29 Октября, 2012

Чем бредят операторы

Алексей Волков
На прошлой неделе на сайте Минэкономразвития было опубликовано Заключение об оценке регулирующего воздействия на проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» - ответ Департамента оценки регулирующего воздействия МЭР на вторую попытку Роскомнадзора внести изменения в КоАП, повышающие штрафы за нарушения в области обработки ПДн и дающие ведомству право самостоятельно возбуждать дела об административных правонарушениях в этой области, минуя Прокуратуру.

Судя по всему, Роскомнадзору придется, что называется, "третий раз закидывать невод" - самый спорный момент, связанный с применением оборотных штрафов, снова не нашел понимания в МЭР, поскольку, дословно, "формулировки понятий, примененные разработчиком в тексте пункта 2 проектируемой статьи 13.11.1 КоАП ... не могут служить для однозначного определения нарушений, что на практике может привести к избирательному правоприменению" (если помните, я и сам запутался, высчитывая приблизительный размер штрафа). Сигнал положительный, но, прочитав документ полностью, я наткнулся на очень
интересные моменты, которыми спешу с Вами, дорогие читатели, поделиться.

Первое, что бросается в глаза - это последние два абзаца раздела 3 на странице 6. В первом абзаце МЭР констатирует, что "ущерб, нанесенный крупной утерей персональных данных (например, утеря сотовым оператором данных о значительном числе клиентов), может быть значительно выше, чем в случае аналогичного происшествия у малого оператора персональных данных", и говорит, что "провело дополнительные консультации с субъектами предпринимательской и иной деятельности с целью анализа возможных подходов к дифференциации операторов персональных данных в зависимости от объема обрабатываемых персональных данных".

Дальше - больше: "проведенный анализ свидетельствует о недостаточности имеющихся данных для принятия решения о выделении крупных операторов персональных данных в отдельную группу операторов с применением к ним повышенных санкций. В частности недостаточно данных о нарушениях крупными операторами персональных данных требований законодательства и последствиях таких нарушений".

И, внимание, вывод:

"По итогам проведенной оценки регулирующего воздействия считаем целесообразным осуществить впоследствии сбор соответствующих сведений для целей оценки целесообразности доработки законодательства в данном направлении"

Соединив все это воедино и отбросив лишнее, получаем, что после анализа статистики и консультаций с представителями бизнеса оказалось, что по нарушениям в области обработки ПДн в крупных компаниях у Роскомнадзора статистики-то и нет, и МЭР рекомендует в обозримом будущем ее собрать. Крупные компании-операторы, просили статистику - готовьтесь пасть ее жертвой :)

Еще более любопытные предложения присутствуют в приложении к Заключению, именуемому "Справкой о результатах проведения публичных консультаций с представителями субъектов предпринимательской и иной деятельности, а также органами государственной власти субъектов Российской Федерации ...», идущей со страницы 8 и далее. Пункты 1, 2 и 4 говорят о несправедливости применения оборотных штрафов - и с этим все, вроде, понятно. Третий пункт говорит о том, что сведения о судимости безосновательно включены в одну когорту со спецкатегорями - и с этим тоже не поспоришь. Пункт 6 - про трансграничную передачу ПДн, где конь не валялся, со всем этим я согласен и об этом всем я уже писал. А вот в пункте 5 присутствуют поистине фееричные замечания, читая которые, я прослезился. Начнем, пожалуй, со второго абзаца - страницы 12.

Коллеги-операторы вполне справедливо говорят: "проблемы действующего нормативного правового регулирования ... затрудняют определение возможного размера вреда, причиняемого такими правонарушениями". Справедливо отмечают и то, что "законопроект, направленный на ужесточение наказания за нарушения законодательства в области персональных данных, без совершенствования самих норм, прописанных в Федеральном законе и без учёта последствий, вызванных нарушением, преждевременен", и предлагают "начать приведение в соответствие российского законодательства в области персональных данных с европейскими нормами и требованиями соответствующих Директив (согласно основной цели законопроекта) с доработки Федерального закона". Все верно, теперь давайте посмотрим на конкретику.

Дополнение в конструкцию Федерального закона ещё одного принципа обработки - согласие по умолчанию, которое будет распространяться на основные персональные данные граждан. При этом, оператор обязан немедленно прекратить обработку персональных данных после получения возражения субъекта персональных данных. Сохранения существующего режима обязательного получения согласия на обработку специальных и биометрических персональных данных.

Позвольте, но что это? То есть предлагается определить некий набор "основных персональных данных граждан", обрабатывать который смогут ЛЮБЫЕ операторы в ЛЮБЫХ угодных им целях? Это что - аналог адресной книги? Всероссийская база данных граждан РФ в публичном доступе? Нет, я конечно понимаю, что согласие по умолчанию - важная штука, например, для соцсетей и интернет-магазинов - в случае, когда сам субъект размещает данные о себе в совершенно определенных целях, и САМ может эти данные удалить. Но что ЭТО за предложение? Ладно, хоть спецкатегории с биометрией оставили. Читаем дальше:

Ведение единого государственного реестра граждан несогласных (возражающих) против обработки их персональных данных для коммерческих целей всеми операторами страны. В Реестр после обращения гражданина вносятся его основные данные, который являются доступными всем зарегистрированным операторам персональных данных с целью сверки и исключения персональных данных граждан возражающих против обработки их основных персональных данных. За нарушение данного положения предусмотреть серьёзную ответственность оператора. Ведение Реестра поручить Уполномоченному органу по защите прав субъектов персональных данных.

Это что за новелла? А если я хочу, чтобы в одном случае данные обрабатывались для коммерческих целей, а в другом нет? И какой смысл вести еще один реестр, если мои "основные данные" все равно будут доступны всем операторам - может просто не включать мои данные в предыдущий, "общероссийский реестр основных ПДн"? И как я буду получать коммерческие услуги, если моя фамилия будет в таком "по умолчанию", но для определенного случая я дам согласие на обработку "основных" ПДн и иже с ним?

И, наконец, самый "смак" - первый абзац пункта 5, в котором операторы заявляют о том, что "основной проблемой в области регулирования персональных данных является недостаточный уровень их защиты", и с этим трудно спорить. А вот далее следует, что 1) "предлагаемое регулирование недостаточно эффективно и с введением дополнительных санкций ситуацию с защитой персональных данных кардинально изменить не получится", и 2) "необходимо на законодательном уровне стимулировать повышение уровня защиты персональных данных со стороны операторов персональных данных".

Позвольте, товарищи-операторы, но штрафы - разве не стимул? Или вы хотите не только кнут, но и пряник в виде налоговых послаблений или индульгенций, как было в ранней версии законопроекта 152-ФЗ (сделал все как надо - за нарушение не отвечаешь)? А как же ответственность, как же добросовестность, имидж и репутация в конце концов?

Хотя да, о чем это я.
или введите имя

CAPTCHA