03.09.2012

2% от дохода за нарушение ФЗ-152 - это хорошо или плохо?

Ну и я тоже выскажусь по новому законопроекту об увеличении суммы штрафов до 2% от совокупного дохода компании-нарушителя ФЗ-152. Так уж сложилось, что с этим законопроектом я был ознакомлен еще в июле, о чем писал ранее. Правда, тогда в нем не было этого подхода "в % от дохода". Были зафиксированы миллионные штрафы и сделана дифференциация по составам правонарушений.

Коллеги (Алексей Волков и Евгения Царев) уже прошлись по этому законопроекту и я не буду повторяться; тем более, что свое мнение о составах правонарушений и самом законопроекте я уже отправлял в РКН (в тексте они, к сожалению, не нашли своего отражения). Вкратце они таковы (без конкретных формулировок, отправленных в РКН):
  • Наказывать надо за нанесение вреда жизни и здоровью субъекта, а не за нарушение требований, которые зачастую либо двойственны либо невыполнимы. На данный момент наказание за невыполнение требований при почти полном отсутствии официальных разъяснений со стороны Роскомнадзора как выполнять то или иное требование равнозначно вводу карательных мер. Я готов поддержать введение наказаний за неисполнение закона (даже без нанесения вреда), но только при условии опубликования и доведения до операторов ПДн (а не только терорганов) различной информации о том, как правильно выполнять ФЗ-152. Именно так сделано в Европе. Там у многих уполномоченных органов выложены шаблоны документов, разъяснения, чеклисты, опросники и рекомендации, которые показывают "как правильно". А уж если оператор не предпринимает никаких усилий, то его не грех и наказать (но примерно через полгода-год после опубликования официальных рекомендаций по защите). Т.е. помимо кнута должен быть и пряник. В противном случае формирование позитивного общественного мнения о РКН и его деятельности находится под вопросом.
  • Из предлагаемой ст.13.11.1 необходимо убрать фразу «а равно обработка ПДн с нарушением установленной законом формы согласия субъекта ПДн». Вопросов к форме согласия тоже немало и то, как правильно получать согласие, вызывает множество споров у юристов. В условиях отсутствия однозначной и официальной позиции РКН по этому вопросу, предлагаю убрать этот фрагмент, оставив просто «обработку без согласия, если согласие обязательно»
  • Ст.13.11.2 необходимо перенести в 13.11.1, т.к. по сути речь идет об обработке специальных категорий ПДн без согласия.
  • Ст.13.11.3 необходимо убрать вовсе, т.к. порядок трансграничной передачи сегодня нигде не установлен (кроме общих формулировок ФЗ). У нас даже нет до сих пор списка стран с адекватной защитой прав субъектов. Без этого списка, а также без официальной позиции по тому, как защищать ПДн при облачных вычислениях, взаимодействии с иностранными госорганами и правоохранительными органами, при работе в социальных сетях, шум поднимется очень большой. Ведь в нынешней формулировке она приводит к постоянным штрафам многие Интернет-компании и социальные сети. Повторится ситуация с законопроектом по «черным спискам». Но если в случае с законопроектом Мизулиной можно было уйти под «защиту детей от негативной информации», то в случае с 13.11.3 такого повода нет и правозащитники поднимут большую волну возмущения и протеста в российской и зарубежной части Интернет, не говоря уже об очередных наездах со стороны Евросоюза и Госдепартамента, направленных уже в сторону конкретного федерального органа исполнительной власти.

Что касается 2%, то несмотря на то, что активно обсуждается именно "процентный" подход, сам по себе он не является криминальным. Да, он непривычен для российского законодательства. Но именно эта норма и именно эти 2% прописаны в реформе европейского законодательства. Так что Роскомнадзор (хотя еще на Консультативном Совете в конце июля о таком подходе и речь не шло) не открыл Америки, а всего лишь работает на опережение. Рано или поздно, как страна, ратифицировавшая Конвенцию, мы должны были перейти к тому же подходу. Вопрос только в процедуре этого перехода.

Европа дала своим странам-участницам 2 года на обсуждение и подготовку к предлагаемым изменениям. Что-то возможно будет изменено. Не исключено, что и размер процента тоже изменится. Но подход останется неизменным. Но... говорить, что мы теперь следуем лучшим европейским практикам некорректно. Нас отличает от Европы всего один нюанс - непрозрачность требований при проверках.

Это основной тезис. Непонятно, что и как проверяют инспекции РКН? Непонятно как трактовать те или иные требования закона? Непонятно, какие документы все-таки должны быть у оператора ПДн? Непонятно, почему не выложить на сайте РКН шаблоны таких документов (как это сделано у европейских уполномоченных органов)? Непонятно, почему нет рекомендаций (по аналогии с ЦБшными) по выполнению требований закона (в Европе они есть и их много и в разных формах – шаблоны, чеклисты и т.д.)? Непонятны некоторые требования, которые РКН проверяет в рамках инспекций. И т.д. Такая непрозрачность и отсутствие ОФИЦИАЛЬНЫХ, ПУБЛИЧНЫХ и ориентированных на массы операторов ПДн (например, на сайте РКН) комментариев и разъяснений и является отличительной особенностью России в части защиты прав субъектов. Именно она и вызывает основной негатив. Заранее нельзя предсказать, чем закончится проверка, даже если оператор ПДн вложился в эту тему и выполнил очень много каких задач, перестроил процессы, выпустил документы и т.д.

Само по себе ужесточение наказания должно быть более жестким чем 10000 рублей по 13.11 и 5000 по 19.7 КоАП. Это нормально (да и Европа движется в сторону роста штрафов). Но в совокупностью с непрозрачностью и невыполнимостью организационных, юридических и технических требований, увеличение штрафов и переход полномочий прокуратуры к РКН воспринимается всеми как усиление именно карающих полномочий у РКН. Мнение о том, что задача РКН – найти и наказать, только усиливается. А ведь в Европе уполномоченные органы исходят из немного иной парадигмы – они там помогают выполнять требования. И именно поэтому такую реакцию вызвал законопроект на сайте Роскомнадзора.

Алексей Волков у себя дал некоторые рекомендации оператору ПДн, РКН и субъектам ПДн. Я могу к ним только присоединиться. Как можно скорее необходимо публиковать официальные разъяснения на сайте РКН. Иначе стоит ждать очередной волны возмущения... Она уже зреет. Достаточно будет опубликовать новые Постановления Правительства, которые готовятся ФСБ, и все необходимые для взрыва компоненты будут собраны воедино.

1 коммент.:

Евгений комментирует...

В.ПУТИН: В этой связи возникает другая проблема, и другой вопрос встаёт – это вопрос о сохранности персональных данных.
Н.НИКИФОРОВ: Безусловно, несмотря на то что законодательство в этой сфере принято, нужно сказать, что серьёзных штрафных санкций к тем операторам персональных данных (прежде всего имею в виду юридических лиц – это могут быть и банки, и страховые компании, медицинские учреждения), действенного механизма привлечения их к ответственности административной сегодня нет. Поэтому подготовлен целый комплекс нормативных актов, который позволит структуре, ответственной за контроль в этой сфере – это Роскомнадзор, дать дополнительные полномочия в части привлечения к ответственности.
Сегодня эта процедура растягивается на много этапов: Роскомнадзор делает предварительную проверку, передаёт её в прокуратуру, потом этап суда. За это время зачастую мы уже выходим за срок исковой давности. Мы хотим эту процедуру максимально ужесточить, тем самым показать всем тем, кто обрабатывает персональные данные (а это около 300 тысяч различных юридических лиц в нашей стране), что в нашей стране информация, особенно персональные данные населения, – это большая ответственность, в том числе финансовая. И пока этот механизм не заработает, конечно, отношение будет соответствующее. Такие поправки на нормативный акт уже подготовлены. Мы рассчитываем на их скорейшее принятие.
В.ПУТИН: Уделите этому вопросу должное внимание. Нужно довести эту работу до конца.

Подробнее:http://corp.cnews.ru/news/top/index.shtml?2012/09/04/501743