Как будет действовать реестр нарушителей закона… не о персональных данных?

В канун Дня Победы стал доступен проект Постановления Правительства «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных», который разработан во исполнение в соответствии с частями 3, 4 статьи 15.5 Федерального закона… «Об информации, информационных технологиях и о защите информации», а не «О персональных данных», как часто ошибаются многие эксперты и журналисты. Согласно ФЗ-242 именно трехглавый закон у нас определяет, как будут наказывать нарушителей, нет, не всего закона о персональных данных, а тех, кто в нарушении закона публикует персональные данные в Интернет. Статья 15.5 четко про это говорит в самом начале: «В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных«.

Второе важное замечание относительно данного реестра, которое надо дать, — нарушение должно быть признано судом, а не Роскомнадзором. В части 5, статьи 15.5 четко сказано, что «основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт«.

Иными словами, не так страшен ФЗ-242, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на общественное мнение российских граждан (социальные сети и поисковые системы). В отношении остальных операторов ПДн применение данных норм представляется более чем непростым. А уж в случае обработки ПДн работников или клиентов компании во внутренних информационных системах компании, находящихся за пределами РФ, тем более. В Интернете эти данные обычно не публикуются и не обрабатываются, а следовательно блокировать доступ не к чему и вносить в реестр нечего.

Но есть парочка «но»… Первое касается ситуации с обработкой ПДн на Интернет-магазинах, гостиницах, форумах и т.п. Они в полной мере «попадают» под ст.15.5 ФЗ-149. Разумеется, если их владельцы имеют представительства на территории России. Это как минимум. На закрытых встречах замглавы РКН, г-жа Приезжева, утверждала также, что закон распространяется и на тех, кто представительств не имеет, но имеет русскоязычные разделы на своих сайтах. Комментировать не буду.

Второе «но» касается наказания. Если нельзя заблокировать доступ к базам данных, хранящим ПДн за пределами РФ (а это пока запрещено и РКН именно так трактует эту норму ФЗ-242), то это не значит, что у РКН нет рычагов воздействия на оператора-нарушителя. Не забываем, что они имеют право выдавать предписания об устранении выявленных нарушений и в случае его невыполнения существует наказание именно за отказ от выполнения этого предписания. Так что учитывайте.