• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

А что нам будет за то, что мы ничего по защите персональных данных делать не будем?

В заголовок вынесен самый популярный в последнее время вопрос, касающийся Закона «О персональных данных». Этим вопросом все чаще задаются ответственные люди, прикинувшие на себя объем выполнения закона: наедине с собой, внутри своих компаний – операторов персональных данных, на публичных мероприятиях, форумах, вебинарах. Просто эпидемия.

Похоже, в обществе сложилось стойкое представление, что штрафы за неисполнение закона мизерны по сравнению со стоимостью проектирования и технической реализации защитных мер, что проверяющие не в состоянии хоть как-то повлиять на деятельность оператора персональных данных и что всегда на выручку придет привычное российское «заплатим – и отстанут».

Это нередко действительно так, но не совсем.

Если мы полистаем разделы публичных докладов Роскомнадзора о деятельности в области персональных данных за последние пару лет, то увидим, что для привлечения операторов к ответственности применяются фактически всего две статьи Кодекса РФ об административных правонарушениях: ст. 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и ст. 19.7 «Непредставление сведений (информации)». Максимальные наказания по ним действительно небольшие: для должностных лиц по ст. 13.11 – 1 тыс. руб., для юридических лиц – 10 тыс., по ст. 19.7 – и вовсе до 500 руб. для должностных лиц и до 5 тыс. руб. для юрлиц. Самый скромный проект по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже. Да и постановление по делу об административном правонарушении должно быть вынесено в течение не более чем двух месяцев с момента выявления нарушения.

Но это взгляд поверхностный. А если копнуть поглубже, риски оператора уже не выглядят такими незначительными. И вытекают они из самой системы государственного контроля и надзора, установленной другим законом, ФЗ-294 от 26 декабря 2008 г. «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Статья 17 данного закона предусматривает, что при выявлении проверяющими-надзирающими нарушений обязательных требований они обязаны выдать предписание об их устранении с указанием сроков и принять меры по контролю за устранением выявленных нарушений, их предупреждению, а также меры по привлечению виновных лиц к ответственности. Обязаны!

И если оператор требования предписания не выполнил, вступают в действие другие статьи КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор» (штраф уже до 20 тыс.), 19.6 «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения», 19.4 «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор». Выполнить же предписание иногда не просто сложно, а фактически невозможно, тем более что для его реализации предоставляется небольшой срок, как правило, не более месяца.

Реальная ситуация Оператор связи (несколько миллионов абонентов) передал работу по выставлению счетов за услуги клиентам и сбору платежей в дочерние организации – самостоятельные юрлица. Прокуратура совместно с Роскомнадзором выявили нарушение – предоставление персональных данных субъектов третьим лицам без их согласия – и потребовали в месячный срок нарушение устранить. А теперь прикиньте, что это значит – либо свернуть сеть сервисных центров и вернуть бизнес в головную компанию (с ликвидацией юрлиц и передачей дел-прав), либо получить подтверждаемое согласие у миллионов людей на огромной территории. За месяц. Не удастся выполнить – оператора не можно, а нужно снова штрафовать!

Для руководящего состава операторов-юрлиц предусмотрено и такое наказание, как дисквалификация, т.е. лишение права занимать должности в исполнительном органе управления юридического лица, входить в совет директоров (наблюдательный совет). Дисквалификация устанавливается на срок от 6 мес. до 3 лет и может быть применена к лицам, осуществляющим организационно-распорядительные или административно-хозяйственные функции в органе юридического лица, к членам совета директоров (наблюдательного совета).

Реальная ситуация На предприятии не выполнено требование п.8 ст.86 Трудового кодекса: «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области» – пожалуйста, штраф до 5 тыс. руб. на руководителя (можно и всего тысячу, чтобы не сильно пугались) и предписание устранить нарушение в месячный срок. А за месяц и разработать, и довести документ до большого трудового коллектива ой как сложно. Кто-то в отпуске, кто-то учится, кто-то болен. Внеплановая проверка через месяц в рамках надзора за устранением выявленных нарушений, и как итог – дисквалификация первого лица, ранее оштрафованного за аналогичное нарушение, иными словами, ранее подвергнутого административному наказанию за аналогичное административное правонарушение, по ст.5.27 «Нарушение законодательства о труде и об охране труда».

Наконец. Никакой возможности административной приостановки деятельности оператора за нарушения, связанные с персональными данными, кодекс не предусматривает, за исключением случаев (внимание!), когда оператор является лицензиатом ФСТЭК или ФСБ и при этом грубо нарушает лицензионные условия (ч.5 ст.13.12 «Нарушение правил защиты информации»). А вот за нарушение трудового законодательства (помним о главе 14 Трудового кодекса!) притормозить работу оператора вполне можно, по упоминавшейся выше ч.1 ст.5.27 КоАП, на срок до 90 суток.

На сегодня мой рецепт простой: просчитайте риски – для своей организации, для себя лично с учетом занимаемой позиции и степени ответственности – и принимайте решение: ждать или действовать.  икс 

P.S.

Ждем перемен?

В Госдуму внесен очередной законопроект об изменениях Кодекса об административных правонарушениях. Предлагается внести весьма занятную ст. 13.11.1 «Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных», предусматривающая ответственность уполномоченного лица, заключающего договор от имени оператора персональных данных. Как явствует из текста пояснительной записки, в первую очередь статья направлена против агентов компаний сотовой связи, продающих сим-карты без паспортов или по их копиям, сделанным вопреки воле владельца. Инициаторы законопроекта с тревогой отмечают, что такие злоупотребления создают препятствия при проведении оперативно-розыскных действий, так как затрудняют идентификацию абонента. При этом установлено, что более 70% всех ложных сообщений о готовящихся терактах поступает с мобильных телефонов. Вот такая беда.

Поэтому таких «коммерческих представителей, оказывающих посреднические услуги в заключении договоров оказания услуг подвижной связи», надо прижать к ногтю штрафами до 300 тыс. руб. Вот так. На оператора, допускающего какие угодно нарушения, – не более 10 тысяч, а на его агента – аж 300?

Недоумение было недолгим.

Сайт Роскомнадзора со ссылкой на интернет-источники сообщил, что «Правительство России подготовило законопроект об изменении статьи 13.11 Кодекса об административных правонарушениях (КоАП) РФ». В этой статье говорится о нарушении установленного законом порядка обработки персональных данных. Наказание за данное нарушение планируется увеличить в десятки раз. Т.е. ситуацию предлагается выровнять, и по ст.13.11 КоАП карать операторов персданных штрафами от 200 тыс. до 500 тыс. руб.

Вот и правильно. А то как-то несправедливо: агенту – 300 тыс. штрафа за нарушения, а оператору – только 10.