Осторожно! Каток части 8 статьи 13.11 КоАП тронулся

Осторожно! Каток части 8 статьи 13.11 КоАП тронулся

26 октября мировой судья в Волгограде оштрафовал на 50 тыс. рублей директора Центра немецкого языка - партнера Гете-Института Волгоградского государственного социально-педагогического университета за правонарушение, предусмотренное частью 8 статьи 13.11 КоАП РФ. То есть за невыполнение требования о локализации баз персональных данных россиян в период их сбора. Наказание крайне гуманное, половина минимального штрафа, предусмотренного статьей, меньше он уже быть не мог. 

Вот только, судя по опубликованным материалам дела, штраф наложен просто за трансграничную передачу, сведения о которой университет не указал в уведомлении в Роскомнадзор. Потому как никаких следов исследования судом вопросов именно локализации в постановлении нет.

Что есть. У лиц, пришедших на экзамен по немецкому языку, взяли согласие на обработку персональных данных и их дальнейшую передачу Немецкому культурному центру имени Гете при Посольстве Германии в Москве и Гете-Институту в Мюнхене (Германия). По мнению проводивших проверку Центра немецкого языка представителей Управления Роскомнадзора по Волгоградской области и Республике Калмыкия, такое согласие нарушает положения статьи 12 (трансграничная передача) и, (внимание!), статьи 22 (уведомление об обработке персональных данных) закона 152- ФЗ.

Несчастный директор Центра немецкого языка свою вину полностью признала в полном объеме и раскаялась, сообщила, что в Мюнхен теперь информацию о сдающих экзамен и его результатах передавать не будут. Университет, на всякий случай, еще до суда привлек директора Центра к административной ответственности за то, что она не сообщила о трансграничной передаче, и уведомление в Роскомнадзор оказалось не совсем, скажем, корректным, поскольку в нем сведений о трансграничке не было.

А теперь описание «страшного» правонарушения. После получения согласия данные сдававших экзамен (фамилии, имена, даты рождения, места рождения, уровни подготовки по программам данных изучения языка) загружались в приложение «Олимп», веб-сервер которого находится в Германии, что свидетельствует о трансграничном обмене персональными данными.

Это все. За это, по мнению Роскомнадзора и суда, положен штраф по части 8 статьи 13.11 КоАП РФ. Вопрос, фиксировались ли эти данные в других системах Университета и Центра немецкого языка (а мой опыт многолетнего участия в государственных экзаменах вуза подсказывает, что обязательно фиксировались, иначе на экзамен не попадешь) ни представителей Роскомнадзора, ни суд не заинтересовал. А ведь именно он является решающим при оценке выполнения требования о локализации.

Прецедент крайне опасный по своим последствиям. Такая трактовка требований о локализации может привести к полной переоценке допустимости трансграничной передачи персональных данных в принципе. И очень жаль, что ни представители надзорного органа, ни судьи, ни адвокаты (а адвокат директора Центра, судя по материалам дела, этот вопрос не поднимала, а лишь просила учесть смягчающие обстоятельства) в законе, который применяют, так и не разобрались.

Кстати, это дело дает наглядный ответ на вопрос, который наши заказчики задают постоянно: кто это загадочное должностное лицо, которое могут привлечь по статье 13.11? Это судья сформулировала четко, сославшись на статью 2.4 КоАП РФ. Определение очень большое , больше моего поста, любопытные могут посмотреть сами по ссылке Отвечу коротко – любое лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Директор Центра, например, в соответствии с трудовым договором и должностной инструкцией, должна вносить достоверные данные «в Управление Роскомнадзора по Волгоградской области и республике Калмыкия» (цитата). Поэтому, решила судья – она должностное лицо.

У меня все. Занавес. 

Alt text

Вымогатели REvil вернулись, в Ростелекоме запретили использовать публичные DNS, а с помощью лазера можно увидеть происходящее за стеной. Смотрите 32-й выпуск наших новостей.

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.