Отношения, связанные с защитой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее – Закон о персональных данных). В этом законе дано определение персональных данных, закреплены права субъекта персональных данных, установлены принципы и условия обработки персональных данных, а также предусмотрена ответственность за нарушение установленных правил и назначен орган, уполномоченный защищать права субъектов персональных данных. К сожалению, на практике положения закона не всегда выполняются, а права субъектов персональных данных периодически нарушаются. Обработка данных без согласия их субъектов, с нарушением условий обработки и хранения могут привести к утечкам персональных данных. В таких ситуациях пострадавшие задаются логичным вопросом: "Как защитить свои права?" Предусмотренные законом механизмы Общие основания ответственности за нарушение прав субъектов персональных данных установлены статьей 24 Закона о персональных данных. Там сказано, что лица, виновные в нарушении требований этого закона, несут ответственность, предусмотренную законодательством Российской Федерации. Моральный вред, причиненный субъекту персональных данных, подлежит возмещению, независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Таким образом, за нарушение прав субъектов персональных данных виновное лицо можно наказать при помощи разных видов юридической ответственности: административной, уголовной или гражданско-правовой. Административная ответственность за нарушение законодательства о персональных данных предусмотрена статьей 13.11 Кодекса об административных правонарушениях Российской Федерации. Разными частями этой статьи установлена административная ответственность за следующие нарушения: нарушение правил обработки персональных данных; неисполнение обязанностей при взаимодействии с гражданином – субъектом персональных данных; невыполнение требований по защите персональных данных; неисполнение обязанностей при взаимодействии с Роскомнадзором. Для каждого вида нарушений в зависимости от конкретных обстоятельств предусмотрены определенные суммы административных штрафов. К примеру, за обработку персональных данных в целях, несовместимых с целями их сбора, или за обработку в не предусмотренных законом случаях максимальный штраф для должностных лиц составит 20 тыс. рублей, для организации – 100 тыс. рублей. Более существенные нарушения влекут более существенные штрафы. Так, за обработку персональных данных с использованием баз данных, находящихся за пределами РФ, должностные лица могут получить штраф в размере до 200 тыс. рублей, юридические лица – до 6 млн рублей. За повторное нарушение должностных лиц оштрафуют на 800 тыс. рублей, а организации – на 18 млн рублей. В отдельных случаях может наступить и уголовная ответственность. Пример – статья 137 УК РФ, предусматривающая лишение свободы сроком до двух лет за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну без его согласия. Тот же срок можно получить за неправомерный доступ к компьютерной информации, в том числе содержащей персональные данные – это состав статьи 272 УК РФ. Что делать? Необходимо отметить, что административная и уголовная ответственность не нацелены на возмещение убытков пострадавшего и компенсацию морального вреда. Для решения этой задачи в дело вступает гражданско-правовая ответственность. Важный момент – инициатива в таком случае должна исходить от потерпевшей стороны. Именно пострадавший должен будет собрать доказательства и обратиться в суд. Каких-то формальных требований к сбору нет – действуют общие нормы о доказательствах и доказывании. В частности, пострадавшему нужно доказать факт нарушения прав, размер причиненных убытков и причинную связь между нарушением и последствиями. В качестве доказательств можно использовать документы, скриншоты, показания свидетелей, электронные письма, переписку в мессенджерах и так далее. Анализ российской судебной практики показывает, что суммы компенсации морального вреда по подобным делам суды определяют, как правило, небольшие. Тем не менее, не стоит забывать о том, что с ответчиков также взыскиваются расходы на представителей и оплату госпошлины, а победивший в суде субъект персональных данных вместе с парой тысяч рублей получает и моральное удовлетворение от состоявшегося в его пользу решения. Защищать свои права, связанные с персональными данными, можно и нужно! Российское законодательство дает широкий спектр инструментов для такой защиты в виде административной, уголовной или гражданско-правовой ответственности.
