Мошенничество при утечке персональных данных (Мариновская В.)

Количество мошеннических операций, связанных с утечкой персональных данных, велико. Жертвы злоумышленников, конечно, пытаются вернуть похищенные денежные средства, оспаривают подписание кредитных договоров электронной подписью, обращаются в правоохранительные органы, но все как у классиков - "нам не вернуть назад потерянное...". 

"Госуслуги" разработали целый алгоритм, в соответствии с которым необходимо действовать в случае взлома аккаунта. И даже ФНС России предупреждает об интернет-мошенниках: "Зафиксирована почтовая рассылка, где под видом сотрудника ФНС России злоумышленники просят получателя письма заполнить документы во вложении, распечатать их и представить в Главное управление ФНС России, при этом такого подразделения в ФНС России не существует и не существовало". Государство при этом ужесточает ответственность за совершение правонарушений и устанавливает оборотные штрафы для компаний, допускающих утечку персональных данных.

Таким образом, в актуальности проблемы сомневаться не приходится.

Цель нашей статьи - проанализировав судебную практику, определить, к каким последствиям приводят утечки персональных данных для организаций и физических лиц.

Анализ судебных споров по делам данной категории будет интересен учредителям компаний, руководителям организаций, индивидуальным предпринимателям и просто рядовым гражданам.

Да ты скажи, какая вина на мне, боярин?.. 

Рассмотрим решение по делу N 12-2028/22 от 16.06.2022, вынесенное Судьей Замоскворецкого районного суда по делу об административном правонарушении.

Судом было установлено, что у юридического лица имелась реальная возможность обеспечить выполнение требований действующего законодательства. Однако в результате недобросовестных действий сотрудника организации в Сеть попала информационная база, содержащая данные о пользователях и заказах.

В судебном разбирательстве было установлено, что в ходе мониторинга электронных СМИ Роскомнадзором на определенном интернет-ресурсе был установлен факт наличия данных организации, содержащих персональные данные пользователей сервиса, что повлекло предоставление доступа неопределенному кругу лиц к персональным данным пользователей сервиса, что является нарушением ч. 1 ст. 6 Федерального закона от <дата> N 152-ФЗ "О персональных данных".

Как следовало из материалов дела, в ходе мониторинга электронных средств массовой информации Роскомнадзором на этом интернет-ресурсе был установлен факт наличия данных ООО "Название организации", содержащих персональные данные пользователей сервиса в объеме: имя, адрес заказа (адрес места жительства), номер телефона, сведения о заказе пользователя, сведения об абонентском устройстве пользователя, что повлекло предоставление доступа неопределенному кругу лиц к персональным данным пользователей сервиса. 

Внимание! Согласно пп. 1 п. 1 ст. 6 ФЗ "О персональных данных" обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. 

Роскомнадзором в адрес организации был направлен запрос о представлении информации по вопросу утечки персональных данных пользователей сервиса. По представленной информации ООО "Название организации" стало известно о размещении в сети Интернет базы данных пользователей сервиса в результате недобросовестных действий сотрудника.

Судом было установлено, что у юридического лица имелась реальная возможность обеспечить выполнение требований действующего законодательства. Однако в результате недобросовестных действий сотрудника ООО "Наименование организации" в сеть попала база заказов, содержащая данные о пользователях и заказах.

Оценив представленные доказательства, судья пришел к выводу о наличии события административного правонарушения.

Он, конечно, виноват, но он... не виноват... 

Рассмотрим решение от 21 апреля 2022 г. по гражданскому делу N 2-2363/2022 по иску Ж. к ООО "Микрокредитная компания "З" о признании договора займа незаключенным, обязании прекратить обработку персональных данных, совершить действия по удалению сведений, компенсации морального вреда, взыскании судебных расходов.

Компания, действуя как лицо, осуществляющее предпринимательскую деятельность на свой риск, в силу закона обязан с достоверностью установить подлинность согласия субъекта персональных данных на их обработку, принять все меры осмотрительности, убедиться в том, что волеизъявление заключить договор и представить персональные данные для их обработки и передачи исходит от надлежащего лица, самого субъекта персональных данных.

Как следовало из доводов искового заявления, истцу - Ж., а также его родственникам стали поступать звонки от микрофинансовых организаций с требованиями погасить задолженность по договорам займа, однако истцом никаких договоров займа в микрофинансовых организациях не заключалось, денежные средства от микрофинансовых организаций не получались. В последующем по адресу регистрации стали приходить письма от различных организаций с требованием возврата долга по договорам займа.

Внимание! В ходе данного судебного разбирательства было установлено, что неизвестное лицо совершило мошеннические действия с использованием персональных данных истца, оформив договоры займа с микрофинансовыми организациями, и присвоило денежные средства, выданные по этим договорам.

Суд пришел к выводу об удовлетворении исковых требований в части признания договора займа незаключенным, обязании ООО "Микрокредитная компания "З" прекратить обработку персональных данных Ж., совершить действия по удалению в кредитной истории Ж. в адрес и ООО "Бюро кредитных историй" сведений о заявках на выдачу займа и договоре займа.

Суд напомнил, что, если в процессе оспаривания заемщиком договора займа по его безденежности будет установлено, что деньги или другие вещи в действительности не были получены от заимодавца, договор займа считается незаключенным. Когда деньги или вещи в действительности получены заемщиком от заимодавца в меньшем количестве, чем указано в договоре, договор считается заключенным на это количество денег или вещей.

Суд выяснил, что бесспорные доказательства, подтверждающие факт заключения именно истцом указанного договора, как и факт передачи именно истцу суммы займа, в материалы дела ответчиком не были представлены, что позволило суду сделать вывод об использовании персональных данных истца в сети Интернет другим лицом.

В этом деле суд пришел к выводу, что в действиях ООО "Микрокредитная компания "З" отсутствует вина как обязательное условие наступления ответственности за причинение морального вреда. ООО "Микрокредитная компания "З" при заключении договора займа действовало должным образом, исходя из имеющихся в распоряжении Общества документов. Ответчик является потерпевшей стороной, а виновным является неустановленное третье лицо, воспользовавшееся паспортными данными на имя Истца.

Суд признал договор займа незаключенным и обязал Общество прекратить обработку персональных данных Ж.

Неправда - вас обманули. Это шанхайский барс... Мошенничество с электронной подписью 

Рассмотрим решение от 20 июля 2020 г. по делу N 2-1525/2020, вынесенное Пролетарским районным судом г. Ростова-на-Дону (Ростовская область) о признании кредитного договора недействительным.

В данном деле указание личных персональных данных истца при регистрации на сайте и посредством сети Интернет само по себе не свидетельствует о том, что такие действия совершались именно самим истцом, так как при дистанционном представлении копий документов посредством сети Интернет личность лица, осуществившего такие действия, никаким официальным органом или иной компетентной организацией не удостоверялась.

В адрес Т. было направлено уведомление о наличии задолженности перед ООО "МФК "З", образовавшейся по договору займа. Однако Т. договор займа с ООО "МФК "З" не заключал.

Согласно информации, полученной в результате осуществления телефонного звонка, сотрудниками дано пояснение о том, что заем был заключен посредством телефонного разговора, в результате которого ООО "МФК "З" сообщили паспортные данные Т. Однако в силу того, что Т. является индивидуальным предпринимателем, а также вел активную хозяйственную жизнь, его паспортные данные имелись во многих организациях города, т.е. данная информация находилась в свободном доступе.

Истец считал заключенный договор займа между ООО "МФК "З" и Т. незаконным, поскольку денежные средства он не получал.

Из дела видно, что названный договор займа был оформлен в электронной форме и подписан от имени Т. простой электронной подписью, полученной неизвестным лицом при регистрации на соответствующем сайте в сети Интернет, используемом для заключения гражданско-правовых сделок.

Как следовало из материалов дела, лично истцом посредством проставления подписи на бумажном носителе договор займа не подписывался. Обмен электронными документами с подтвержденной усиленной электронной подписью истцом также не осуществлялся; сертификат ключа проверки электронной подписи не составлялся; соответствующие протоколы проверки также не представлены. Простая электронная подпись, полученная при регистрации на сайте, истцу также не принадлежала.

Суд решил признать недействительным договор займа ООО "МФК "З" и Т.

Таким образом, потерпевшими в делах, связанных с утечкой персональных данных, становятся с одной стороны - простые граждане, которым причинен ущерб действиями мошенников, с другой - организации, которые за любую утечку несут ответственность в виде штрафов и репутационных потерь.

Для судов, как правило, факты совершения административного правонарушения и виновность организаций подтверждаются совокупностью доказательств, достоверность и допустимость которых у суда сомнений не вызывают. Поэтому организациям, выступающим на суде в качестве ответчика, важно суметь доказать, что у них не имелась реальная возможность обеспечить выполнение требований действующего законодательства. А рядовым гражданам, пострадавшим от рук мошенников, необходимо доказать, что деньги или другие вещи в действительности не были получены от заимодавца.