3 Сентября, 2012

Поправки в КоАП в части ужесточения ответственности по персональным данным. Первый взгляд.

Евгений Царев

Ну что ж, рассмотрим очередную попытку Роскомнадзора усилить ответственность операторов за нарушение обработки ПДн.

Новый проект Федерального Закона «О внесении изменений в КоАП» разрабатывал сам Роскомнадзор. Сразу бросается в глаза неверная нумерация пунктов, но не суть, главное – это содержание . Коротко содержание можно изложить следующим образом:

Статья 13.11. Невыполнение оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
  • За факт невыполнения обязанностей штраф до 30тыс. руб.
Статья 13.11.1. Обработка персональных данных без согласия субъекта (субъектов) персональных данных
  • За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия до 50 тыс. руб.
  • За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка повлекла причинение вреда жизни/здоровью 1,5% совокупного дохода за год, но не менее 500 тыс. руб.
  • За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка происходит с целью извлечения дохода 2% совокупного дохода за год, но не менее 600 тыс. руб.
  • За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс нарушение совершено повторно 2% совокупного дохода за год, но не менее 700 тыс. руб.
Статья 13.11.2. Незаконная обработка специальных категорий персональных данных
  • Обработка в случаях, не предусмотренных законом 1,5% совокупного дохода за год, но не менее 400 тыс. руб.
  • Обработка в случаях, не предусмотренных законом, плюс обработка повлекла причинение вреда жизни/здоровью 2% совокупного дохода за год, но не менее 500 тыс. руб.
  • Обработка в случаях, не предусмотренных законом, плюс нарушение совершено повторно 2% совокупного дохода за год, но не менее 700 тыс. руб.
Статья 13.11.3. Несоблюдение условий трансграничной передачи персональных данных
  • За факт несоблюдение условий трансграничной передач до 30тыс. руб.
  • За факт несоблюдение условий трансграничной передачи, повлекший неправомерный доступ к ПДн 1,5% совокупного дохода за год, но не менее 500 тыс. руб.
  • За факт несоблюдение условий трансграничной передачи, плюс нарушение совершено повторно 2% совокупного дохода за год, но не менее 700 тыс. руб.
Ваш покорный слуга, всегда выступал за «адекватную регуляцию». На мой взгляд, интернет должен регулироваться, обработка ПДн должна регулироваться, все области современной жизни должны регулироваться. Вопрос в разумности и адекватности норм. Предлагаемые поправки, на мой взгляд, неадекватны современной жизни. И дело не в размере штрафов, а в принципе регуляции и формулировках:

1) Мы снова наказываем за факт нарушения требований. А зачем? Необходимо наказывать за ущерб. Каждый оператор должен иметь право самостоятельно решать, как и какие ПДн ему обрабатывать, НО если своими действиями/бездействием он нанесет ущерб конкретным субъектам, должен включиться регуляционный механизм, по которому оператору будет дана возможность решить конфликт напрямую с субъектом/субъектами еще до привлечения регулятора и судебных инстанций. В нашей же нормативке нет места пострадавшему субъекту, конфликт решает оператор и регулятор. А субъект не получает компенсации. Хотя именно его интересы должны стоять во главе угла.

2) Дальше, про штрафы. Почему 1,5-2% от дохода? Давайте сделаем 20%! Откуда вообще взялась эта сумма? Представим себе отделение Сбербанка в Нарьян-Маре, предположим Роскомнадзор смог доказать, что согласие с одного из местных жителей на обработку получено не было. И что, появилось основание штрафовать Сбербанк на 1,5% с дохода по ст.13.11.1? А это, между прочим, по группе Сбербанк 5,25 млрд.рублей. Понятно, что штраф будет считаться не по группе, а конкретному юр.лицу, но суть дела не меняется, это в любом случае фантастическая сумма. И что интересно, житель Нарьян-Мара ничего с этих денег не получит .

3) Теперь, про конфиденциальность. Давайте, наконец, введем ответственность за факт сокрытия инцидентов, связанных с утечками. Мы стремимся к «международному уровню», так что ж столь избирательно? Именно обязанность раскрытия информации об утечках и неотвратимость наказания за их сокрытие, обеспечивает конфиденциальность ПДн в мире.

Понятно, что текущие поправки проистекают от «пациента» под именем «Закон «О персональных данных»» и первым делом нужно «лечить» его. Но при любом раскладе мой отзыв о проекте – негативный, хотя идею об усилении ответственности за нарушение закона я полностью разделяю.
или введите имя

CAPTCHA