Законопроект об оборотных штрафах. Все не так, как пишут в СМИ

Я стараюсь в последнее время не писать о законодательстве, так как это не очень интересно и не результативно. Но бывают и исключения. Таким был 250-й Указ, таким является и законопроект об оборотных штрафах, который вчера два сенатора и один депутат отправили в Правительство. Многие СМИ, как мне кажется, сделали из этого не совсем правильные выводы, и мне хотелось чуть порассуждать на эту тему.

Какие основные посылы я прочитал в разных изданиях:

• это законченная версия и законопроект будет отправлен к Госдуму,
• законопроект не предусматривает уголовного наказания,
• ранее предлагаемые варианты законопроекта отброшены.

Давайте пойдем по порядку. Начнем с того, что то, что отправлено было в Правительство, требует его согласования и среди тех, кто должен будет поставить свою «подпись» под документом является Минцифры, которое выступает против законопроекта Турчака-Рукавишниковой-Хинштейна. У них были иные, более здравые, но сложнее реализуемые подходы к регулированию этой темы, но к ним пока не прислушались. Допускаю, что будет созвана какая-нибудь согласительная комиссия из депутатов, сенаторов, экспертов и Минцифры и в Госдуму в итоге направят немного другой текст, который бы устраивал все стороны.

Есть вариант, что ввиду ситуации с арестованным замминистра Паршиным, Минцифры не будет вступать в «конфликт» с парламентариями, чтобы не привлекать к себе излишнего внимания, но кто знает… Тут вопрос же еще и принципа.

При этом вчера вдруг и внезапно выступил РОЦИТ, который заявил, что они, «как старейшая организация Рунета, стоящая на страже прав и законных интересов граждан в цифровой среде, последовательно выступает за введение достаточно жёсткого режима обработки персональных данных«. И РОЦИТ настаивает на том, чтобы «компенсация пострадавшим от утечки пользователям должна быть произведена вне зависимости от уплаты штрафа«.

А вы вообще помните, что такое РОЦИТ? Они сделали свое заявление выше в Telegram-канале, который был создан… вчера! «Старейшая» организация, занимающаяся Интернетом, не имела до вчерашнего дня своего представительства в одном из популярнейших в России мессенджеров/соцсетей.

И на мнение РОЦИТ можно было бы забить, если бы личность Председателя Правления РОЦИТ, которым является… депутат Горелкин, состоящий с депутатом Хинштейном в одном комитете Госдумы по информационной политике и в одной политической партии. И депутат Горелкин считает, что компенсация вреда субъектам ПДн должна быть по любому. И так как в отправленном тексте законопроекта по компенсацию ни слова, то я допускаю, что эта норма так или иначе должна будет появиться либо на пути от Правительства до Госдумы, либо между первым и вторым чтением, как это часто и бывает.

Теперь по поводу уголовного наказания. В новых частях 12-14 статьи 13.11 КоАП говорится о том, что административное наказание накладывается в случае, если в действиях/бездействии оператора ПДн не содержится признаков уголовно наказуемого деяния. Но что такое признаки уголовно наказуемого деяния в контексте данной статьи, не совсем понятно. В УК планируется вносить статью, предусматривающую наказание за «незаконное использование, передача или сбор персональных данных, полученных неправомерным путем«, но это совсем другой состав преступления. Возможно речь идет о 137-й статье (нарушение неприкосновенности частной жизни), 138-й статье (нарушение тайны переписки) или 183-й статье (незаконное получение и разглашение коммерческой, банковской или налоговой тайны) УК РФ, но и эти статьи достаточно сложно натянуть на «действия (бездействия), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные«, которые и регулируются новыми поправками в КоАП.

Кстати, поправки в КоАП предлагают наказывать не за сам факт утечки, а за действия или бездействие оператора, повлекшие за собой неправомерную передачу (предоставление, распространение, доступ) персданных. При этом наказание наступит даже при случайной отправке ПДн за пределы компании.

Теперь, что касается самого законопроекта. Когда его комментируют, говорят только про оборотные штрафы, но на самом деле в нем прописано больше составов правонарушения, за которые предусматривается наказание:

1. Несвоевременное уведомление (или отказ от него) РКН о намерении осуществлять обработку ПДн — штраф до 300 тысяч рублей на юрлицо.
   

   Индивидуальный предприниматель в данной статье приравнивается к юридическому лицу! При этом к юрлицам в данной статье не относятся государственные или муниципальные органы, государственные или муниципальные учреждения.

2. Несвоевременное уведомление (или отказ от него) субъектов ПДн и РКН о фактах неправомерной передачи (предоставления, распространения, доступа) персональных данных — штраф от 1 до 3 миллионов рублей на юрлицо.
   

   Обратите внимание. Этот штраф идет отдельно от штрафа за саму утечку! И ответственность наступает даже в случае если из 100 тысяч субъектов, вы не уведомили хотя бы одного из них (хотя все зависит от судьи)!

3. Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн:

   1. от одной тысячи до десяти тысяч субъектов ПДн, и (или) от десяти тысяч до ста тысяч уникальных обозначений сведений о физическом лице, необходимых для определения такого лица (идентификаторов) — штраф от 3 до 5 миллионов рублей на юрлицо

   2. от десяти тысяч до ста тысяч субъектов ПДн и (или) от ста тысяч до одного миллиона идентификаторов — штраф от 5 до 10 миллионов рублей на юрлицо

   3. более ста тысяч субъектов ПДн, и (или) более одного миллиона идентификаторов — штраф от 10 до 15 миллионов рублей на юрлицо

   4. повторное нарушение по предыдущим трем пунктам — от 0,1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 15 миллионов рублей и не более 500 миллионов рублей.
4. Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию ПДн и (или) биометрические ПДн (исключая случаи из новой статьи 13.11’4) — штраф от 15 до 20 миллионов рублей на юрлицо
   

   Обратите внимание, что ответственность по этой статье наступит даже если у вас утекут данные по всего одному субъекту ПДн!!!

   1. повторное нарушение по предыдущему пункту, а также в случае наличия наказания по ранее приведенному пункту 3 — от 0,1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 20 миллионов рублей и не более 500 миллионов рублей

5. Нарушение порядка обработки, включая сбор, хранение биометрических ПДн в ЕБС, порядка обработки, включая сбор, хранения и уничтожения биометрических ПДн, векторов ЕБС в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации — штраф от 500 тысяч до 1 миллиона рублей на юрлицо

6. Невыполнение организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе информационных системах, владельцами и (или) операторами которых являются государственные органы, либо при использовании указанных информационных систем — штраф от 1 миллиона до 1,5 миллионов рублей на юрлицо

   Данное наказание не применяется к кредитным организациям!

7. Обработка биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах организаций, информационной системе Центрального банка Российской Федерации, информационных системах, владельцами и (или) операторами которых являются государственные органы, без аккредитации, а равно в случае, если аккредитация приостановлена или прекращена — штраф от 1 миллиона до 2 миллионов рублей на юрлицо.

Зачем-то в КоАП вносится примечание, что если противоправное поведение, несмотря на требование уполномоченных на то лиц прекратить его, продолжается, то это должно рассматриваться как отягчающее обстоятельство по статье 4.3 КоАП. К нему же относится и неуведомление РКН о намерении обрабатывать ПДн. Про какую-то особую ответственность в этом случае я что-то в поправках не нашел (возможно это регулируется общими нормами КоАП).

Допускаю, что что-то мог пропустить, но разобраться досконально вот в таких вот формулировках я не смог:

При сумме штрафа в 500 миллионов рублей это уже вполне можно считать недопустимым событием!

Для меня, в контексте именно данного законопроекта, остаются открытыми ряд вопросов, на которых у меня пока нет ответа:

1. Кто и как будет доказывать факт действия или бездействия, повлекшего за собой…? Процедура административного судопроизводства хотя и предполагает возможность приглашения экспертов и специалистов (статьи 49 и 50 Кодекса об административном судопроизводстве), но кто ими мог бы быть в данном случае не совсем понятно? Не сам же РКН будет это делать? У него и экспертов-то нет. ГРЧЦ? Ну тоже такое себе.
2. Кто доказывает факт наличия утечки и кто может отличить ее от прежней утечки, выложенной еще раз, или фейковой утечки, созданной для того, чтобы насолить конкуренту?
3. Компьютерные инциденты с ПДн, предусмотренные статьей 19 ФЗ-152, то есть попадающие в епархию ФСБ, никак (может, к счастью) не попали в прицел нового законопроекта?
4. Как «достучаться» до каждого субъекта, чьи персданные утекли, чтобы уведомить его об этой неприятности?

И без ответов на эти вопросы предлагаемые нормы не заработают. Так что нас ждет еще не одна дискуссия, пока законопроект не дойдет хотя бы до второго чтения, не говоря уже о его реальном правоприменении.

Ну и «чтобы два раза не вставать», по поводу компенсации. Представьте, что ввели норму по компенсации штрафа. Возьмем некую среднюю утечку в 100 тысяч субъектов ПДн. Если представить, что компенсация составить хотя бы 1 тысячу рублей (а меньше оно просто не имеет смысла в принципе), то сумма выплат, которую должен обеспечить оператор ПДн составит 100 миллионов рублей (к 10-15 миллионам штрафа). Но лично мне, извините, тысяча рублей вообще не сдалась (чашка кофе и оплата парковки рядом с ней). Тысяч пять могут быть более менее приемлемой суммой, если речь идет об обычной утечке, без финансовых данных или сведений о состоянии здоровья или интимной жизни. Тогда сумма выплат составит уже 500 миллионов рублей. Так что идея с компенсациями (особенно в варианте Горелкина-РОЦИТа, когда компенсация добавляется к штрафу) тоже требует доработки. Даже если требовать выплаты компенсации хотя бы 80% пострадавшим, это не сильно изменит ситуацию.

Ну и в заключение хочу поделиться документом, который я разрабатывал. Это рабочая тетрадь, в котором указаны практически аспекты, вытекающие из требования об уведомлении об утечке ПДн — кого и как уведомлять, блок-схемы для плейбука по реагированию на утечку, каналы утечки и т.п.