25.12.14

Становится понятно, за что будет наказывать РКН операторов ПДн

Многострадальный законопроект по штрафам за нарушение правил обработки персональных данных наконец-то был внесен Правительством в Государственную думу. Произошло это вчера. Давайте посмотрим, чем отличается то, о чем я уже писал в январе, с нынешним законопроектом. Подготавливала его

Законопроектом предусматривается полное изменение статьи 13.11 КоАП, которая теперь вместо абстрактного "нарушения порядка обработки" оперирует вполне конкретными 8-vm. составами правонарушения, в соответствии с которыми и устанавливается административная ответственность. К этим нарушениям относятся:
  1. Обработка ПДн с нарушением требований, установленных законодательством РФ  о персональных данных, к составу сведений, включаемых в согласие в письменной форме субъекта ПДн.
  2. Обработка ПДн без согласия субъекта ПДн и в отсутствие предусмотренных законодательством РФ  о персональных данных иных условий обработки.
  3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также ПДн о судимости в случаях, не предусмотренных законодательством РФ о персональных данных.
  4. Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, и сведениям о реализуемых требованиях к защите ПДн.
  5. Невыполнение оператором обязанности по предоставлению субъекту ПДн  информации, касающейся обработки его персональных данных.
  6. Невыполнение оператором в сроки, установленные законодательством РФ  о ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн  об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  7. Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих в соответствии с законодательством РФ о ПДн  сохранность ПДн  при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния.
  8. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ о ПДн обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных.
Свел указанные правонарушения в таблицу с указанием штрафов по ним (убрав физлиц и индивидуальных предпринимателей) и добавив нормы законодательства, за нарушение которых и вводятся новые штрафы.



Сразу хочу отметить, что 8-й пункт возможно исчезнет из финального текста закона. Все-таки вводили его еще тогда, когда в 211-м Постановлении Правительства обезличивание было обязательным. Сейчас это не так и поэтому данный пункт большого смысла не имеет.

Законопроектом предлагается также внести изменения в КоАП, касающиеся наделения Роскомнадзора полномочиями по возбуждению дел об административных правонарушениях законодательства Российской Федерации о персональных данных. Если раньше по статье 13.11 дела возбуждались прокуратурой, то теперь РКН получит долгожданные полномочия и, вероятнее всего, активно будем ими пользоваться.

Что в итоге? Да, штрафы возрастают. Они могут суммироваться, поэтому для юрлица кумулятивная сумма штрафа может достигать 565 тысяч рублей, что на существенно больше предыдущих 10 тысяч. Да, теперь сам РКН может направлять материалы в суд, не дожидаясь когда сотрудники прокуратуры в трехмесячный срок рассмотрят полученные от РКН материалы и направят в суд. Т.е. число дел, доводимых до суда, возрастет. Да, по-прежнему остаются иные статьи КоАП, которые могут быть применены к нарушителям. Но есть и позитивные моменты.

Теперь у РКН есть четкий список правонарушений, которые повлекут за собой наказание в виде штрафа. Никакой отсебятины, никаких расширительных трактовок. Операторам тоже становится понятно, за что их будут наказывать и что будут копать в первую очередь. Да, 8 составов правонарушений - это немало. Но зато теперь понятно, на чем стоит концентрироваться в первую очередь. А это очень хорошо.

10 коммент.:

Мисник Николай комментирует...

Я думаю, что этот вариант сильно поменяют, так как он убивает два любимых нарушения РКН: 1) отсутствие в договоре с Третьим лицом, которому поручается обработка пунктов, установленных частью 3 статьи 6.
2) нарушение пункта 5 статьи 5- обработка пдн, избыточных, по отношению к заявленным целям обработки.
Не знаю как в Москве, но у нас в регионе эти нарушения есть в 9 из 10 предписаний.

Мисник Николай комментирует...

7 пункт дает надежду на светлое будущее! Впервые появилась замечательная фраза "если это повлекло неправомерный или случайный доступ к ним...". Это реальный прорыв! А то раньше-разглашения нет, а оператор уже виноват, если нет на шкафу замочка. Кроме того, этот пункт, в такой формулировке, зааставит операторов не для галочки исполнять это требование (были случаи, когда операторы лепили на стеклянную дверцу шкафа опечатывающее устройсто, и РКН признавал это достаточными мерами по утсранению нескнкционированного доступа), а реально задуматься о безопасности.

Алексей Лукацкий комментирует...

Не поменяют

Мисник Николай комментирует...

Тогда оператор может вообще забить на цели обработки и на всю 5 статью. Даже не знаю, плохо ли это. А то как говоришь людям, что они могут обрабатывать только те данные, которые соответствуют ЗАКОННЫМ И ОБОСНОВАННЫМ целям, так у них крыша едет:) не понимают почему нельзя взять согласие на все и не мучаться.
Теперь можно, получается.

Алексей Лукацкий комментирует...

Всегда было можно при правильной формулировке цели

Мисник Николай комментирует...
Этот комментарий был удален автором.
Aleksandr Tiulkanov комментирует...

Странно видеть в данном проекте "декриминализацию" обработки ПДн с использованием зарубежных баз данных. Столько шума вокруг этих - довольно спорных - требований было, а теперь получается, что ответственности, собственно, нет. В отличие от действующей широкой редакции, покрывающей этот случай.

Думаю, что в какой-то момент проснутся и поправят это.

Алексей Лукацкий комментирует...

Ответственность за нарушение 242-ФЗ описана в самом 242-ФЗ

Aleksandr Tiulkanov комментирует...

Алексей, я не нашёл там как таковой ответственности (гражданской, административной или уголовной) нарушителя, только порядок ограничения доступа к базам данных Роскомнадхзором.

Получается, что административная ответственность по проекту изменений в КоАП исключается, остается только гражданская. Т. е. все, что можно будет теоретически предъявить - это иск об убытках от субъекта ПДн.

Если базы данных размещаются не в интернете, а в корпоративной сети, то в принципе у РКН не будет рычагов повлиять, скажем, на работодателя, размещающего БД с ПДн работников за рубежом.

Алексей Лукацкий комментирует...

Если мне, как нарушителю ФЗ-242, заблокируют доступ к моему сайту, то мне мало не покажется и я с радостью уплачу любые штрафы, чтоюы доступ разблокировали