угла находится человек, то и не заметим, как соответствующие законы появятся” и т. д.). Вторая группа корень зла видит в пассивности основной массы рядовых граждан (“Невысокий общий уровень социального сознания, особенно в области защиты прав личности”; “Слишком низкий уровень правосознания общества” и т. д.). Особняком стоят немногочисленные “иные ответы” типа “В России отсутствовали серьезные прецеденты”. В то же время некоторые респонденты отмечают, что соответствующие законы у нас тоже есть (“Ст. 90 в Трудовом кодексе и ст. 13.11 в Административном кодексе”; “КоАП (глава 13), УК (ст. 272)”.

Но ещё больше “иных ответов” (23,10%) вызвал вопрос “Кто должен отвечать за утечку персональных данных?”. Вот лишь некоторые из особых мнений: “Все сразу, каждый в меру своей личной ответственности, ведь утечка обычно не происходит по вине только одного лица”. “Организация в целом, иначе всегда найдётся стрелочник”; “Лицо, ставшее причиной того, что организация располагает “утекшими” данными, т. е. лицо, принявшее решение собирать данные и решившее, какие именно данные следует собирать”. В каждом из этих и других “иных ответов” есть доля истины, но практика показывает, что если должны отвечать все, то обычно не отвечает никто.

Молчание ягнят
Игорь Лукашов раскрывает некоторые философские аспекты проблемы “Быть или не быть в нашей стране закону об ответственности за утечку персональных данных?”. Он говорит: “Будем откровенны — тема защиты прав субъектов персональных данных интересует незначительную часть этих самых субъектов: квалифицированных пользователей, профессиональную ИТ-прессу, административно-управленческий аппарат, производителей и (в меньшей степени) поставщиков ИТ-систем, провайдеров телекоммуникационных услуг и т. п. Абсолютное большинство тех, кого напрямую касается закон “О персональных данных” (а он по сути затрагивает интересы всего взрослого населения страны), остаются в блаженном неведении и потому — в бездействии. Можно сколь угодно долго обсуждать, какому ведомству следует инициировать принятие закона об ответственности за утечку ПД, кто из должностных лиц организации должен отвечать за такую утечку и нужно ли об этой утечке публично оповещать. Но даже если такой закон будет принят, он рискует разделить судьбу множества других неработающих нормативных актов — до тех пор, пока “субъекты персональных данных” не заставят чиновников применять правовые нормы на практике. Есть ли надежда на активизацию массового общественного мнения? Есть. Стоило людям проникнуться законом “О защите прав потребителей”, и мало кому известный Роспотребнадзор превратился чуть ли не в силовую структуру, до недавнего времени “строившую” даже банки. Что может всколыхнуть общественное мнение? Есть два варианта ответа. Первый: просвещение и образование принесут свои плоды, и в этом плане опрос PC Week/RE — хорошая, правильная идея. И второй вариант (менее оптимистичный, но, увы, более вероятный): закон об ответственности за утечку персональных данных появится и заработает только тогда, когда подобная утечка затронет либо кого-то из власть предержащих, либо проявится в массовом масштабе и выйдет за все мыслимые рамки приличия. Почему второй вариант более реален? Да потому, что в этом убеждает вся наша история. Зададимся вопросом: конфиденциальность каких данных важнее для обычного человека — государственной тайны, коммерческой тайны или ПД? А в каком порядке были приняты законы, специально посвященные этим видам тайн? В совершенно обратном — закон “О государственной тайне” (1993), “О коммерческой тайне” (2004), “О персональных данных” (2006). Можно, конечно, сокрушаться по поводу нерасторопности депутатов или системы приоритетов их законотворческой деятельности. Но кто выбирает самих депутатов?”

Однако вернёмся с философских небес на прагматичную землю и рассмотрим ещё некоторые исторически сложившиеся реалии. Согласно статье 19.2 закона о ПД “…Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”. А кто должен устанавливать степень ответственности за утечку данных из информационных систем ПД?

“Законодательная власть, — считает Алексей Сабанов. — Но при этом правила игры должны быть определены институтом, занимающимся всем кругом вопросов, которые связаны с персональными данными”. А вот мнение Сергея Вихорева: “Степень ответственности должен устанавливать суд и только суд”. Интересен взгляд Владимира Ульянова: “Степень ответственности за утечку персональных данных должен устанавливать орган, ответственный за исполнение самого закона. Потому что ответственность должна быть не только и даже не столько карающим фактором, сколько мотивирующим”. С этим утверждением трудно не согласиться.

Отчёт перед субъектами ПД
Согласно итогам нашего опроса среди респондентов не было единодушия в вопросе: “Должна ли коммерческая компания (или госучреждение) публично объявлять об утечках персональных данных из своих информационных систем?”. Как нет его и среди экспертов.

Владимир Ульянов говорит: “Обязательно должна. Подобная мера исключительно хороша в качестве дисциплинирующего и мотивирующего фактора. Лучшие зарубежные практики показывают, что уведомления об утечках заставляют компании внимательнее относиться к защите персональных данных. Да, публично признаться в утечке означает серьёзно подорвать свою репутацию. Данное утверждение особенно актуально для компаний финансовой сферы, а также для рынков с хорошей конкуренцией. И именно поэтому организации не стремятся сообщать о случившихся инцидентах. В условиях же, когда рапортовать об утечке надо будет обязательно, у компаний не останется другого способа сохранить свою репутацию, кроме как не допускать утечек. Более того, если компания всерьез займется защитой персональных данных, наверняка будет повышена и безопасность всех информационных ресурсов в целом. Что может быть чрезвычайно полезно для бизнеса”.

С ним не согласен Николай Федотов. Он говорит: “Публично — не должна. Мне не удаётся придумать ситуацию, когда публичное объявление об утечке принесло бы пользу. Другое дело, что для некоторых утечек (подчёркиваю — некоторых) было бы полезно уведомлять субъектов персональных данных, чтобы они могли принять защитные меры против мошенничества. Именно такая обязанность введена местными законами в большинстве штатов США; аналогичный законопроект рассматривается в Великобритании. Массовое уведомление субъектов ПД на практике приводит к публикации факта утечки в прессе, но это лишь следствие, а не обязанность. Для других типов утечек даже уведомление потенциальных потерпевших противопоказано. Например, в тех случаях, когда меры противодействия и меры по нейтрализации последствий утечки не находятся в компетенции субъекта ПД”.

Более осторожен в своих высказываниях Алексей Сабанов: “На этот вопрос сложно ответить однозначно. Согласно законодательству, если субъект ПД собственноручной подписью разрешает использовать свои персональные данные оператору, то далее вопрос о том, как ими распорядиться, полностью лежит на совести этого оператора. И здесь уже ничего не попишешь. Фактически нигде не прописано, что компания, допустившая утечку ПД, обязана публично об этом заявить. Однако мы считаем, что честная компания должна оставаться честной даже в такой критической ситуации. Иначе ни о каком доверии не может быть и речи ”.

Аналогичной позиции придерживается Сергей Вихорев: “С точки зрения обладателя персональных данных (то есть с точки зрения обывателя) такую информацию надо немедленно и в полном объеме объявлять. С точки зрения самого оператора — нет. И тому много причин, в том числе такая, что объявление об утечке спровоцирует активизацию хакеров и приведет к ещё худшим последствиям. Думаю, что в каждом конкретном случае к этой теме надо подходить индивидуально”.

А вот при ответе на вопрос: “Должна ли коммерческая компания (или госучреждение) объявлять об утечках персональных данных тем лицам, чьи данные утекли?” — наши эксперты были практически единодушны: “Безусловно и безоговорочно — да!” (Сергей Вихорев); “Непременно должна. Это делается во всех цивилизованных странах. Однако даже когда есть довольно много прецедентов, понятно, что далеко не все они доходят до СМИ” (Алексей Сабанов); “Обязательно должна. Уведомление об утечке ПД — это не пустая формальность, а первейшая и самая необходимая помощь потенциальным жертвам. Соглашусь с мнением, что сегодня проблема кражи личных данных не стоит в России слишком остро. Но распространение потребительского кредитования и ведение всевозможных электронных реестров наверняка будет способствовать эскалации проблемы. В России уже известны случаи, когда преступники брали кредиты, используя чужие персональные данные. Кроме того, если отталкиваться от опыта развитых западных стран, прошедших по данному пути чуть раньше России, то можно ожидать, что подобного рода мошенничества станет больше” (Владимир Ульянов).

Международное право
В Законе о персональных данных есть интересный пункт. Он имеет номер 4.4 и гласит: “Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора”. Но существуют ли международные договоры, касающиеся прав субъектов персональных данных, которые обязана соблюдать Россия?

“Да, существуют, — отмечает Николай Федотов. — Это “Конвенция о защите физических лиц при автоматизированной обработке персональных данных” 1981 г. (с изменениями от 1999-го). Но требования данной конвенции значительно более мягкие и менее конкретные, чем в ФЗ “О персональных данных”. Поэтому применять её положения напрямую затруднительно”.

“В Государственной думе в начале этого года рассматривался предложенный российским правительством законопроект “«О внесении изменений в некоторые законодательные акты РФ в связи с принятием федерального закона “О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и закона “О персональных данных»”, — добавляет Сергей Вихорев. — Предлагаемые изменения предусматривают реализацию следующих принципов: обязательное согласие субъекта персональных данных на предоставление или обработку ПД; установление повышенных мер охраны и защиты особых категорий ПД; право доступа субъекта ПД к персональных данным о себе по запросу; право субъекта персональных данных на возражение против их обработки; регистрация ИС персональных данных; возможность обжалования действий оператора информационной системы персональных данных в уполномоченный орган по защите ПД”.

Моральный ущерб
Однако в практическом плане более интересны и понятны местные порядки. В пункте 17.2 Закона о персональных данных говорится: “Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке”. C возмещением прямых убытков всё более или менее ясно. Но по какому принципу в данном случае производится компенсация за моральный ущерб?

“Чётких норм и критериев оценки, по которым рассчитывается сумма морального ущерба, нет, — говорит Алексей Сабанов. — О практике ведения таких дел с позиции закона “О персональных данных” слышать не доводилось. Наиболее разумным представляется подробное, детализированное слушание по каждому делу с фиксацией последствий, в основе которых лежит утечка персональных данных. Есть и некоторые исходные позиции, например, статус пострадавшего: предположим, актриса по разным причинам имеет моральное право скрывать свой возраст или число пластических операций. Понятно, что если подобная информация станет предметом всеобщего достояния, это может самым негативным образом отразиться на её карьере, здоровье, а возможно, и жизни”.

“Оценка проводится по принципам гражданского права, — отмечает Николай Федотов. — Упрощённо говоря, истец представляет суду свои требования по компенсации морального вреда и их обоснования. Суд их рассматривает и определяет размер компенсации (ст. 151 ГК РФ). Кстати, субъект персональных данных имел бы право на компенсацию морального вреда, даже если бы об этом и не говорилось в законе напрямую“.

“Принципы оценки компенсации за моральный ущерб известны и применяются на практике судебными органами при оценке морального ущерба в любых других ситуациях, — добавляет Сергей Вихорев. — Не вижу препятствий, чтобы данные принципы применить и к проблеме персональных данных”.

Владимир Ульянов резюмирует: “К сожалению, моральный вред — субстанция крайне неопределенная. И на данный момент определять её каким-либо иным путем, кроме судебного, не представляется возможным. Как мне думается, в каждом конкретном случае именно судьи должны определять размер материальной компенсации за нематериальный ущерб. То есть накладывать штрафы исходя из обстоятельств и последствий (возможных или случившихся) конкретной утечки. Разумеется, моральный вред для различных граждан из одной скомпрометированной базы данных существенно различается, но на первых порах можно ограничиться усредненным ущербом для одного человека. Одно только это обстоятельство заставит компании охранять персональные данные более бдительно”.

Резюме
На этой позитивной ноте мы заканчиваем “затравочное” обсуждение вопроса, который так или иначе касается всех нас. Надеемся, что в итоге состоявшегося разговора “субъекты ПД” (то есть практически все физические лица страны) станут более активно отстаивать свои права, а “операторы ПД” (которых только в соответствующем официальном реестре уже насчитывается около 15 тыс.) станут несколько ответственнее относиться к тем сведениям, которые хранятся в их базах данных.