Риски законопроекта о штрафах за ненадлежащую обработку и хранение персональных данных

Говорить об усилении защиты данных россиян пока рано, текст нового законодательного акта имеет множество коллизий и несет существенные риски для интернет-проектов и IT-компаний.

После того, как закон о персональных данных начал использоваться властями для давления на независимые IT-компании и сайты (самый свежий пример — запрет деловой соцсети LinkedIn), думаем, не стоит строить иллюзий и относительно принятого Госдумой во втором чтении законопроекта об ужесточении административной ответственности за нарушения при хранении и обработке персональных данных. В общем-то полезный для безопасности данных россиян в интернете закон, скорее всего, не будет работать в том направлении, как его декларируют власти. 

Весь прошлый год прошёл под эгидой громких утечек, зачастую связанных наличием брешей в государственных органах, и надзорные органы особой прыти в расследовании этих инцидентов не проявляли, поэтому разговоры о том, что установление максимального размера штрафа в 10 тысяч рублей для юридических лиц сразу перекроет дырки, через которые эти данные утекали, вызывают лишь грустную улыбку.

Инициатором законопроекта выступило Правительство РФ. Как отмечается в пояснительной записке к документу, в настоящее время административная ответственность за совершение правонарушения в области персональных данных предусмотрена статьей 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса РФ об административных правонарушениях (КоАП РФ). В соответствии с указанной статьей, максимальный размер штрафа за нарушение требований законодательства РФ о персональных данных для юридических лиц составляет 10 тысяч рублей. Учитывая интенсивное развитие информационно-коммуникационных технологий, увеличивается объем и масштаб правонарушений в области персональных данных. В связи с этим был разработан данный проект закона.

Представленным законопроектом предлагается дифференцировать составы административных правонарушений в области персональных данных с учетом ущерба, причиненного нарушением, изменив действующую редакцию статьи 13.11 КоАП РФ и установив дополнительные составы административных правонарушений в области персональных данных, а также усилить ответственность за их нарушение, увеличив размеры административных штрафов. Так, согласно документу, максимальный штраф за нарушения при обработки персональных данных для граждан составит 5 тысяч рублей, для должностных лиц — 20 тысяч рублей, а для индивидуальных предпринимателей (ИП) и юрлиц по 20 тысяч рублей и 75 тысяч рублей соответственно.

Управляющий партнёр консалтингового агентства «Емельянников, Попова и партнёры» Михаил Емельянников в комментария для «РосКомСвободы» заметил, что в принятом законопроекте много неясностей, в частности — непонятен, какой конкретно надзорный орган будет ответственным за соблюдение этого закона, что повлечёт некоторую неразбериху в правоприменении нового закона, плюс к этому, закон негативно скажется на малом интернет-бизнесе:

«Интересно, что уполномоченным органом по защите прав субъектов персональных данных теперь может быть не обязательно Роскомнадзор, а именно надзорный орган. Но это вовсе не означает передачи этих функций от Роскомнадзора другому органу, тем более, что изменения в КоАП наделяют именно Роскомнадзор правом возбуждать административные дела по статье 13.11, снимая эти полномочия с прокуратуры.

К сожалению, новый законопроект не вносит ясности в вопрос, что же является объектом контроля и надзора. В одной и той же статье, в разных ее частях, указывается и соответствие обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, и соответствие обработки персональных данных и способов их обработки требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов». А это несколько разные по объему области, да и возникает коллизия с другим требованием законодательства, предусматривающем, что одни и те же обязательные требования не могут проверяться разными надзорными органами. Это означает, что надо опять ждать практики правоприменения для того, чтобы разобраться в этом вопросе. Но могу высказать предположение, что Роскомнадзор будет проверять соблюдение законодательства в очень широком спектре, не ограничиваясь законом «О персональных данных» и принятыми в его исполнение постановлениями правительства.

Изменения КоАП существенно поменяют практику надзорной деятельности. Если сейчас максимальный штраф составляет для юридического лица 10 тысяч рублей, и для его наложения Роскомнадзор должен передать материалы проверки прокуратуре, а та возбудить административное дело и направить в мировой суд, на что отводится всего три месяца, то после принятия закона ситуация меняется. Хотя максимальные штрафы остаются не очень большими – до 70 тысяч для юридического лица, наличие семи составов нарушений позволяет оформить административное дело по каждому из выявленных при проверке нарушений, в результате чего кумулятивный штраф может составлять несколько сотен тысяч рулей, поскольку на практике при проверках выявляется от нескольких до нескольких десятков нарушений. И если для компаний уровня «большой четверки», включенных в планы проверок управления Роскомнадзора по ЦФО на этот год, такой штраф неприятен, но не более, то для какого-нибудь интернет-проекта типа магазина или сервиса это может означать его смерть.

Ситуация усугубляется тем, что наличие негативных последствий допущенного для субъекта нарушения как основание для привлечения к ответственности нарушителя предусмотрено только частью одной частью статьи 13.11 в новой редакции, в остальных случаях их наступление значения не имеет. То есть, если работник дал согласие работодателя на передачу его персональных данных в банк для начисления на платежную карту и никаких претензий к работодателю не имеет, но согласие составлено с нарушением закона, Роскомнадзор все равно вправе наложить на работодателя штраф».

Исходя из сказанного экспертом, становится понятно, что новый закон можно будет использовать для бесконечного «судебного троллинга» любой компании, в чьи функции входит обработка и хранение данных, — следовательно, новый закон опасен как своей коррупциногенностью, так и дальнейшим монополизированием интернет-рынка России крупными компаниями.

Читайте также:

Минкомсвязь предлагает отнести все личные данные пользователей к персональным и их госрегулировать
?
В Госдуме рассмотрели законопроект о госконтроле за обработкой персональных данных
?
Личные данные россиян всё чаще становятся «общественными»
?
Касперская: «большие пользовательские данные» россиян необходимо признать собственностью государства
?
Роскомнадзор анонсировал крупную проверку персональных данных в 2017 году