В этой статье мы рассмотрим вопрос получения компенсации морального вреда субъектами персональных данных (далее — ПДн) при утечке их ПДн, предусмотренные Гражданским Кодексом Российской Федерации (далее — ГК РФ).

Утечки данных в РФ и в мире с каждым годом становятся масштабнее. В современном мире ПДн стали одним из самых ценных активов. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) за 2024 г. зафиксировал 135 случаев утечек баз данных, в которых содержалось более 710 млн записей о россиянах.

 

Основные понятия

Прежде чем перейти к вопросу получения компенсации морального вреда при утечке ПДн, рассмотрим, что понимается под терминами: ПДн, обработка ПДн, утечка ПДн, моральный вред, компенсация морального вреда.

Согласно Федеральному закону от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), под ПДн понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (далее — субъекту ПДн). 152-ФЗ устанавливает правовые основы для обработки ПДн, включая сбор, хранение, использование и передачу. 

Обработка ПДн — это жизненный цикл персональной информации, начиная с момента, когда субъект ПДн передал данные оператору, и заканчивая их уничтожением, которое производится при наличии соответствующих оснований.

Под утечкой ПДн понимается неправомерная передача (предоставление, распространение, доступ) информации.

Согласно ст. 151 ГК РФ, под понятием моральный вред понимается физические или нравственные страдания, причиненные действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину нематериальные блага.

Пленум Верховного Суда РФ разъясняет, что моральный вред, в частности, может заключаться в нравственных переживаниях в связи с невозможностью продолжать активную общественную жизнь, потерей работы, раскрытием семейной, врачебной тайны, распространением не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина, временным ограничением или лишением каких-либо прав, физической болью, связанной с повреждением здоровья либо в связи с заболеванием, перенесенным в результате нравственных страданий, и др.

Компенсация морального вреда — это возмещение физических страданий или нравственных переживаний человека, причиной которых стали неправомерные действия или бездействие причинителя вреда.

 

Последствия утечки ПДн

Последствия утечек ПДн могут оказаться серьезными для субъектов ПДн. Существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:

• от разглашения любой информации, имеющей отношение к личности;
• от шантажа;
• от неправомерного списания средств с банковской карты;
• от вмешательства в личную жизнь;
• от неправомерного использования злоумышленниками ПДн в методах социальной инженерии.

 

Основание для подачи иска

Если происходит нарушение личных неимущественных прав, таких как жизнь, здоровье, достоинство личности, свобода, личная неприкосновенность, неприкосновенность частной жизни, и семейная тайна, честь и доброе имя, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, и др. вследствие утечки ПДн, субъект ПДн вправе потребовать компенсации морального вреда. Это право прописано в ч. 2 ст. 17, ч. 2 ст. 24 152-ФЗ, а также в п. 1 Постановления Пленума Верховного Суда РФ № 33.

В случае утечки ПДн действуют общие нормы о компенсации причиненного вреда, предусмотренных ст. 151 ГКРФ.

Судебная практика по защите прав субъектов ПДн в РФ охватывает широкий спектр категорий, наиболее распространенными из которых являются:

• неправомерный сбор, обработка или передача ПДн;
• нарушение прав доступа субъектов ПДн к своей информации;
• утечка данных и нарушение безопасности.

Важным фактором в таких судебных разбирательствах является доказательная база причинно-следственных связей между моральным ущербом и утечкой ПДн. Истцу необходимо описать и обосновать, какие страдания он понёс. Обычно достаточно последовательных показаний самого истца, возможно, подтверждённых свидетельскими показаниями (родственников, коллег, которые заметили изменившееся состояние истца, медицинских справок, подтверждающих ухудшение здоровья), а также доказательство того, что страдания истца явились следствием именно утечки (действий ответчика).

 

Порядок подачи иска

Алгоритм подачи иска о защите ПДн обладает некоторыми характерными особенностями. Истцом в спорах о защите ПДн выступает гражданин, с данными которого совершены незаконные, по его мнению, действия. В отдельных случаях предъявить в суд соответствующий иск в защиту прав субъекта ПДн — гражданина может Роскомнадзор на основании полномочий, указанных в ч. 1 ст. 23 152-ФЗ. Ответчиком в таких спорах является оператор ПДн.

Такие дела рассматриваются в качестве суда первой инстанции районным судом согласно ст. 24 Гражданско-процессуального Кодекса Российской Федерации (далее — ГПК РФ). По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации — в суд по ее адресу согласно ст. 28 ГПК РФ. При этом иски о защите прав субъекта ПДн, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться и в суд по месту жительства истца согласно ч. 6.1 ст. 29 ГПК РФ.

Требования, связанные с нарушением прав на обработку ПДн, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК РФ.

При заявлении такого требования субъекту ПДн необходимо доказать, какого рода вред был нанесен и каким образом он связан с утечкой.

Только суд может решать, в каждом случае, какую именно назначить итоговую компенсацию каждому пострадавшему с учётом обстоятельств, при которых им был причинен моральный вред, это приводит к значительным различиям в размерах присуждаемых компенсаций. Судебная практика начиная с 2022 года говорит о том, что появляется ряд случаев, когда суды удовлетворяют требования граждан пусть частично, но признавая сам принцип: нарушение законодательства о персональных данных порождает моральный вред, достойный компенсации. Поначалу суммы остаются небольшими (от 5000 руб.), но динамика такова, что уже в 2023–2024 гг. наблюдается рост присуждаемых сумм, вплоть до сотен тысяч рублей в отдельных делах. Беспрецедентным примером является на данный момент судебный иск 2024 года: жительница Санкт-Петербурга стала жертвой мошенников, которые имея доступ к её персональным данным, оформили на её имя кредит в микрофинансовой организации. Истец получила судебный приказ о взыскании якобы ее долга. Юристы собрали доказательства того, что неправомерное использование персональных данных истца (утечка/кража этих данных) привело к конкретным тяжёлым последствиям — и суд встал на сторону потерпевшей, назначив компенсацию морального вреда в размере 150 000 руб. Данный пример показывает изменение подхода: суды начинают присуждать более существенные компенсации, особенно когда утечка данных привела к реальным угрозам для благосостояния или прав гражданина. 

Согласно ст. 98 ГПК РФ, обязанность по возмещению судебных расходов (государственная пошлина, почтовые расходы, расходы на адвоката), связанных с участием в разбирательстве, ложится на плечи проигравшей стороны; также, в случае если иск заявителя удовлетворен частично, суд выносит решения о разделении издержек между сторонами.

Согласно письму Федеральной налоговой службы от 26 апреля 2024 г. № БС-4-11/5038@, если организация — оператор ПДн выплачивает субъекту ПДн компенсацию в связи с утечкой его ПДн, такая компенсация облагается НДФЛ, так как перечень доходов, освобождаемых от НДФЛ, приведен в ст. 217 Налогового Кодекса РФ, и такого вида дохода, как компенсация за утечку ПДн, в этом перечне нет. Таким образом, налогообложение компенсации производится в общеустановленном порядке. Организация – оператор ПДн в этом случае будет выступать в роли налогового агента.

 

Как доказать моральный ущерб

Для обоснования физических страданий можно использовать медицинские документы, такие как заключения экспертов, врачей, выписки из больниц, медкарты, результаты анализов.

Для доказательства нравственных страданий подойдут показания свидетелей. Например, если близкие замечали, что у человека появилась бессонница, приступы паники.

Перед подачей искового заявления стоит проанализировать судебную практику по аналогичным делам в своём регионе и взять за основу средний размер компенсации морального вреда. В исковом заявлении нужно максимально подробно описать, какие конкретно страдания испытаны и как эти страдания связаны с утечкой ПДн.

 

Заключение

В настоящее время субъект ПДн может рассчитывать на получение компенсации морального вреда при утечке его ПДн, если такой вред будет доказан в судебном порядке. Субъект ПДн может рассчитывать на возмещение судебных издержек в случае положительного решения суда в его пользу. Ответчиком в таких спорах является оператор ПДн. В случае получения субъектом ПДн компенсации морального вреда в связи с утечкой его ПДн, такая компенсация облагается НДФЛ. Оператор ПДн в этом случае выступает налоговым агентом. Также мы видим, что Правительство РФ стремится улучшить обстановку в области защиты ПДн путем повышения уровня ответственности за правонарушения в области информационной безопасности.