Законопроект по штрафам в области ПДн. Что нас ждет в скором будущем?

Прошлая неделя ознаменовалась не только празднованием китайского Нового года, но и международным днем защиты персональных данных, который празднуется во всем мире 28-го января. И аккурат к этому празднику Госдума приняла в третьем чтении законопроект о штрафах в области ПДн, которого все так ждали и страшились одновременно. Сейчас, глядя на текст законопроекта, можно уже утверждать, что его не изменят и вероятность его отмены Советом Федерации или Президентом близка к нулю.

Я попробую сформулировать тезисно ключевые моменты, связанные с новыми правилами:

  • Этот законопроект был внесен в Госдуму еще в декабре 2014-го года, а в феврале 2015-го года он был принят в первом чтении. С тех пор этот законопроект был забыт депутатами и с него сдули пыль только сейчас. За это время ситуация в законодательстве изменилась, но… законопроект почти не трогали. Например, 7-я часть статьи 13.11 наказывает за невыполнение госорганом или муниципальным учреждением обязанности по обезличиванию ПДн. Все бы ничего, но норма по обязательному обезличиванию была в прошлой версии ПП-211 — в сентябре 2014-го года ее отменили, определив, что обязанность обезличивания устанавливается какими-либо НПА. Но за прошедшие пару лет таких актов, насколько мне известно, так и не было принято. Получается, что депутаты вводят наказание за то, что делать уже не требуется, то есть данная часть статьи 13.11 работать не будет.
  • Также мне не совсем понятно, почему было убрано наказание за обработку без согласия спецкатегорий ПДн (за нее следовал максимальный штраф в 300 тысяч рублей); депутаты оставили наказание за обработку без согласия любых ПДн (и обычных и спецкатегорий)? Это совсем нелогично. В Европе, например, и дух и буква Евроконвенции и Евродирективы гласят, что к обработке спецкатегорий ПДн надо относиться с большим пиететом, чем к обработке обычных ПДн. И наказание за незаконную обработку таких ПДн существенно серьезнее. Но не в России. У нас и уровни защищенности, установленные ПП-1119, почти никак не зависят от типа ПДн (в отличие от прежнего «приказа трех» по классификации ИСПДн), и наказание за незаконную обработку спецкатегорий ПДн убрали. С другой стороны это лишний раз доказывает давно известный факт, что регулятор давно уже не интересуется защитой прав субъектов ПДн, занимаясь совсем другими задачами.
  • Законопроект устанавливает 7 вполне конкретных составов правонарушений, за которые воспоследует административное наказание. В отличие от прошлой и пока еще действующей редакции ст.13.11, теперь четко установлены случаи, за которые можно наказать оператора ПДн — никакой отсебятины и никакого размытого «нарушения правил обработки ПДн». Все предельно понятно. Например, раньше по ст.13.11 можно было наказать за нарушение ФЗ-242; сейчас уже этого сделать будет нельзя. За отсутствие уведомления РКН тоже можно было наказать — сейчас проблематично. Ну и т.д.
  • Многие комментаторы радостно говорят, что законопроект ничего не поменяет в деле защиты прав субъектов, так как сумма штрафов выросла незначительно и она не будет стимулировать операторов ПДн. Не соглашусь. Сумма штрафов не выросла, но вот схема их назначения изменилась кардинально. Раньше (еще пока в действующей редакции) наказание могло быть одно и за «нарушение установленного законом порядка…«. То есть сколько бы нарушений найдено не было, наказать можно было только один раз. Сейчас формулировка статьи поменялась и она просто перечисляет 7 составов правонарушений. Вспоминая практику применения ст.5.27 (нарушение законодательства о труде), когда за каждое нарушение инспекторы трудовых инспекций назначали отдельный штраф, можно предположить, что схожая практика может быть применена и к новой статье 13.11. Именно может быть. С другой стороны ст.4.4 КоАП определяет, что может быть и другой вариант, когда в рамках одного дела, ведомого одним судьей, наказание по совокупности правонарушений рассчитывается не за каждое нарушение, а как одно. Анализ правоприменительной практики показывает, что такие случаи происходят нередко. Поэтому стоит подождать принятия закона и начала надзорной деятельности.
  • За ущерб субъекту по-прежнему не наказывают — только 6-я часть новой редакции ст.13.11 (неавтоматизированная обработка ПДн) предусматривает такой состав. В свое время в экспертном совете при Минкомсвязи мы рассматривали такой законопроект (о наказании именно за ущерб субъекту), но РКН был против и его «похоронили».
  • Права наказывать по статье 13.11 перешло от прокуратуры к РКН.
27-го января должны были рассматривать и второй законопроект — по надзору в области ПДн, но, видимо, депутаты не успели этого сделать. В нем тоже произошло немало интересного, о чем уже писал Михаил Емельянников.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    Алексей, для РКН, как и для органов прокуратуры в настоящее время, не предусмотрено права "наказывать" операторов — глава 28 КоАП говорит лишь о возбуждении административных дел. Наказывать операторов по ст.13.11 может только суд.

    Ответить
  2. Александр Германович

    " В отличие от прошлой и пока еще действующей редакции ст.13.11, теперь четко установлены случаи, за которые можно наказать оператора ПДн — никакой отсебятины и никакого размытого "нарушения правил обработки ПДн". Все предельно понятно. "

    Особенно четко сформулирован п.1. : "..либо обработка персональных данных, несовместимая с целями сбора персональных данных".
    Что совместимо с целями сбора, а что нет — теперь будет решать сам РКН. Широкий простор для творчества!

    Ответить
  3. Алексей Лукацкий

    Alexey: я это и имел ввиду; ошибся в формулировке

    Александр: можно попробовать сформулировать цель в своих внутренних документах

    Ответить
  4. Unknown

    Алексей, я бы также не согласился с тем, что ч.7 ст.13.11 будет висеть мертвым грузом: на обязательности обезличивания ПДн в ПП-211 свет клином не сошелся, и есть П-996 в отношении "требований и методов по обезличиванию ПДн". Следовательно, вторая часть диспозиции ч.7 ст.13.11 вполне рабочая.

    Ответить
  5. Алексей Лукацкий

    Приказ РКН работает только тогда, когда установлена обязанность его применения. А этого сейчас нет. Можно применять, а можно и нет.

    Ответить
  6. Александр Германович

    "можно попробовать сформулировать цель в своих внутренних документах"

    Не только можно, но и нужно. Вот, например, цель: "обработка ПДн в целях предоставления услуг по дополнительному профессиональному образованию". Какие ПДн с этой целью совместимы, а какие нет? Возраст? Должность? Стаж работы? моб. телефон?

    А медицине я вообще не завидую….

    Ответить
  7. Алексей Лукацкий

    Вот так можно: "Целью обработки указанных выше персональных данных является осуществление возложенных на Организацию законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», принятыми в их исполнение нормативными актами Банка России, а также в целях организации учета служащих кредитной организации для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также нормативными актами Банка России"

    Ответить
  8. Александр Германович

    ХитрО! А главное, "никакой отсебятины и никакого размытого "нарушения правил обработки ПДн". Все предельно понятно." 🙂

    Каждый раз сотрудник РКН будет иметь свою точку зрения на совместимость.
    Кстати, в судах точка зрения инспектора ДПС всегда более весома, чем мнение водителя.

    Ответить
  9. Unknown

    П-996 применяется согласно п."з" ПП-211: "в случаях, установленных нормативными правовыми актами Российской Федерации…". При желании, такие случаи можно найти в действующем законодательстве, например, обязанность субъектов официального статистического учета обезличивать ПДн при обработке первичных стат.данных.

    Ответить
  10. Алексей Лукацкий

    Алексей: Ну… Можно конечно. Но число таких случаев очень невелико. Но в целом да, соглашусь, что найти такие случаи можно

    Ответить
  11. Алексей Лукацкий

    Александр: имею опыт выигрыша суда у ДПС за объезд по двойной сплошной (а это лишение) 🙂 Все зависит от подкованности и подвешенности языка 🙂

    Ответить
  12. Александр Германович

    Ну… не у каждого оператора ПДн есть свой А. Лукацкий 🙂

    Ответить
  13. Алексей Лукацкий

    Увы 🙂

    Ответить