РКН сообщил, что с момента вступления в силу поправок в КоАП в суды были направлены 15 дел об утечках ПД. Кстати, с начала года было зафиксировано 103 утечки, снова по информации РКН. И все же с трепетом ждем решений по этим делам, ведь именно они рискуют заложить фундамент новой практики по утечкам. То есть вопрос и правда фундаментальный. Напомним, вот уже с лета дела по ПД рассматриваются арбитражными судами.
А пока мы в предвкушении, решили посмотреть уже имеющуюся арбитражную практику. Дел не так много, но есть симпатичные.
Образец более гибкого подхода – суд по причине малозначительности нарушения отказал в привлечении к ответственности за отсутствие на сайте компании куки-баннера / иного основания обработки куки. На сайте используется Яндекс Метрика. Дело было по ч. 1 ст. 13.11 КоАП. Занятно, такое нам нравится!
Некоторые суды пока в стадии отрицания новой реальности и отказывают в рассмотрении дел по 13.11 КоАП в связи с … неподсудностью. Аргумент, например, такой: дело связано не с предпринимательской деятельностью, а с необходимостью соблюдения законодательства о ПД. Это забавно, но сойдет ли в качестве аргумента против рассмотрения дела об утечке в арбитражном суде?
И они туда же… Суд посчитал, что только лишь номер телефона вовсе не ПД, конечно, если без привязки к другим идентификаторам (ФИО, СНИЛС, паспортные данные). Хотя суть дела была в том, что на номер субъекта поступило нежелательное СМС!
Уже многие смотрели интересное решение по делу об утечке РЖД. Один из самых спорных моментов – суд согласился с РКН и определил подходящий состав нарушения по старой редакции ст. 13.11 КоАП. Ок, ведь утечка, судя по всему, имела место до вступления в силу поправок. НО размер штрафа был определен уже по новой редакции. Кажется, судья попросту забыл проверить редакцию КоАП, актуальную на момент утечки.
А что по тактике защиты РЖД? Вот и нам стало интересно. Факт утечки РЖД отважно не подтверждал, даже когда получил запрос РКН по утечке. Затем – внеплановая проверка. В суде среди аргументов РЖД видим только референс на Политику безопасности, что, по понятным причинам, суд не впечатлило – только лишь наличие документа не свидетельствует о его исполнении. Верим, что больший эффект на суд произвели бы артефакты, демонстрирующие наличие реальных privacy-процедур и контролей. Об этом подробнее в нашем чек-листе.
Мы сохраняем оптимистичный настрой в отношении передачи дел по 13.11 КоАП арбитражным судам и ожидаем более гибкого подхода к разрешению дел по ПД. Всего в арбитражных судах сейчас рассматривается более 50 дел по ПД. Так что в самое ближайшее время увидим новые и, возможно, неожиданные тейки и подходы судов.
Кстати, кто-то мог видеть новости о том, что уже имеется позитивная практика, когда компаниям удалось прекратить административное расследование, не доводя дела до суда. Хотелось бы верить в лучшее, но по словамРКН пока только по одному административному расследованию факт утечки не был подтвержден. Поэтому, как и раньше, больше верим в возможность добиться прекращения дела в суде, чем на этапе расследования дела РКН. Но не стоит забывать, что для благоприятного разрешения дела судом крайне важно выстроить корректную линию поведения и на этапе взаимодействия с РКН.