30.01.2017

Законопроект по штрафам в области ПДн. Что нас ждет в скором будущем?

Прошлая неделя ознаменовалась не только празднованием китайского Нового года, но и международным днем защиты персональных данных, который празднуется во всем мире 28-го января. И аккурат к этому празднику Госдума приняла в третьем чтении законопроект о штрафах в области ПДн, которого все так ждали и страшились одновременно. Сейчас, глядя на текст законопроекта, можно уже утверждать, что его не изменят и вероятность его отмены Советом Федерации или Президентом близка к нулю.

Я попробую сформулировать тезисно ключевые моменты, связанные с новыми правилами:

  • Этот законопроект был внесен в Госдуму еще в декабре 2014-го года, а в феврале 2015-го года он был принят в первом чтении. С тех пор этот законопроект был забыт депутатами и с него сдули пыль только сейчас. За это время ситуация в законодательстве изменилась, но... законопроект почти не трогали. Например, 7-я часть статьи 13.11 наказывает за невыполнение госорганом или муниципальным учреждением обязанности по обезличиванию ПДн. Все бы ничего, но норма по обязательному обезличиванию была в прошлой версии ПП-211 - в сентябре 2014-го года ее отменили, определив, что обязанность обезличивания устанавливается какими-либо НПА. Но за прошедшие пару лет таких актов, насколько мне известно, так и не было принято. Получается, что депутаты вводят наказание за то, что делать уже не требуется, то есть данная часть статьи 13.11 работать не будет.
  • Также мне не совсем понятно, почему было убрано наказание за обработку без согласия спецкатегорий ПДн (за нее следовал максимальный штраф в 300 тысяч рублей); депутаты оставили наказание за обработку без согласия любых ПДн (и обычных и спецкатегорий)? Это совсем нелогично. В Европе, например, и дух и буква Евроконвенции и Евродирективы гласят, что к обработке спецкатегорий ПДн надо относиться с большим пиететом, чем к обработке обычных ПДн. И наказание за незаконную обработку таких ПДн существенно серьезнее. Но не в России. У нас и уровни защищенности, установленные ПП-1119, почти никак не зависят от типа ПДн (в отличие от прежнего "приказа трех" по классификации ИСПДн), и наказание за незаконную обработку спецкатегорий ПДн убрали. С другой стороны это лишний раз доказывает давно известный факт, что регулятор давно уже не интересуется защитой прав субъектов ПДн, занимаясь совсем другими задачами.
  • Законопроект устанавливает 7 вполне конкретных составов правонарушений, за которые воспоследует административное наказание. В отличие от прошлой и пока еще действующей редакции ст.13.11, теперь четко установлены случаи, за которые можно наказать оператора ПДн - никакой отсебятины и никакого размытого "нарушения правил обработки ПДн". Все предельно понятно. Например, раньше по ст.13.11 можно было наказать за нарушение ФЗ-242; сейчас уже этого сделать будет нельзя. За отсутствие уведомления РКН тоже можно было наказать - сейчас проблематично. Ну и т.д.
  • Многие комментаторы радостно говорят, что законопроект ничего не поменяет в деле защиты прав субъектов, так как сумма штрафов выросла незначительно и она не будет стимулировать операторов ПДн. Не соглашусь. Сумма штрафов не выросла, но вот схема их назначения изменилась кардинально. Раньше (еще пока в действующей редакции) наказание могло быть одно и за "нарушение установленного законом порядка...". То есть сколько бы нарушений найдено не было, наказать можно было только один раз. Сейчас формулировка статьи поменялась и она просто перечисляет 7 составов правонарушений. Вспоминая практику применения ст.5.27 (нарушение законодательства о труде), когда за каждое нарушение инспекторы трудовых инспекций назначали отдельный штраф, можно предположить, что схожая практика может быть применена и к новой статье 13.11. Именно может быть. С другой стороны ст.4.4 КоАП определяет, что может быть и другой вариант, когда в рамках одного дела, ведомого одним судьей, наказание по совокупности правонарушений рассчитывается не за каждое нарушение, а как одно. Анализ правоприменительной практики показывает, что такие случаи происходят нередко. Поэтому стоит подождать принятия закона и начала надзорной деятельности.
  • За ущерб субъекту по-прежнему не наказывают - только 6-я часть новой редакции ст.13.11 (неавтоматизированная обработка ПДн) предусматривает такой состав. В свое время в экспертном совете при Минкомсвязи мы рассматривали такой законопроект (о наказании именно за ущерб субъекту), но РКН был против и его "похоронили".
  • Права наказывать по статье 13.11 перешло от прокуратуры к РКН.
27-го января должны были рассматривать и второй законопроект - по надзору в области ПДн, но, видимо, депутаты не успели этого сделать. В нем тоже произошло немало интересного, о чем уже писал Михаил Емельянников.

13 коммент.:

Alexey Muntyan комментирует...

Алексей, для РКН, как и для органов прокуратуры в настоящее время, не предусмотрено права "наказывать" операторов - глава 28 КоАП говорит лишь о возбуждении административных дел. Наказывать операторов по ст.13.11 может только суд.

Александр Германович комментирует...

" В отличие от прошлой и пока еще действующей редакции ст.13.11, теперь четко установлены случаи, за которые можно наказать оператора ПДн - никакой отсебятины и никакого размытого "нарушения правил обработки ПДн". Все предельно понятно. "

Особенно четко сформулирован п.1. : "..либо обработка персональных данных, несовместимая с целями сбора персональных данных".
Что совместимо с целями сбора, а что нет - теперь будет решать сам РКН. Широкий простор для творчества!

Алексей Лукацкий комментирует...

Alexey: я это и имел ввиду; ошибся в формулировке

Александр: можно попробовать сформулировать цель в своих внутренних документах

Alexey Muntyan комментирует...

Алексей, я бы также не согласился с тем, что ч.7 ст.13.11 будет висеть мертвым грузом: на обязательности обезличивания ПДн в ПП-211 свет клином не сошелся, и есть П-996 в отношении "требований и методов по обезличиванию ПДн". Следовательно, вторая часть диспозиции ч.7 ст.13.11 вполне рабочая.

Алексей Лукацкий комментирует...

Приказ РКН работает только тогда, когда установлена обязанность его применения. А этого сейчас нет. Можно применять, а можно и нет.

Александр Германович комментирует...

"можно попробовать сформулировать цель в своих внутренних документах"

Не только можно, но и нужно. Вот, например, цель: "обработка ПДн в целях предоставления услуг по дополнительному профессиональному образованию". Какие ПДн с этой целью совместимы, а какие нет? Возраст? Должность? Стаж работы? моб. телефон?

А медицине я вообще не завидую....

Алексей Лукацкий комментирует...

Вот так можно: "Целью обработки указанных выше персональных данных является осуществление возложенных на Организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», принятыми в их исполнение нормативными актами Банка России, а также в целях организации учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также нормативными актами Банка России"

Александр Германович комментирует...

ХитрО! А главное, "никакой отсебятины и никакого размытого "нарушения правил обработки ПДн". Все предельно понятно." :)

Каждый раз сотрудник РКН будет иметь свою точку зрения на совместимость.
Кстати, в судах точка зрения инспектора ДПС всегда более весома, чем мнение водителя.

Alexey Muntyan комментирует...

П-996 применяется согласно п."з" ПП-211: "в случаях, установленных нормативными правовыми актами Российской Федерации...". При желании, такие случаи можно найти в действующем законодательстве, например, обязанность субъектов официального статистического учета обезличивать ПДн при обработке первичных стат.данных.

Алексей Лукацкий комментирует...

Алексей: Ну... Можно конечно. Но число таких случаев очень невелико. Но в целом да, соглашусь, что найти такие случаи можно

Алексей Лукацкий комментирует...

Александр: имею опыт выигрыша суда у ДПС за объезд по двойной сплошной (а это лишение) :-) Все зависит от подкованности и подвешенности языка :-)

Александр Германович комментирует...

Ну... не у каждого оператора ПДн есть свой А. Лукацкий :-)

Алексей Лукацкий комментирует...

Увы :-)