Вот тебе бабка и новый законопроект о ПДн

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA

Про возможность повышения штрафов для операторов персональных данных слухи ходили уже давно. Ещё в прошлом году заместитель руководителя Роскомнадзора ведомства Роман Шередин при поддержке главы комитета Госдумы по информполитике Сергея Железняка высказывался за более строгие меры ответственности при обработке ПДн. Ради повышения уровня защиты эксперты ведомства предлагали дифференцировать обязательства в зависимости от степени вреда в отношении субъектов персональных данных.

Результатом работы чиновников стал недавно появившийся на сайте Роскомнадзора Проект Федерального Закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»,  направленный на увеличение штрафов и сроков давности по правонарушениям в области защиты персданных. Эти санкции будут распространяться на всех юридических и физических лиц, осуществляющих обработку персональных данных с нарушением действующего законодательства Российской Федерации.

Обоснованием необходимости увеличения штрафов чиновники называют приведение норм ответственности за правонарушения в области защиты ПДн к общеевропейскому уровню.

При этом, несмотря на все «европы», про операторов ПДн Роскомнадзор опять забыл: условия выполнения требований закона «О персональных данных» так и остались неразъяснёнными. До сих пор не проработан порядок трансграничной передачи ПДн, не утверждён список стран с адекватной защитой прав субъектов ПДн, не закреплены правила обработки ПДн, не понятно, каким образом использовать средства шифрования за границей и т.п.

Согласно законопроекту планируется серьезное усиление ответственности (в отдельных случаях в 100 раз) за:

  • Невыполнение оператором обязанностей, предусмотренных законодательством РФ в области ПДн
  • Обработка ПДн без согласия субъекта (субъектов) ПДн
  • Незаконная обработка специальных категорийПДн
  • Несоблюдение условий трансграничной передачи Пдн

В рамках оценки регулирующего воздействия законопроекта были проведены публичные консультации с представителями предпринимательского сообщества. Соответствующие запросы были направлены в Торгово-промышленную палату Российской Федерации, Российский союз промышленников и предпринимателей, Общероссийскую общественную организацию малого и среднего предпринимательства «ОПОРА РОССИИ», Общероссийскую общественную организацию «Деловая Россия», Консультативный совет по иностранным инвестициям, Российско - Германскую внешнеторговую палату, а также органы государственной власти ряда субъектов Российской Федерации.

В заключении к проекту акта эксперты, прежде всего, отметили несоразмерность последствий совершенного правонарушения и тяжести предлагаемого проектом штрафа. Особый упор субъекты предпринимательской и иной деятельности делают на то, что в европейской практике ответственность за нарушение в области защиты персональных данных установлена за уже нанесенный ущерб, а не за нарушения порядка обработки персональных данных (которые только создают предпосылки для возможного правонарушения).

Экспертное сообщество также бурно отреагировало на появление нового законопроекта:

Николай Федотов

Николай Федотов, главный аналитик InfoWatch

«Недавняя ликвидация в России разделения властей на три ветви привела к тому, что единственная оставшаяся приобрела положительную обратную связь. Исполнительная власть принимает законы, применяет их и судит за их неисполнение. Естественно, она стремится увеличить ответственность для других и полномочия для себя. Отсюда новые поправки, новые законы, дальнейшее усиление "своей" стороны и ослабление противоположной. Новые полномочия чиновников, новые аппетиты. И новый круг усиления.

Предусмотренные проектом наказания ни в малейшей степени не соответствуют опасности нарушений. Требования же, за неисполнение которых предполагается карать, содержатся не в самом законе, а в подзаконных актах, редактирование которых полностью в руках чиновников».

Евгений Царёв

Евгений Царёв, независимый эксперт

«Ваш покорный слуга всегда выступал за «адекватную регуляцию». На мой взгляд, интернет должен регулироваться, обработка ПДн должна регулироваться, все области современной жизни должны регулироваться. Вопрос в разумности и адекватности норм. Предлагаемые поправки, на мой взгляд, неадекватны современной жизни.

Понятно, что текущие поправки проистекают от «пациента» под именем «Закон «О персональных данных»» и первым делом нужно «лечить» его. Но при любом раскладе мой отзыв о проекте – негативный, хотя идею об усилении ответственности за нарушение закона я полностью разделяю».

Читать полностью

Алексей Лукацкий

Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems

«Наказывать надо за нанесение вреда жизни и здоровью субъекта, а не за нарушение требований, которые зачастую либо двойственны либо невыполнимы. На данный момент наказание за невыполнение требований при почти полном отсутствии официальных разъяснений со стороны Роскомнадзора как выполнять то или иное требование равнозначно вводу карательных мер. Я готов поддержать введение наказаний за неисполнение закона (даже без нанесения вреда), но только при условии опубликования и доведения до операторов ПДн (а не только терорганов) различной информации о том, как правильно выполнять ФЗ-152. Именно так сделано в Европе. Там у многих уполномоченных органов выложены шаблоны документов, разъяснения, чеклисты, опросники и рекомендации, которые показывают "как правильно". А уж если оператор не предпринимает никаких усилий, то его не грех и наказать (но примерно через полгода-год после опубликования официальных рекомендаций по защите). Т.е. помимо кнута должен быть и пряник. В противном случае формирование позитивного общественного мнения о РКН и его деятельности находится под вопросом».

Читать полностью

Алексей Волков

Алексей Волков, эксперт

«..позволю себе пару советов. Первый - операторам. Я говорил это раньше и говорю это сейчас: всем без исключения операторам крайне полезно брать согласие на обработку персональных данных, по установленной форме, в письменном виде, и содержащее полный перечень собираемых и обрабатываемых ПДн (включая спецкатегории) и действий, совершаемых с ними (включая трансграничку). В противном случае, вы нарываетесь на крюк проверяющих, стоимость лечения нарыва от которого в ближайшем будущем может составить гигантские суммы для вашего бизнеса. Что посоветовать тем, кто такие согласия получить в принципе не может - я даже не знаю: покажет только судебная практика. В любом случае - паниковать не надо: сразу вас никто не оштрафует и не накажет, дадут время и на то, чтобы исправить, и на то, чтобы "пободаться".

Второй совет - Роскомнадзору. Если вы, дорогие товарищи из центрального аппарата, читаете мою скромную персону и, проталкивая законопроект, думаете не только о своих регалиях, но и об операторах немного, очень полезно было бы после его принятия издать исчерпывающие разъяснения, в каких случаях и в какой форме нужно брать согласие в зависимости от вида бизнеса, подробный перечень того, что нужно относить к спецкатегориям, и в каких документах они могут содержаться, а также нарисовать уже, наконец, табличку с "адекватными" государствами. И не просто издать - а с учетом мнения экспертного сообщества, и зарегистрировать в минюсте, да так, чтобы ваши региональные вассалы приняли ваши разъяснения как руководство к действию. В противном случае - все будет, понятно, как всегда.

Читать полностью

Ваши оценка и замечания по поводу нового законопроекта?

 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.