Не защищаем персональные данные или почему нельзя бесконечно платить мизерные штрафы

  • А что будет за невыполнение требований ФЗ-152 «О персональных данных»?

Ответ банальный:

  • Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
  • Ну… это понятно, а что реально?
  • Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
  • А какой штраф?
  • Обычно 10 000 – 20 000 рублей.
  • У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!

Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

В Ставропольском крае за тонировку стекол сажают.

Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».

Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.

Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.

Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.

Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.

Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.

На самом деле, подход лучше сравнивать не с ГИБДД, а с МЧС, при проведении проверки объектов на соответствие требованиям пожбезопасности. И тут получается следующая картина.

Если число выявленных недостатков не превысило критическую массу и инспектор не закрыл объект, то для устранения недостатков составляется план, который согласуется с МЧС и начинает потихоньку реализоваться (в первом случае недостатки выходящие за критическую массу над сразу устранить). Его можно растянуть на долгое время — для МЧС важна динамика.

Но и здесь возможны варианты. Например, план можно изменять в процессе, сроки переносить, а с инспектором договориться.

Более того, бывает совершенно обратная ситуация — когда МЧС вне зависимости от всего закрывает объект, говорит между делом, что есть «одна контора», и чтобы объект вновь открыли нужно только с ней заключить договор на проектирование и монтаж ОПС. Цена при этом раза в полтора-два выше.

Как бы РКН и ФСТЭК не переняли эту практику…

[Ответить]

  • Подход со штрафами не совсем правильный. Если, как мы говорим, ФЗ 152 направлен на защиту прав граждан РФ, то и штрафы и наказания должны быть за причиненный вред субъекту и взиматься в пользу субъекта за нарушения оператором. А у нас всё еще на том уровне, что операторы выполняют требования законодательства только для того, чтобы отписаться и «откупиться» от регуляторов, а не защитить права и данные субъекта персональных данных.

    [Ответить]

    Алексей Волков Reply:

    Это общая проблема законодательства, и не только по ПДн…

    [Ответить]

    toparenko Reply:

    >то и штрафы и наказания должны быть за причиненный вред субъекту и взиматься в пользу субъекта за нарушения оператором

    Предложения по изменению формулировки соответствующих статей ЗоПД и КоАП?
    Можно сразу на http://fz-152.org/

    [Ответить]

    Блогов Reply:

    Тогда будет слишком много волокиты и в итоге прав будет тот, у кого адвокат более подкован. Опять же, обе стороны потратят кучу денег и тут уже субъект не то что компенсации не получит, а пострадает еще больше. Так что палка о двух концах.

    [Ответить]

  • Женя, здравствуй.
    Посмотри по моему интересная тема для обсуждения, насколько данные предписания (требования конфиденциальности при доставке платежных документов) вообще законны? http://36.unise.ru/news/2/20067

    [Ответить]

    toparenko Reply:

    Требование вполне законно в рамках текущего законодательства.
    Другой вопрос, что выполнение требования совсем не дешево, а ущерб субъекту от его невыполнения стремится к нулю.

    [Ответить]

  • >>только в случае невыполнения предписания включается статья 19.5 КоАП >>РФ. Мягко говоря, не самая приятная.
    Статья 19.5, часть 1 — те же 10000-20000р.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *