Уголовная ответственность за утечку и кражу персональных данных может наступить по нескольким статьям УК РФ, в зависимости от конкретных обстоятельств дела.
По статье 137 УК РФ "Нарушение неприкосновенности частной жизни" к ответственности могут быть привлечены физические лица, которые умышленно собирали или распространяли сведения о частной жизни лица, составляющие его личную или семейную тайну, без его согласия. То есть, речь идет о данных, которые сам человек предпочитает не разглашать публично.
Если же персональные данные были похищены из информационных систем, то помимо статьи 137, действия злоумышленника могут быть квалифицированы по статье 272 УК РФ "Неправомерный доступ к компьютерной информации". А если для получения данных использовались вредоносные программы - то и по статье 273 УК РФ.
Сотрудники организаций, нарушившие правила обработки персональных данных или эксплуатации информационных систем, если это привело к утечке, могут быть привлечены по статье 274 УК РФ. Но на практике эта статья применяется редко, так как требует доказать причинение крупного ущерба свыше 1 млн рублей. Поэтому чаще такие дела квалифицируют по статье 272 УК РФ.
На практике были случаи возбуждения уголовных дел по фактам краж и утечек персональных данных. Например, в 2019 году МВД задержало подозреваемого (https://www.vedomosti.ru/finance/articles/2019/10/24/814645-zaderzhan-podozrevaemii) в хищении персональных данных клиентов нескольких банков, в том числе Сбербанка. Им оказался сотрудник коллекторского агентства «Национальная служба взысканий». Против него возбудили уголовное дело по ч. 3 ст. 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), предусматривающей до пяти лет лишения свободы. Сбербанк расторг договор с агентством и пообещал провести аудит систем защиты персональных данных своих подрядчиков.
Другой случай произошел в 2022 году, когда произошла утечка данных пользователей сервиса «Яндекс.Еда» (https://www.rbc.ru/society/06/08/2022/62ed82249a79476795ab9b0e). По факту инцидента Следственный комитет возбудил уголовное дело по трем статьям: ч. 1 ст. 137 (нарушение неприкосновенности частной жизни), ч. 3 ст. 272 (неправомерный доступ к компьютерной информации) и ч. 2 ст. 273 (создание, использование и распространение вредоносных программ). Компания подала заявление о незаконном доступе к данным сразу после обнаружения утечки, принесла извинения клиентам и приняла меры для предотвращения подобных инцидентов. Тем не менее, Роскомнадзор оштрафовал «Яндекс.Еду» на 60 тыс. рублей, а ряд клиентов подал коллективный иск о компенсации морального вреда.
Таким образом, уголовная ответственность за утечки персональных данных в каждом случае будет определяться исходя из конкретных обстоятельств - умысла виновных лиц, их статуса (обычные граждане или сотрудники оператора данных), способа завладения информацией и масштаба ущерба.
Сливы яндексов, почтросий и прочих попадают под определение крупного ущерба? Как там с уголовной ответственностью? Кого-то посадили?
Уголовная ответственность за утечку и кражу персональных данных может наступить по нескольким статьям УК РФ, в зависимости от конкретных обстоятельств дела.
По статье 137 УК РФ "Нарушение неприкосновенности частной жизни" к ответственности могут быть привлечены физические лица, которые умышленно собирали или распространяли сведения о частной жизни лица, составляющие его личную или семейную тайну, без его согласия. То есть, речь идет о данных, которые сам человек предпочитает не разглашать публично.
Если же персональные данные были похищены из информационных систем, то помимо статьи 137, действия злоумышленника могут быть квалифицированы по статье 272 УК РФ "Неправомерный доступ к компьютерной информации". А если для получения данных использовались вредоносные программы - то и по статье 273 УК РФ.
Сотрудники организаций, нарушившие правила обработки персональных данных или эксплуатации информационных систем, если это привело к утечке, могут быть привлечены по статье 274 УК РФ. Но на практике эта статья применяется редко, так как требует доказать причинение крупного ущерба свыше 1 млн рублей. Поэтому чаще такие дела квалифицируют по статье 272 УК РФ.
На практике были случаи возбуждения уголовных дел по фактам краж и утечек персональных данных. Например, в 2019 году МВД задержало подозреваемого (https://www.vedomosti.ru/finance/articles/2019/10/24/814645-zaderzhan-podozrevaemii) в хищении персональных данных клиентов нескольких банков, в том числе Сбербанка. Им оказался сотрудник коллекторского агентства «Национальная служба взысканий». Против него возбудили уголовное дело по ч. 3 ст. 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), предусматривающей до пяти лет лишения свободы. Сбербанк расторг договор с агентством и пообещал провести аудит систем защиты персональных данных своих подрядчиков.
Другой случай произошел в 2022 году, когда произошла утечка данных пользователей сервиса «Яндекс.Еда» (https://www.rbc.ru/society/06/08/2022/62ed82249a79476795ab9b0e). По факту инцидента Следственный комитет возбудил уголовное дело по трем статьям: ч. 1 ст. 137 (нарушение неприкосновенности частной жизни), ч. 3 ст. 272 (неправомерный доступ к компьютерной информации) и ч. 2 ст. 273 (создание, использование и распространение вредоносных программ). Компания подала заявление о незаконном доступе к данным сразу после обнаружения утечки, принесла извинения клиентам и приняла меры для предотвращения подобных инцидентов. Тем не менее, Роскомнадзор оштрафовал «Яндекс.Еду» на 60 тыс. рублей, а ряд клиентов подал коллективный иск о компенсации морального вреда.
Таким образом, уголовная ответственность за утечки персональных данных в каждом случае будет определяться исходя из конкретных обстоятельств - умысла виновных лиц, их статуса (обычные граждане или сотрудники оператора данных), способа завладения информацией и масштаба ущерба.