Многострадальный законопроект по штрафам за нарушение правил обработки персональных данных наконец-то был внесен Правительством в Государственную думу. Произошло это вчера. Давайте посмотрим, чем отличается то, о чем я уже писал в январе, с нынешним законопроектом. Подготавливала его
Законопроектом предусматривается полное изменение статьи 13.11 КоАП, которая теперь вместо абстрактного "нарушения порядка обработки" оперирует вполне конкретными 8-vm. составами правонарушения, в соответствии с которыми и устанавливается административная ответственность. К этим нарушениям относятся:
Сразу хочу отметить, что 8-й пункт возможно исчезнет из финального текста закона. Все-таки вводили его еще тогда, когда в 211-м Постановлении Правительства обезличивание было обязательным. Сейчас это не так и поэтому данный пункт большого смысла не имеет.
Законопроектом предлагается также внести изменения в КоАП, касающиеся наделения Роскомнадзора полномочиями по возбуждению дел об административных правонарушениях законодательства Российской Федерации о персональных данных. Если раньше по статье 13.11 дела возбуждались прокуратурой, то теперь РКН получит долгожданные полномочия и, вероятнее всего, активно будем ими пользоваться.
Что в итоге? Да, штрафы возрастают. Они могут суммироваться, поэтому для юрлица кумулятивная сумма штрафа может достигать 565 тысяч рублей, что на существенно больше предыдущих 10 тысяч. Да, теперь сам РКН может направлять материалы в суд, не дожидаясь когда сотрудники прокуратуры в трехмесячный срок рассмотрят полученные от РКН материалы и направят в суд. Т.е. число дел, доводимых до суда, возрастет. Да, по-прежнему остаются иные статьи КоАП, которые могут быть применены к нарушителям. Но есть и позитивные моменты.
Теперь у РКН есть четкий список правонарушений, которые повлекут за собой наказание в виде штрафа. Никакой отсебятины, никаких расширительных трактовок. Операторам тоже становится понятно, за что их будут наказывать и что будут копать в первую очередь. Да, 8 составов правонарушений - это немало. Но зато теперь понятно, на чем стоит концентрироваться в первую очередь. А это очень хорошо.
Законопроектом предусматривается полное изменение статьи 13.11 КоАП, которая теперь вместо абстрактного "нарушения порядка обработки" оперирует вполне конкретными 8-vm. составами правонарушения, в соответствии с которыми и устанавливается административная ответственность. К этим нарушениям относятся:
- Обработка ПДн с нарушением требований, установленных законодательством РФ о персональных данных, к составу сведений, включаемых в согласие в письменной форме субъекта ПДн.
- Обработка ПДн без согласия субъекта ПДн и в отсутствие предусмотренных законодательством РФ о персональных данных иных условий обработки.
- Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также ПДн о судимости в случаях, не предусмотренных законодательством РФ о персональных данных.
- Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, и сведениям о реализуемых требованиях к защите ПДн.
- Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его персональных данных.
- Невыполнение оператором в сроки, установленные законодательством РФ о ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих в соответствии с законодательством РФ о ПДн сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния.
- Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ о ПДн обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных.
Свел указанные правонарушения в таблицу с указанием штрафов по ним (убрав физлиц и индивидуальных предпринимателей) и добавив нормы законодательства, за нарушение которых и вводятся новые штрафы.
Сразу хочу отметить, что 8-й пункт возможно исчезнет из финального текста закона. Все-таки вводили его еще тогда, когда в 211-м Постановлении Правительства обезличивание было обязательным. Сейчас это не так и поэтому данный пункт большого смысла не имеет.
Законопроектом предлагается также внести изменения в КоАП, касающиеся наделения Роскомнадзора полномочиями по возбуждению дел об административных правонарушениях законодательства Российской Федерации о персональных данных. Если раньше по статье 13.11 дела возбуждались прокуратурой, то теперь РКН получит долгожданные полномочия и, вероятнее всего, активно будем ими пользоваться.
Что в итоге? Да, штрафы возрастают. Они могут суммироваться, поэтому для юрлица кумулятивная сумма штрафа может достигать 565 тысяч рублей, что на существенно больше предыдущих 10 тысяч. Да, теперь сам РКН может направлять материалы в суд, не дожидаясь когда сотрудники прокуратуры в трехмесячный срок рассмотрят полученные от РКН материалы и направят в суд. Т.е. число дел, доводимых до суда, возрастет. Да, по-прежнему остаются иные статьи КоАП, которые могут быть применены к нарушителям. Но есть и позитивные моменты.
Теперь у РКН есть четкий список правонарушений, которые повлекут за собой наказание в виде штрафа. Никакой отсебятины, никаких расширительных трактовок. Операторам тоже становится понятно, за что их будут наказывать и что будут копать в первую очередь. Да, 8 составов правонарушений - это немало. Но зато теперь понятно, на чем стоит концентрироваться в первую очередь. А это очень хорошо.
Я думаю, что этот вариант сильно поменяют, так как он убивает два любимых нарушения РКН: 1) отсутствие в договоре с Третьим лицом, которому поручается обработка пунктов, установленных частью 3 статьи 6.
ОтветитьУдалить2) нарушение пункта 5 статьи 5- обработка пдн, избыточных, по отношению к заявленным целям обработки.
Не знаю как в Москве, но у нас в регионе эти нарушения есть в 9 из 10 предписаний.
7 пункт дает надежду на светлое будущее! Впервые появилась замечательная фраза "если это повлекло неправомерный или случайный доступ к ним...". Это реальный прорыв! А то раньше-разглашения нет, а оператор уже виноват, если нет на шкафу замочка. Кроме того, этот пункт, в такой формулировке, зааставит операторов не для галочки исполнять это требование (были случаи, когда операторы лепили на стеклянную дверцу шкафа опечатывающее устройсто, и РКН признавал это достаточными мерами по утсранению нескнкционированного доступа), а реально задуматься о безопасности.
ОтветитьУдалитьНе поменяют
ОтветитьУдалитьТогда оператор может вообще забить на цели обработки и на всю 5 статью. Даже не знаю, плохо ли это. А то как говоришь людям, что они могут обрабатывать только те данные, которые соответствуют ЗАКОННЫМ И ОБОСНОВАННЫМ целям, так у них крыша едет:) не понимают почему нельзя взять согласие на все и не мучаться.
ОтветитьУдалитьТеперь можно, получается.
Всегда было можно при правильной формулировке цели
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьСтранно видеть в данном проекте "декриминализацию" обработки ПДн с использованием зарубежных баз данных. Столько шума вокруг этих - довольно спорных - требований было, а теперь получается, что ответственности, собственно, нет. В отличие от действующей широкой редакции, покрывающей этот случай.
ОтветитьУдалитьДумаю, что в какой-то момент проснутся и поправят это.
Ответственность за нарушение 242-ФЗ описана в самом 242-ФЗ
ОтветитьУдалитьАлексей, я не нашёл там как таковой ответственности (гражданской, административной или уголовной) нарушителя, только порядок ограничения доступа к базам данных Роскомнадхзором.
ОтветитьУдалитьПолучается, что административная ответственность по проекту изменений в КоАП исключается, остается только гражданская. Т. е. все, что можно будет теоретически предъявить - это иск об убытках от субъекта ПДн.
Если базы данных размещаются не в интернете, а в корпоративной сети, то в принципе у РКН не будет рычагов повлиять, скажем, на работодателя, размещающего БД с ПДн работников за рубежом.
Если мне, как нарушителю ФЗ-242, заблокируют доступ к моему сайту, то мне мало не покажется и я с радостью уплачу любые штрафы, чтоюы доступ разблокировали
ОтветитьУдалить