Уход от компенсации

Корреспондент арбитражного отдела «Ъ» Ян Назаренко на собственном опыте убедился, что взыскать с бизнеса компенсацию морального вреда за утечку персональных данных непросто. Новые ограничения в законодательстве затрудняют потребителям сбор доказательств, в то время как компании даже не обязаны уведомлять граждан об утечке.

Выйти из полноэкранного режима

Развернуть на весь экран

В мае 2022 года Telegram-канал «Утечки информации» сообщил, что в даркнете появилась база данных клиентов сети медицинских лабораторий «Гемотест», состоящая из 30,5 млн строк. Тогда же на теневом форуме разместили объявление, в котором предлагали купить базу из 554 млн результатов анализов.

Примерно за год до утечки я обращался в «Гемотест» за медицинскими исследованиями, поэтому предположил, что мои личные данные тоже могли оказаться в открытом доступе. Но служба поддержки компании не помогла в этом разобраться: ответы операторов на мои неоднократные запросы ограничивались лишь упоминанием о «проведении внутренней служебной проверки», срок завершения которой «не сообщается».

В конце концов в феврале 2024 года я решил обратиться с потребительским иском к «Гемотесту» в Пресненский райсуд Москвы, требуя взыскать с компании компенсацию морального вреда. К заявлению я приложил, в частности, постановление мирового судьи от 8 июля 2022 года о привлечении «Гемотеста» к административной ответственности по факту утечки, а также отчет Telegram-бота для проверки слива персональных данных по моему имени, в котором оказались результаты моих медицинских анализов.

Простое, казалось бы, разбирательство затянулось более чем на год. В мае 2025 года Пресненский райсуд объявил решение по моему иску, а мотивированный судебный акт изготовил только в октябре. Требования к компании были отклонены. Судья сочла, что я не представил «каких-либо законных и допустимых доказательств», но не пояснила, как пришла к этому выводу. По мнению суда, в материалах дела ничего не свидетельствовало о связи утекших персональных данных с компанией-ответчиком.

Истец, говорится в решении, не продемонстрировал, что злоумышленники изъяли данные именно из базы данных сети медицинских лабораторий.

С такой позицией трудно согласиться хотя бы потому, что результаты моих анализов содержались именно в информационных системах «Гемотеста», но каким-то образом попали в базы Telegram-бота по утечкам. Доказательством этого был отчет бота, но судья даже не упомянула его в решении. Больше того, выводы первой инстанции противоречат практике Второго кассационного суда общей юрисдикции по аналогичным искам потребителей против «Яндекс.Еды», допустившей утечку персональных данных клиентов в 2022 году. В случае с «Яндекс.Едой» кассация как раз признала допустимыми доказательствами скриншоты с сайта, где злоумышленники опубликовали слитые сведения, и обязала возместить моральный вред. Впрочем, на уровне районных судов этим истцам тоже было сложно добиться компенсации. Все эти доводы я привел в апелляционной жалобе, которую теперь предстоит рассмотреть Мосгорсуду.

Но здесь важен и другой аспект. В декабре 2024 года, то есть гораздо позже подачи моего иска, в Уголовном кодексе РФ (УК) появилась статья 272.1, которая устанавливает ответственность за незаконный сбор, хранение и распространение персональных данных. Это серьезно затрудняет использование ботов-пробивальщиков для потенциальных новых истцов, то есть потребителей, которые пострадали от утечек их данных и пытаются защитить свои права. При этом УК делает оговорку, что действие статьи не распространяется на «случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд». Но тем не менее к весне 2025 года около 40% таких русскоязычных площадок уже приостановили работу или закрылись (см. «Ъ» от 24 апреля).

К тому же пострадавшие физлица изначально не равны в возможностях доказывания по сравнению с ответчиками из бизнес-сферы. Судите сами.

С одной стороны, есть условная медицинская лаборатория, которая, скорее всего, лучше остальных знает, к каким именно сведениям из ее базы злоумышленники получили неправомерный доступ. А с другой стороны, есть ее клиенты, которые объективно ограничены в сборе доказательств, поскольку в России отсутствуют полностью легальные сервисы, которые бы позволяли гражданам выявлять утечки их личных данных. Поэтому, на мой взгляд, в законе должен быть предусмотрен механизм, обязывающий операторов персональных данных хотя бы уведомлять пострадавших об утечке, тем более если речь идет о врачебной тайне.

Причем здесь не нужно изобретать колесо, так как в зарубежной практике уже есть подобные инструменты. Статья 34 европейского Общего регламента по защите данных (GDPR) устанавливает обязанность уведомлять граждан об утечке при наличии «высокой степени риска для прав и свобод физических лиц». Есть и более профильное регулирование. Например, §164.404 американского HIPAA — закона о защите медицинской информации — обязывает организации сообщать пациентам о нарушениях понятным языком и без необоснованных задержек, причем не позднее 60 дней после выявления инцидента. И это вопрос не только взыскания компенсаций, но и, что важнее, осознания гражданином всех рисков, которые влечет утечка его данных.