Штраф за нарушение обработки персональных данных предложили увеличить
Минкомсвязи предлагает повысить штрафы за нарушение правил обработки персональных данных в 30 раз — с 10 тысяч рублей до 300 тысяч рублей.
При этом Роскомнадзор получит право самостоятельно, без привлечения прокуратуры, составлять акты по нарушениям, связанным с персональными данными россиян.
Будут также введены штрафы для операторов персональных данных, которые не хотят обеспечить своим пользователям «право на забвение». По данным газеты «Известия», соответствующие поправки в Кодекс об административных нарушениях (КоАП) Минкомсвязи направило в правительство для внесения в Госдуму.
Изменения предлагается внести в ст. 13.11 КоАП, определяющую ответственность за нарушение правил обработки персональных данных. Сейчас максимальный штраф по этой статье для юрлиц составляет 10 тысяч рублей.
В новой редакции ст. 13.11 КоАП будет состоять из восьми пунктов. За «обычное» нарушение правил максимальный штраф для юрлиц увеличат до 50 тысяч рублей. А вот обработка «данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством», будет грозить юрлицам штрафом до 300 тысяч рублей.
Один из пунктов новой редакции ст. 13.11 позволит штрафовать оператора персональных данных в случае отказа реализовать так называемое право на забвение для клиентов. Если оператор откажется заблокировать или уничтожить персональные данные, которые «являются неполными, устаревшими, неточными, незаконными, незаконно полученными или не являются необходимыми для заявленной цели обработки», — максимальный штраф для юрлиц составит 45 тысяч рублей.
5 ноября на конференции по защите персональных данных глава Роскомнадзора Александр Жаров отмечал, что в России еще с 2006 года граждане имеют право требовать от оператора ПД прекратить обработку их личной информации, в том числе в сети интернет. Аналогичные нормы есть и в Евросоюзе.
ОпубликованоЕД
На сегодняшний день в интернете не составляет труда найти предложения по продаже различного рода баз данных, например, финансово-кредитных учреждений, телекоммуникационных компаний, различных государственных органов, содержащих ПДн граждан Российской Федерации.
Подобные инциденты могут представлять собой серьезную угрозу как для самих граждан, так и для государства в целом. Это происходит из-за того, что существуют определенные пробелы в законодательстве и правоприменительной практике. Так, размер ответственности за подобного рода правонарушения, установленный в статье 13.11 КоАП, не превышает 10 тысяч рублей (для юридических лиц), что, на мой взгляд, не является существенным мотивирующим фактором для организаций-нарушителей воздерживаться от подобных нарушений.
Более того, согласно закону, наказуемым является именно сам факт нарушения порядка работы с ПДн. Это приводит к тому, что зачастую организациям-операторам ПДн выгоднее вообще не сообщать о факте незаконного/неконтролируемого распространения ПДн, чтобы скрыть свои нарушения, приведшие к такому распространению. При этом факт подобного умышленного сокрытия не является наказуемым и не влечет никаких последствий.
При этом санкции на нарушителей накладываются неоперативно — из-за того, что возбуждение дел об административных правонарушениях по статье 13.11 КоАП возложено на прокуроров, хотя уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор.
На практике указанные пробелы в законодательстве приводят к тому, что только за первое полугодие 2014 года и только по официальным данным в России зафиксировано более 490 случаев утраты персональных данных. Причем в 53% случаев — это умышленные и корыстные действия конкретных должностных лиц.
В связи с этим предлагаемые поправки станут, как мне кажется, естественным и ожидаемым ответом государства на данные угрозы (или, по крайней мере, на часть указанных угроз). Увеличение размера ответственности для юридических лиц и передача функционала по возбуждению административного производства по указанным составам в Роскомнадзор способно несколько переломить негативную ситуацию.
Кроме того, немаловажным элементом борьбы с подобными преступлениями может стать внедрение практики независимого выяснения причин подобных инцидентов, а также установления виновных в этом лиц (как организации-оператора ПДн, допустившего факт незаконного распространения, так и конкретного сотрудника этой организации, либо иного физического лица, совершившего умышленные противоправные действия).
Для успешного решения этой задачи необходимо выработать на основе имеющейся правовой базы и актуальных практик механизм эффективного взаимодействия представителей отрасли с государством (в лице Роскомнадзора). Одним из вариантов решения подобной задачи может стать практика развития государственно-частного партнерства, предметом которого будут совместные усилия по установлению причин возникновения выявленных нарушений обработки, хранения, использования или распространения ПДн и путей минимизации ущерба, вызванного подобными инцидентами.