Поправки в КоАП в части ужесточения ответственности по персональным данным. Первый взгляд.

Ну что ж, рассмотрим очередную попытку Роскомнадзора усилить ответственность операторов за нарушение обработки ПДн.

Новый проект Федерального Закона «О внесении изменений в КоАП» разрабатывал сам Роскомнадзор. Сразу бросается в глаза неверная нумерация пунктов, но не суть, главное – это содержание 😉 . Коротко содержание можно изложить следующим образом:

Статья 13.11. Невыполнение оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
• За факт невыполнения обязанностей
штраф до 30тыс. руб.

Статья 13.11.1. Обработка персональных данных без согласия субъекта (субъектов) персональных данных
• За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия
до 50 тыс. руб.
• За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка повлекла причинение вреда жизни/здоровью
1,5% совокупного дохода за год, но не менее 500 тыс. руб.
• За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка происходит с целью извлечения дохода
2% совокупного дохода за год, но не менее 600 тыс. руб.
• За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс нарушение совершено повторно
2% совокупного дохода за год, но не менее 700 тыс. руб.


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

Статья 13.11.2. Незаконная обработка специальных категорий персональных данных
• Обработка в случаях, не предусмотренных законом
1,5% совокупного дохода за год, но не менее 400 тыс. руб.
• Обработка в случаях, не предусмотренных законом, плюс обработка повлекла причинение вреда жизни/здоровью
2% совокупного дохода за год, но не менее 500 тыс. руб.
• Обработка в случаях, не предусмотренных законом, плюс нарушение совершено повторно
2% совокупного дохода за год, но не менее 700 тыс. руб.

Статья 13.11.3. Несоблюдение условий трансграничной передачи персональных данных
• За факт несоблюдение условий трансграничной передачи
до 30тыс. руб.
• За факт несоблюдение условий трансграничной передачи, повлекший неправомерный доступ к ПДн
1,5% совокупного дохода за год, но не менее 500 тыс. руб.
• За факт несоблюдение условий трансграничной передачи, плюс нарушение совершено повторно
2% совокупного дохода за год, но не менее 700 тыс. руб.

Ваш покорный слуга, всегда выступал за «адекватную регуляцию». На мой взгляд, интернет должен регулироваться, обработка ПДн должна регулироваться, все области современной жизни должны регулироваться. Вопрос в разумности и адекватности норм. Предлагаемые поправки, на мой взгляд, неадекватны современной жизни. И дело не в размере штрафов, а в принципе регуляции и формулировках:

1) Мы снова наказываем за факт нарушения требований. А зачем? Необходимо наказывать за ущерб. Каждый оператор должен иметь право самостоятельно решать, как и какие ПДн ему обрабатывать, НО если своими действиями/бездействием он нанесет ущерб конкретным субъектам, должен включиться регуляционный механизм, по которому оператору будет дана возможность решить конфликт напрямую с субъектом/субъектами еще до привлечения регулятора и судебных инстанций. В нашей же нормативке нет места пострадавшему субъекту, конфликт решает оператор и регулятор. А субъект не получает компенсации. Хотя именно его интересы должны стоять во главе угла.

2) Дальше, про штрафы. Почему 1,5-2% от дохода? Давайте сделаем 20%! Откуда вообще взялась эта сумма? Представим себе отделение Сбербанка в Нарьян-Маре, предположим Роскомнадзор смог доказать, что согласие с одного из местных жителей на обработку получено не было. И что, появилось основание штрафовать Сбербанк на 1,5% с дохода по ст.13.11.1? А это, между прочим, по группе Сбербанк 5,25 млрд.рублей. Понятно, что штраф будет считаться не по группе, а конкретному юр.лицу, но суть дела не меняется, это в любом случае фантастическая сумма. И что интересно, житель Нарьян-Мара ничего с этих денег не получит ;-).

3) Теперь, про конфиденциальность. Давайте, наконец, введем ответственность за факт сокрытия инцидентов, связанных с утечками. Мы стремимся к «международному уровню», так что ж столь избирательно? Именно обязанность раскрытия информации об утечках и неотвратимость наказания за их сокрытие, обеспечивает конфиденциальность ПДн в мире.

Понятно, что текущие поправки проистекают от «пациента» под именем «Закон «О персональных данных»» и первым делом нужно «лечить» его. Но при любом раскладе мой отзыв о проекте – негативный, хотя идею об усилении ответственности за нарушение закона я полностью разделяю.

P.S. Очень много правильного есть в заключении об оценке регулирующего воздействия МЭР.

>>Мы снова наказываем за факт нарушения требований. А зачем? Необходимо наказывать за ущерб.

А за какой ущерб? Реальный, потенциальный? Вот скажем УК передает коллекторам информацию по нескольким тысячам должников (некоторые из которых таковыми могут и не являться вовсе) с нарушением законодательства. Есть здесь скажем моральный ущерб или нет? Одни скажут есть, другие нет. Нужна компенсация?

Все таки речь идет об административном правонарушении. Нарушение требований №152-ФЗ и ст.13.11 КоАП это с юридической точки зрения разные вещи. Если Вы полагаете, что такой подход не правильный, то нужно говорить о неправильности подхода и в части нарушения прав потребителя, например. Ведь в КоАП в соответствующих статьях нет же ни слова о компенсации потребителю.

Но с другой стороны и в законе о персональных данных и в ст.4.7 КоАП возможность компенсации предусмотрена. Только она решается исключительно судом и в рамках гражданского судопроизводства, а не административного. Возможно следовало бы порекомендовать Роскомнадзору более активно подавать иски в защиту прав субъектов ПД.

P.S. Если читать указанное письмо МЭР, то получается что Роскомнадзор большинство замечаний устранил. К сожалению, срок давности в новом законопроекте остался прежний 3 месяца, что практически сводит на нет, все указанные предложения.

[Ответить]

Евгений Царев Reply:

>> Вот скажем УК передает коллекторам информацию по нескольким тысячам должников (некоторые из которых таковыми могут и не являться вовсе) с нарушением законодательства. Есть здесь скажем моральный ущерб или нет?

Здесь нет и наказывать за это не нужно, т.к. ущерба никто не понес. А вот когда коллекторы начинают звонить субъектам и требовать деньги, то они нарушают их права граждан, тем самым наносят ущерб. Здесь уже должен включаться регуляторный механизм. А на вопрос размера компенсации должна ответить практика рассмотрения таких дел. Даже в странах де-юре без прецедентной практики, к коим мы относимся, на прецеденты смотрят.

>> Но с другой стороны и в законе о персональных данных и в ст.4.7
КоАП возможность компенсации предусмотрена. Только она решается исключительно судом и в рамках гражданского судопроизводства, а не административного.

Вот это и прискорбно. «Пациент» серьезно болен.

[Ответить]

  • >> Ущерба никто не понес.

    А почему Вы считает, что распространение моих, скажем, данных не является для меня моральным ущербом или моему психическому здоровью 🙂 Почитайте судебную практику по этому поводу. Граждане могут реально сильно переживать по поводу того, что сведения о них куда-либо передаются и как-то могут использоваться. Кроме того, такого рода незаконную передачу можно квалифицировать как утечку ПД.

    >> Вот это и прискорбно. «Пациент» серьезно болен.

    А откуда такая убежденность, что эти вопросы нужно решать в рамках административного кодекса? Почему нельзя как гражданское дело?

    [Ответить]

    Царев Евгений Reply:

    1) В данном случае, вы сами описали ситуацию таким образом, что субъекты о факте передачи даже ничего не знают. Откуда ущерб, да еще и психическому здоровью?))
    2) Гражданская ответственность законом предусматривается, да только административных дел будет на порядок больше гражданских.

    [Ответить]

    Michael Ch Reply:

    1) То есть по Вашей логике получается, что пока субъект про это не узнает нарушения нет. А вот как только, так сразу он, ущерб, и возник. Кудряво 🙂 А как все таки быть с трактовкой «утечка»?
    2) Так я еще раз хочу обратить внимание, что именно в рамках административного производства возможно рассмотреть вопрос о возмещении имущественного ущерба и морального вреда.

    [Ответить]

  • Всё логично. Закон охраняет монополию государства на данные о гражданах. Остальные могут позволить себе лишь самымый минимум, чтобы шестеренки не остановились. Посему в случае нарушения закона пострадавшим является государство, которое и получает материальную компенсацию.

    [Ответить]

  • Евгений, давно слежу за вашим сайтом, спасибо за полезные новости. По теме: во-первых, огорчает ужесточение санкций при отсутствии внятного правового регулирования в новых формах отношений (например, в отношении сайтов и вообще e-commerce, где порой собирают значительное количество персональной информации, и где разрешение на обработку можно получить разве что галочкой в интерфейсе). Во-вторых, текущие требования по ИСПДн откровенно драконовские и невыполнимые, при этом государство их исполнением себя не утруждает (очень понравилось как Минздрав свои системы учета больных классифицирует как К3-К4, это при том что данные о здоровье — безусловно высший класс опасности). НЕ говоря о базах данных госорганов, которые продаются на любом углу. Санкции поднимать можно и может быть нужно, но при условии гармонизации отсталого законодательства. Одни акты ФСТЭК чего стоят.

    [Ответить]

    Евгений Царев Reply:

    1) ст.9 дает возможность получать согласие «галочкой»:
    «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.»
    2) После 58 приказа жизнь с требования стала проще. Другое дело, что внимание вопросу нужно уделять. А так согласен, «несправедливости» много.

    [Ответить]

  • Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *