Моральный вред как часть ущерба

В декабрьском номере журнала !БДИ (№ 20 за IV квартал 2017 года) вышла статья Анны Осокиной, эксперта по ИБ компании R-Vision, о том, как учесть составляющую морального ущерба при оценке рисков, связанных с нарушением правил обработки персональных данных. Публикуем текст.

При оценке рисков, связанных с нарушениями правил обработки персональных данных, учитывают несколько основных составляющих. Но можно ли превентивно, еще до возникновения каких-либо нарушений, учесть в сумме возможного ущерба компании столь сложный для формализации компонент, как моральный ущерб?

Выполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» – одна из наиболее актуальных задач российских компаний. В соответствии с его положениями, любая организация, обрабатывающая данные своих сотрудников, клиентов или контрагентов, является оператором персональных данных и обязана обеспечить необходимые организационные и технические меры для защиты таких данных. При этом все чаще при выборе тех или иных мер и средств защиты различных процессах оператор базируется на риск о ориентированном подходе, учитывая величину возможных последствий нарушения правил обработки персональных данных в конкретном процессе (отдельной системе).

Составляющие ущерба

Как известно – оценки рисков должны быть определены две основные переменные: вероятность реализации сценария риска и размер возможного ущерба. Под ущербом в данном случае подразумевают различные негативные последствия, которые может повлечь за собой реализация сценария риска. Если рассматривать количественную оценку ущерба компаний в финансовом выражении, то при определении рисков, связанных с нарушениями правил обработки персональных данных, к таким последствиям могут относиться (см. рисунок):

  • штрафы;
  • возмещение морального вреда пострадавшим субъектам;
  • операционные издержки;
  • договорные санкции.

 

 

Для подсчета суммарного ущерба сначала требуется определить возможные размеры каждого из типов последствий:

  • для такой составляющей ущерба, как величина штрафов (административных или уголовных), суммы четко зафиксированы законодательством (этот вопрос был рассмотрен ранее и в материале «Сколько стоят персональные данные в Китае, Германии и России?»);
  • величину потенциальных операционных издержек определить непросто, но возможно. Например, можно посчитать их для внутренних ресурсов с учетом стоимости трудочаса специалиста, работающего в компании-операторе, а в случае привлечения внешних ресурсов – с учетом средней (или максимальной) рыночной стоимости услуг;
  • размеры штрафных санкций по договорам при нарушении правил конфиденциальности, как правило, четко прописываются в этих договорах или привязываются к сумме договора;
  • если сценарий реализации риска потенциально может привести к судебным разбирательствам с субъектом персональных данных, то обязательно следует учитывать компенсацию морального вреда и ее возможные размеры.

Напомним, в соответствии со ст. 152 ГК РФ моральный вред может выражаться, в частности, в нравственных переживаниях в связи с утратой родственников, с невозможностью продолжать активную общественную жизнь, с раскрытием семейной или врачебной тайны, с распространением не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина, с физической болью из-за причиненного увечья, иного повреждения здоровья либо в связи с заболеванием, перенесенным в результате нравственных страданий и др.

В контексте защиты персональных данных вопросы компенсации морального вреда могут быть затронуты в случае раскрытия семейной, врачебной тайны, распространения не соответствующих действительности сведений, порочащих честь, достоинство или деловую репутацию гражданина.

Исследование судебной практики

Для обоснования вероятного ущерба, связанного с возмещением морального вреда, будем использовать подход на основе простого статистического анализа данных судебной практики. Так как непосредственно в сфере защиты прав субъектов ПДн российская судебная практика еще не развита в достаточной степени, рассмотрим для начала общие тенденции судопроизводства РФ, связанные с удовлетворением исковых требований по возмещению морального вреда, а также наиболее распространенные формулировки таких требований.

Центр экспертизы R-Vision провел исследование соответствующей судебной практики на основе открытых данных, размещенных на портале РосПравосудие. В выборку попали сведения по 53 судебным решениям, вынесенным в 2011 – 2017 гг. Иски распределялись по следующим категориям:

  • о компенсации морального вреда в связи с причинением вреда здоровью;
  • о компенсации морального вреда в связи с утратой близкого родственника;
  • о компенсации морального вреда в связи с нарушением прав потребителей;
  • о компенсации морального вреда в связи с нарушением трудовых прав работника;
  • о компенсации морального вреда в связи с защитой чести и достоинства, деловой репутации.

По итогам этого исследования было определено, что средний размер выплаты с целью компенсации морального вреда составляет примерно 100 тыс. руб., а максимальный – 1 млн руб. При этом наиболее значительные суммы компенсации связаны с причинением вреда жизни и здоровью (в т. ч. с утратой близких родственников); средний размер выплаты составляет примерно 188 тыс. руб. В тех случаях, когда речь идет о нарушениях других прав субъекта, средний размер выплаты – значительно ниже.

Вопросов возмещения морального вреда в связи с причинением вреда жизни и здоровью мы далее касаться не будем, поскольку они малоприменимы к теме нарушений в компании правил обработки ПДн. В нашем случае такие судебные дела не являются показательными с точки зрения обоснования размеров ущерба при оценке рисков.

Рассмотрим отдельно ситуации, в которых возмещение морального вреда может осуществляться совместно с претензиями о неправомерной обработке персональных данных или о нарушениях правил такой обработки (нарушения прав потребителей, трудовых прав работника, защита чести и достоинства, деловой репутации). На рисунках приведены данные о связи первоначальных исковых требований о возмещении морального вреда с размерами полученных компенсаций.

Данные по возмещению морального вреда в связи с нарушением прав потребителей (суммы в руб.)
Размер возмещения морального вреда в связи с нарушением прав потребителей (суммы в руб.)

 

 

Размер возмещения морального вреда в связи с нарушением трудовых прав работника (суммы в руб.)

 

Размер возмещения морального вреда в связи с защитой чести и достоинства, деловой репутации (суммы в руб.)

 

В ходе анализа выборки судебных решений было выявлено следующее. Удовлетворяются в среднем около 30% первоначальных исковых требований по возмещению морального вреда. При этом, как видно на диаграммах, чем выше первоначальные запросы, тем ниже процент удовлетворенных требований.

В рассмотренных примерах максимальная сумма возмещения составляла 200 тыс. руб., а средний размер выплаты – 18 тыс. руб.

Таким образом, в зависимости от принятой методики и подхода к оценке рисков, при расчетах суммарно возможного ущерба, включающего в себя количественную (в денежном выражении) составляющую возмещения морального вреда, используется либо статистически усредненное значение (18 тыс. руб.), либо максимально возможное возмещение (200 тыс. руб.). В обоих случаях необходимо предусмотреть поправку на количество субъектов, персональные данные которых обрабатываются.

Поделиться записью: