В настоящее время вопросы защиты персональных данных приобретают принципиально важное значение в связи с ростом фактов их незаконного использования, в том числе в преступных целях. Например, с их помощью приобретаются и активируются SIM-карты по чужим паспортным данным для последующего использования в телефонном мошенничестве или иных преступлениях, осуществляется незаконный доступ к системе государственных и муниципальных услуг, оформляются микрозаймы и многое другое.

В целях предотвращения утечки персональных данных в настоящее время действует система мер, направленная на предупреждение неправомерного доступа к таким сведениям, предусмотренная Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон №152-ФЗ).

Так, статьей 3 Закона № 152-ФЗ определено, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

По общему правилу обработка персональных данных допускается только с согласия субъекта персональных данных, что означает запрет получать, хранить, использовать и передать персональные данных без согласия такого лица.

Однако, данное правило имеет ряд исключений. Например, обработка разрешена в связи с участием лица в судопроизводстве, для исполнения судебного акта, для исполнения договора, стороной которого является субъект данных и некоторых других случаях. Одним из встречающихся примеров правомерной обработки персональных данных без согласия их владельца является передача сведений управляющей компанией ресурсоснабжающей организации о собственнике жилого помещения в целях взыскания с собственника помещения задолженности за коммунальные услуги.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам, за исключением установленных законом случаев, а также обеспечить правовые, организационные и технические меры защиты от неправомерного или случайного доступа к ним (ст.ст. 7, 18.1, 19 Закона № 152-ФЗ).

Прежде всего, оператору необходимо разработать политику в отношении обработки персональных данных и обеспечить неограниченный доступ к ней, в том числе на его Интернет-сайте, если сбор персональных данных осуществляется с использованием такого сайта (ч. 2 ст. 18.1 Закона № 152-ФЗ).

Кроме того, в организации должно быть определено ответственное за организацию обработки персональных данных лицо, которое контролирует соблюдение законодательства, доводит его требования до сведения остальных работников (п. 1 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Основными мерами защиты персональных данных является определение угроз безопасности при их обработке в информационных системах, идентификация и аутентификация субъектов доступа, хранение данных на учтенных носителях и исключение несанкционированного доступа к ним, обеспечение функционирования антивирусной защиты информационной системы, регулярный анализ защищенности информационных систем и их тестирование, взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, включая информирование об инцидентах, повлекших неправомерную передачу данных и ряд других мер, предусмотренных Законом № 152-ФЗ, приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных».

За незаконную обработку персональных данных в отсутствие согласия субъекта, например, размещение в общедомовом чате сведений о собственниках жилых помещений, включая их дату рождения, паспортные данные предусмотрена административная ответственность по ч. 1 ст. 13.11 КоАП РФ в виде штрафа, для граждан размер которого составляет от 10 до 15 тыс. руб., должностных лиц – от 50 до 100 тыс. руб., для юридических лиц – от 150 до 300 тыс. руб.

Нарушение иных требований, связанных с незаконной обработкой персональных данных, либо обработкой в отсутствие уведомления Роскомнадзора, либо нарушением мер безопасности при их обработке влечет административную ответственность согласно ч.ч. 2-18 ст. 13.11 КоАП РФ.

Кроме того, к работникам, допустившим нарушения правил обработки персональных данных, может быть применена дисциплинарная ответственность по ст. 192 ТК РФ (замечание, выговор), а за разглашение персональных данных другого работника возможно увольнение в соответствии с пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Также законодательно установлены гражданско-правовые механизмы восстановления прав лиц, чьи персональные данные незаконно использовались. В частности, предусмотрена возможность возмещения убытков (ст. 15 ГК РФ), компенсация морального вреда (ст. 151 ГК РФ, ч. 2 ст. 24 Закона № 152-ФЗ).

С ноября 2024 г. введена уголовная ответственность (ст. 272.1 УК РФ) за незаконные сбор, хранение, использование, передачу или распространение компьютерной информации, содержащей персональные данные, полученные путем неправомерного доступа или иным незаконным путем, с наказанием вплоть до лишения свободы на срок до 4 лет.