Доброго дня, насколько законна продажа баз данных, содержащих персональные данные клиентов?
Привествуем вас!
Сама по себе продажа баз данных (БД) с персональными данными физических лиц, которые не давали своего письменного согласия на такую продажу и распространение, будет нарушением Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 06.02.2023) “О персональных данных”.
Анализ судебно-следственной практики показывает, что деяния в форме распространения баз персональных данных обычно квалифицируются по ч. 1 ст. 137 УК РФ, предусматривающей ответственность за незаконное распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.
Однако, согласно ч. 3 ст. 20 УПК РФ деяния, предусмотренные ч. 1 ст. 137 УК РФ, относятся к делам частно-публичного обвинения и возбуждаются не иначе как по заявлению потерпевшего или его законного представителя. Отсутствие заявления потерпевшего или его законного представителя является на практике существенным препятствием для привлечения виновного лица к уголовной ответственности.
Примером из числа редких дел, доведенных до суда, может являться уголовное дело по ч. 3 ст. 30, ч. 1 ст. 137 УК РФ, возбужденное в отношении гражданина Ш., который распространял путем продажи компакт-диска с файлом базы данных жителей г. Оренбурга, содержащих в том числе фамилию, имя, отчество, дату рождения, адрес проживания, место работы. Из 7 лиц, признанных потерпевшими по делу, 6 узнали о нарушении прав и обратились с заявлением о привлечении нарушителя к уголовной ответственности только после того, как сотрудники отдела “К” УВД по Оренбургской области им сообщили о выявленном факте распространения персональных данных. При этом 3 из них являлись сотрудниками правоохранительных органов. Единственным потерпевшим, самостоятельно обратившимся с заявлением о привлечении нарушителя к ответственности, был сотрудник, который лично получил оперативную информацию о том, что неизвестное лицо распространяет сведения о жителях г. Оренбурга.
Тем не менее, такое преступление редко совершается одно, обычно мы видим целый набор статей УК РФ.
Прежде всего, это может быть ст. 272 УК РФ, которая применяется, когда БД была получена незаконным способом, например, взломана сеть или некая система.
Также это делается зачастую с помощью контрафактного программного обеспечения, а это может вызвать применение ч. 2 ст. 146 УК РФ.
Если покупатель заплатит хорошую цену, а на деле окажется, что база данных является незаконной, то возникает статья 159 УК РФ (мошенничество).
При отсутствии заявления потерпевшего или его законного представителя о привлечении виновного лица к уголовной ответственности, оно может быть привлечено к административной ответственности в соответствии со ст. 13.11 КоАП РФ за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Например, за опубликование на своем сайте в Интернете данных нескольких сотен сослуживцев (адреса, телефоны, даты приема на работу и уровень заработной платы) привлекался к ответственности по ст. 13.11 КоАП РФ работник молочного комбината “Нижегородский”. В качестве санкции ст. 13.11 КоАП РФ предусматривает предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей, что явно не соответствует уровню общественной опасности деликта. (Материал об административном правонарушении Л. Горбунова по ст. 13.11 КоАП РФ // Архив Приокского районного суда г. Нижний Новгород, 2005.)
Сейчас по ч. 2 ст. 13.11 КоАП РФ юрлицо может быть подвергнуто наказанию:
на должностных лиц - от 20 до 40 тысяч рублей; на юридических лиц - от 30 до 150 тысяч рублей.
Там еще могут начаться проблемы с Роскомнадзором, так как участники такой сделки явно не собираются регистрироваться как операторы.
1 лайк
Благодарю за столь подробный и развернутый ответ
1 лайк