Вот тебе бабка и новый законопроект о ПДн

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA

Про возможность повышения штрафов для операторов персональных данных слухи ходили уже давно. Ещё в прошлом году заместитель руководителя Роскомнадзора ведомства Роман Шередин при поддержке главы комитета Госдумы по информполитике Сергея Железняка высказывался за более строгие меры ответственности при обработке ПДн. Ради повышения уровня защиты эксперты ведомства предлагали дифференцировать обязательства в зависимости от степени вреда в отношении субъектов персональных данных.

Результатом работы чиновников стал недавно появившийся на сайте Роскомнадзора Проект Федерального Закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»,  направленный на увеличение штрафов и сроков давности по правонарушениям в области защиты персданных. Эти санкции будут распространяться на всех юридических и физических лиц, осуществляющих обработку персональных данных с нарушением действующего законодательства Российской Федерации.

Обоснованием необходимости увеличения штрафов чиновники называют приведение норм ответственности за правонарушения в области защиты ПДн к общеевропейскому уровню.

При этом, несмотря на все «европы», про операторов ПДн Роскомнадзор опять забыл: условия выполнения требований закона «О персональных данных» так и остались неразъяснёнными. До сих пор не проработан порядок трансграничной передачи ПДн, не утверждён список стран с адекватной защитой прав субъектов ПДн, не закреплены правила обработки ПДн, не понятно, каким образом использовать средства шифрования за границей и т.п.

Согласно законопроекту планируется серьезное усиление ответственности (в отдельных случаях в 100 раз) за:

  • Невыполнение оператором обязанностей, предусмотренных законодательством РФ в области ПДн
  • Обработка ПДн без согласия субъекта (субъектов) ПДн
  • Незаконная обработка специальных категорийПДн
  • Несоблюдение условий трансграничной передачи Пдн

В рамках оценки регулирующего воздействия законопроекта были проведены публичные консультации с представителями предпринимательского сообщества. Соответствующие запросы были направлены в Торгово-промышленную палату Российской Федерации, Российский союз промышленников и предпринимателей, Общероссийскую общественную организацию малого и среднего предпринимательства «ОПОРА РОССИИ», Общероссийскую общественную организацию «Деловая Россия», Консультативный совет по иностранным инвестициям, Российско - Германскую внешнеторговую палату, а также органы государственной власти ряда субъектов Российской Федерации.

В заключении к проекту акта эксперты, прежде всего, отметили несоразмерность последствий совершенного правонарушения и тяжести предлагаемого проектом штрафа. Особый упор субъекты предпринимательской и иной деятельности делают на то, что в европейской практике ответственность за нарушение в области защиты персональных данных установлена за уже нанесенный ущерб, а не за нарушения порядка обработки персональных данных (которые только создают предпосылки для возможного правонарушения).

Экспертное сообщество также бурно отреагировало на появление нового законопроекта:

Николай Федотов

Николай Федотов, главный аналитик InfoWatch

«Недавняя ликвидация в России разделения властей на три ветви привела к тому, что единственная оставшаяся приобрела положительную обратную связь. Исполнительная власть принимает законы, применяет их и судит за их неисполнение. Естественно, она стремится увеличить ответственность для других и полномочия для себя. Отсюда новые поправки, новые законы, дальнейшее усиление "своей" стороны и ослабление противоположной. Новые полномочия чиновников, новые аппетиты. И новый круг усиления.

Предусмотренные проектом наказания ни в малейшей степени не соответствуют опасности нарушений. Требования же, за неисполнение которых предполагается карать, содержатся не в самом законе, а в подзаконных актах, редактирование которых полностью в руках чиновников».

Евгений Царёв

Евгений Царёв, независимый эксперт

«Ваш покорный слуга всегда выступал за «адекватную регуляцию». На мой взгляд, интернет должен регулироваться, обработка ПДн должна регулироваться, все области современной жизни должны регулироваться. Вопрос в разумности и адекватности норм. Предлагаемые поправки, на мой взгляд, неадекватны современной жизни.

Понятно, что текущие поправки проистекают от «пациента» под именем «Закон «О персональных данных»» и первым делом нужно «лечить» его. Но при любом раскладе мой отзыв о проекте – негативный, хотя идею об усилении ответственности за нарушение закона я полностью разделяю».

Читать полностью

Алексей Лукацкий

Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems

«Наказывать надо за нанесение вреда жизни и здоровью субъекта, а не за нарушение требований, которые зачастую либо двойственны либо невыполнимы. На данный момент наказание за невыполнение требований при почти полном отсутствии официальных разъяснений со стороны Роскомнадзора как выполнять то или иное требование равнозначно вводу карательных мер. Я готов поддержать введение наказаний за неисполнение закона (даже без нанесения вреда), но только при условии опубликования и доведения до операторов ПДн (а не только терорганов) различной информации о том, как правильно выполнять ФЗ-152. Именно так сделано в Европе. Там у многих уполномоченных органов выложены шаблоны документов, разъяснения, чеклисты, опросники и рекомендации, которые показывают "как правильно". А уж если оператор не предпринимает никаких усилий, то его не грех и наказать (но примерно через полгода-год после опубликования официальных рекомендаций по защите). Т.е. помимо кнута должен быть и пряник. В противном случае формирование позитивного общественного мнения о РКН и его деятельности находится под вопросом».

Читать полностью

Алексей Волков

Алексей Волков, эксперт

«..позволю себе пару советов. Первый - операторам. Я говорил это раньше и говорю это сейчас: всем без исключения операторам крайне полезно брать согласие на обработку персональных данных, по установленной форме, в письменном виде, и содержащее полный перечень собираемых и обрабатываемых ПДн (включая спецкатегории) и действий, совершаемых с ними (включая трансграничку). В противном случае, вы нарываетесь на крюк проверяющих, стоимость лечения нарыва от которого в ближайшем будущем может составить гигантские суммы для вашего бизнеса. Что посоветовать тем, кто такие согласия получить в принципе не может - я даже не знаю: покажет только судебная практика. В любом случае - паниковать не надо: сразу вас никто не оштрафует и не накажет, дадут время и на то, чтобы исправить, и на то, чтобы "пободаться".

Второй совет - Роскомнадзору. Если вы, дорогие товарищи из центрального аппарата, читаете мою скромную персону и, проталкивая законопроект, думаете не только о своих регалиях, но и об операторах немного, очень полезно было бы после его принятия издать исчерпывающие разъяснения, в каких случаях и в какой форме нужно брать согласие в зависимости от вида бизнеса, подробный перечень того, что нужно относить к спецкатегориям, и в каких документах они могут содержаться, а также нарисовать уже, наконец, табличку с "адекватными" государствами. И не просто издать - а с учетом мнения экспертного сообщества, и зарегистрировать в минюсте, да так, чтобы ваши региональные вассалы приняли ваши разъяснения как руководство к действию. В противном случае - все будет, понятно, как всегда.

Читать полностью

Ваши оценка и замечания по поводу нового законопроекта?

 

Оцените материал:
Total votes: 202
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя privacy journal

 

Не очень понятно, на основании чего эксперты сделали такое заключение. Мы не раз и не два писали в нашем журнале о европейской практике. Что в случае с гамбургской полицией и Eurocar, что в случае с Фондом здравоохранения и социальной защиты региона Торбей в Великобритании  никакого ущерба не было, а штрафы, между тем, были солидные. Любое заключение должно на чем-то основываться. 

P.S. Нарушение порядка обработки УЖЕ является правонарушением -  что по нашему законодательству, что по европейскому… 

Алексей Калмыков

up
20 users have voted.
Аватар пользователя Сергей Хайрук

 

Так Алексей Калмыков или Чернышева Инга?))

Что касается противопоставления ущерб субъекту - нарушение правил обработки. На мой вкус, это вполне правомерная постановка вопроса. В чьих интересах принят закон? если в интересах гос-ва (как управляющей надстройки, но не части общества), то все в порядке. Штрафы повышают, коррупционную емкость увеличивают. Если же 152ФЗ принимался в интересах граждан, то на первый план должно выйти понятие ущерба. И уже исходя из реального ущерба нужно назначать наказание за нарушение правил, установленных государством. 

up
24 users have voted.
Аватар пользователя anvolkov

С управлением учетными записями все нормально - полная открытость, как в Северной Корее :)

up
21 user has voted.
Аватар пользователя dominus_nemo

Алексей, Алексей. wink

По такой логике можно отменять уголовное наказание за покушение на убийство. А если серьезно, то сразу возникает вопрос - как оценить этот ущерб и, самое главное, на кого будут возложена обязаность доказать причинение этого ущерба? На оператора или на регулятора? Тогда ситуация не изменится. На субъекта - тогда это нарушает дух закона, по которому у субъекта права, у оператора - обязаности. Если уж ссылаться на западный опыт, то делать это нужно правильно - разбирая конкретные случаи и положения, чтобы не возникакло недопонимания и вопросов. Плюс, всегда задаюсь этим вопросом, - зачем велосипед изобретать?

up
21 user has voted.
Аватар пользователя Сергей Хайрук

Алексей, противоречий не вижу.

У субъекта права, в том числе право требовать возмещение ущерба по суду (с натяжкой - пример Ваенги от М.Ю. Емельянникова). Очевидно, что оператор должен доказывать, что данные субъекта он обрабатывал правомерно. Иначе - наказание. Подход, когда во главу угла ставится ущерб, позволяет вывести взаимоотношения субъект-оператор в плоскость нормального регулирования (ГК, КоАП). В противном случае мы остаемся в плоскости оператор - регулятор, с постоянно меняющимися требованиями и пр. забавами.

up
21 user has voted.
Аватар пользователя dominus_nemo

А я, как это ни странно, не вижу в плоскости оператор-регулятор ничего ужасного. Европа так живет, у нас в журнале примеров тому масса: данные утекли, и даже если они не утекли, а просто находились в открытом доступе, - штраф. Все перепугались, пересмотрели политику компании, проинструктировали персонал, обновили требования к обработке. С другой стороны, есть американский опыт, где сильная судебная система, но данные утекают в чудовищных объемах, а почему – попробуй докажи, что данные утекли именно из этой организации, когда столько утечек каждый день. Опять же, как ущерб определять - неизвестно. Учитывая, что наше законодательство строится изначально по европейской модели, и создавалось, если верить словам разработчиков, для защиты прав субъекта, какой смысл придумывать что-то свое и усложнять? Когда компании будут думать: а нужно ли нам вообще собирать персональные данные, если мы можем и без них обойтись?

up
18 users have voted.
Аватар пользователя Сергей Хайрук

В обоих случаях (Америка - Европа) драйвер - публичность факта утечки. Потому они в Вашем журнале и оказались. В наших реалиях, где публичность зачастую - результат прямого слива или атаки конкурентов, обнародование конкретного факта ведет только к оргвыводам в отношении исполнителей (и то не всегда), но не к повышению уровня защиты. Имхо, бизнес понимает только один язык - возможных или реальных затрат. Иски от субъектов, как ни крути - затраты (по крайней мере, вполне осознаваемый риск). Соответственно - повод для улучшения систем защиты.

А с регуляторами, напротив, можно договориться.

 

up
19 users have voted.
Аватар пользователя dominus_nemo

Я бы сформулировал немного по-другому, наши публикации – это результат работы западных регуляторов, которые, если хорошо попросить, предоставляют полную информацию по любому конкретному случаю, что позволяет другим оператором в данной стране вносить изменения в свою работу. Вот этого момента очень сильно не хватает в работе отечественных регуляторов. Самый популярный вопрос операторов – о проверках. Учитывая, что субъекты персональных данных – лица физические, я очень сомневаюсь, что они захотят связываться с нашей судебной системой, за исключением случаев причинения очень серьезного ущерба, которых будут единицы.  Учитывая информированность населения о своих правах в вопросе обработки ПДн (это если не брать тех, кто вообще с этим понятием не знаком), вероятность исков снижается еще сильнее. В итоге не изменится ровным счетом ничего – сейчас оператор думает «как-нибудь пронесет с проверкой», потом будет думать «как-нибудь пронесет в суде». Вот про реальные затраты согласен на все 100%,  следовательно, штрафы должны быть весомыми.

up
19 users have voted.
Аватар пользователя ikor

Общее повышение сумм штрафов за нарушения по ст. 13.11 вызвано, на наш взгляд, неэффективностью существующей системы ответственности, с точки зрения мотивации операторов персональных данных (ПДн), за невыполнение обязанностей по защите ПДн. Действующие штрафы несопоставимы со стоимостью разработки и внедрения систем защиты ПДн (СЗПДн). В предложенной редакции суммы штрафов, особенно с учетом возможности привлечения к ответственности по нескольким составам в рамках одной статьи, уже соотносятся со стоимостью проектов по внедрению СЗПДн.

Выделение трех отдельных составов правонарушений свидетельствует о получении Роскомнадзором некоторой статистики о преобладании отдельных видов правонарушений и причиняемом этими правонарушениями ущербу. Например, появление дифференциации ответственности за незаконную обработку специальных категорий персональных данных в целях извлечения выгоды, может указывать на то, что Роскомнадзор считает такие правонарушения отдельной  сложившейся в России проблемой.

Кроме того, отдельные составы правонарушений и дифференциации ответственности по ним, свидетельствуют о выработке Роскомнадзором определенной методологии получения доказательной базы по данным видам правонарушений. С учетом внесения изменений в п. 58 части 2 статьи 28.3, которые наделяют Роскомнадзор правом составлять протоколы об административном правонарушении без привлечения прокурора, Роскомнадзор получает серьезный карательный инструмент для работы в слабо формализованном нормативном поле.

Что может стать доказательной базой по указанным составам правонарушений? Во-первых, Протокол об административном правонарушении может быть составлен Роскомнадзором даже только на основании переданных ему проверяемой организацией официальных документов в ответ на официальный запрос. Кроме того, нарушение формы согласия субъекта ПДн по уровню ответственности теперь приравнивается к отсутствию такого согласия.

up
20 users have voted.
Аватар пользователя privacy journal

yesyes

up
22 users have voted.
Аватар пользователя anvolkov

О, да тут журналисты-пэдээнщики :) Что ж, начнем сначала:

"Нарушение порядка обработки УЖЕ является правонарушением" - согласен, но Вы, во-первых, сравните эти самые "порядки", прописанные в законодательствах (об этом понаписали миллион статей), а во-вторых, речь идет о том, почему именно такие случаи "дифференцированы" и именно такие критерии наказания выбраны?

"На субъекта - тогда это нарушает дух закона, по которому у субъекта права, у оператора - обязаности" - и в чем нарушение? Субъект имеет право обратиться к Уполномоченному, и тот его должен провести через все инстанции, в том числе представить обоснования доказательства величины ущерба. В противном случае оператор будет дойной коровой с двойным выменем - и для государства, и для субъекта.

up
18 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.