Утечка по вине подрядчика

Операторы персональных данных будут чаще обращаться в суд для взыскания убытков с подрядчика, если на стороне последнего произошла утечка

За последние несколько лет число хакерских атак на российские компании значительно выросло. В большинстве случаев крупные компании используют сложные IT-системы и часто привлекают подрядчиков для их создания, развития и обслуживания. Эти подрядчики имеют доступ к инфраструктуре оператора и занимаются технической поддержкой его систем, в том числе выполняют задачи по обработке персональных данных.

Все чаще хакерские атаки направлены не на инфраструктуру самого оператора, взлом которой требует значительных ресурсов, а на подрядчика. Судебные дела показывают, что зачастую к взлому приводят действия злоумышленников или неосторожные поступки самих сотрудников, которые осуществляются именно в периметре инфраструктуры подрядчика.

В связи с этим возникает вопрос ответственности подрядчика за взлом системы оператора, если, например, были зашифрованы или уничтожены критически важные данные оператора, повреждена вычислительная инфраструктура или похищена документация, представляющая коммерческую ценность.

Анализ судебной практики показывает, что, даже если утечка произошла на стороне подрядчика, именно оператор будет привлечен к административной ответственности за утечку. Аргумент оператора о том, что утечка произошла по вине его подрядчика, а сам оператор не виновен, как правило, не убеждает суды освободить последнего от административной ответственности.

Ситуация усугубляется тем, что с 30 мая 2025 г. административная ответственность за утечку персональных данных многократно возрастает – минимум в 50 раз, максимум в 1600 раз (сейчас минимальный штраф составляет 60 000 руб.). Не исключен также риск подачи против оператора группового иска пользователей в связи с утечкой.

Какие убытки могут возникнуть у оператора в связи с утечкой

Оператор может нести различные убытки, включая:

– административный штраф за утечку персональных данных,

– выплаты пользователям компенсации (в том числе по результатам рассмотрения индивидуальных требований или группового иска),

– расходы на привлечение специалистов в области информационной безопасности для консультаций и ликвидации последствий утечки,

– расходы на внешних консультантов по сопровождению судебных разбирательств.

Кроме того, оператор может столкнуться с существенными репутационными потерями, что для множества компаний будет намного более чувствительным, чем материальные расходы.

Вправе ли оператор взыскать свои убытки с подрядчика, по вине которого произошла утечка? Если да, то на каких основаниях? Какие механизмы защиты может использовать оператор?

Возмещение потерь

Для рассматриваемой ситуации оправданно использовать конструкцию возмещения потерь, закрепленную в ст. 406.1 Гражданского кодекса. Важно, что указание на использование такого инструмента должно быть прямо и недвусмысленно прописано в договоре. Кроме того, необходимо определить, что есть утечка по вине оператора.

Здесь могут быть, как минимум, два варианта: подрядчик допустил распространение персональных данных или же из-за уязвимостей подрядчика злоумышленники получили доступ к инфраструктуре оператора и выгрузили персональные данные. В договоре можно предусмотреть возмещение убытков только в случае, если оператор был привлечен к административной ответственности по решению суда.

При привлечении подрядчика к ответственности бремя доказывания для оператора облегчается. В частности, ему не требуется доказывать вину подрядчика и причинно-следственную связь между поведением последнего и возникшими у оператора убытками. Достаточно подтвердить факт утечки на стороне подрядчика и связь между этой утечкой и финансовыми потерями оператора.

В таком случае подрядчик будет нести ответственность либо в размере, оговоренном в договоре, либо в соответствии с алгоритмом расчета, предусмотренным в нем. Например, с подрядчиком можно заранее согласовать методику (формулу), учитывающую различные виды убытков.

Договорная неустойка

В договоре может быть закреплена неустойка за нарушение подрядчиком своих обязательств, которые привели к утечке данных. В этом случае оператору потребуется доказать факт утечки и вину подрядчика – неисполнение или ненадлежащее исполнение договорных условий. Размер убытков в этом случае не требуется доказывать. Однако суд может признать размер неустойки чрезмерной и значительно ее снизить.

В договоре также стоит определить, как соотносятся убытки оператора и такая договорная неустойка. Если иное не указано, оператор сможет взыскать убытки только в сумме, превышающей неустойку, т. е. неустойка в этом случае будет зачетной.

Иные договорные инструменты защиты прав оператора

Дополнительные меры защиты оператора могут включать получение им от подрядчика независимой гарантии банка, которая обеспечивает ответственность подрядчика. Это поможет оператору быстрее получить денежные средства для покрытия своих убытков.

Страхование ответственности за утечку также может стать способом снижения негативных эффектов, хотя на данный момент такие предложения ограничены исключительно гражданско-правовой ответственностью оператора. Страхование от административных штрафов остается пока недоступным, что сохраняет актуальность вопроса о привлечении подрядчика к ответственности.

Деликтная ответственность подрядчика

Если ответственность подрядчика за утечки данных вообще не регулируется договором с оператором, на последнего ложится самое объемное и сложное бремя доказывания. Прежде всего оператору будет необходимо определиться со способом защиты – договорный или деликтный иск, затем доказать, что подрядчик допустил нарушения, приведшие к утечке. Это потребует значительных усилий, включая дорогостоящие технические исследования, результаты которых далеко не всегда гарантируют положительный исход спора для оператора.

С учетом технической сложности IT-инфраструктуры подрядчик может возразить, что к утечке привели неосторожные действия сотрудников самого оператора, например неисполнение ими обязательств по проверке запросов подрядчика.

Судебная практика по спорам оператора и подрядчика

В настоящее время судебная практика в этой сфере минимальная. Административная ответственность операторов не является сейчас серьезной, а пользователи, как правило, не желают или не могут привлекать операторов к гражданско-правовой ответственности. Поэтому операторы не спешат перекладывать свои убытки на подрядчиков, даже когда в утечке есть вина последних.

Имеется лишь один заметный пример – дело Промтрансбанка (№ А07-34409/2023). Суть дела в том, что подрядчик создал дополнительный функционал для сайта банка. Договор не предусматривал регулирования ситуации, связанной с утечкой персональных данных по вине подрядчика.

В результате неосторожных действий сотрудника в интернете был опубликован журнальный файл с информацией о персональных данных клиентов. Эти действия привели к привлечению оператора (банка) к административной ответственности в размере 60 000 руб.

В связи с этим оператор обратился с иском к своему подрядчику, который суд удовлетворил и взыскал с подрядчика убытки в размере административного штрафа оператора. Оператору удалось убедить суд в неправомерности действий подрядчика (в частности, создание такого журнала не было предусмотрено договором и подрядчик не предупредил оператора о его создании) и причинно-следственной связи между несением оператором убытков (в размере административного штрафа) из-за действий подрядчика.

Предстоящее существенное ужесточение административной ответственности операторов за утечки персональных данных неизбежно приведет к перераспределению негативных последствий между оператором и подрядчиком, особенно если действия последнего стали причиной утечки. Поэтому можно ожидать бурного развития судебной практики по такой категории споров.