пятница, 31 августа 2012 г.

Наказательный креатив


Тем из вас, дорогие читатели, кому доводилось обосновывать необходимость создания системы защиты персональных данных перед руководством, должен быть хорошо известен эффект "стены непонимания", возникающий у последнего при виде статьи 13.11 Кодекса РФ об административных правонарушениях, а точнее - максимального размера штрафа в 10 тысяч "деревянных" за несоблюдение требований всем известного сто пятьдесят второго фэзэ (цифры написал словами, чтобы внести хоть какое-то разнообразие). Именно поэтому элементарный анализ "регуляторских" рисков зачастую приводит, что греха таить, к их принятию руководством - дескать, когда придут и напишут, тогда что-нибудь сделаем.

Такая позиция, естественно, давно известна и хорошо знакома Роскомнадзору - поэтому г-н Шередин, при поддержке депутата Железняка, еще год назад собирался ситуацию в корне переломить: дифференцировать ответственность в зависимости от степени вреда и разработать четкие критерии, которые позволят степень вреда определить. И вот, наконец, настал тот долгожданный день, когда мы все сможем оценить ту огромную работу, которую проделал Уполномоченный орган: на сайте Роскомнадзора появился законопроект, вносящий изменения в ст. 13.11 КоАП. Его мы с вами сегодня и препарируем.

Для того, чтобы было с чем сравнить, приведу текст ст. 13.11 в нынешней редакции:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Итак, гражданин - 500 руб., ЛОЗООПД - 1000 руб., Оператор - 10000 руб., вне зависимости от характера нарушения, и деньги все идут, конечно же, в казну государства. Первая идея авторов состоит в том, чтобы эту статью заменить на другую:

Статья 13.11. Невыполнение оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
Невыполнение оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, -
влечет наложение административного штрафа на граждан в размере от пятисот рублей до двух тысяч рублей; на должностных лиц – от четырех тысяч до пяти тысяч рублей; на индивидуальных предпринимателей – от пяти тысяч до семи тысяч рублей; на юридических лиц – от двадцати тысяч до тридцати тысяч рублей.

Обратите внимание, как изменилась формулировка: если раньше карали за нарушение порядка, то теперь - за невыполнение обязанностей, ну и, конечно же, штрафы - хоть и увеличены в три-четыре раза, но по-прежнему не критичны. Основная "фишка" заключается в том, что статьей этой установлены штрафы за "общие" нарушения: обещанная "дифференциация" и "четкие критерии" скрываются в трех "новеллах", устанавливающих три самых страшных нарушения законодательства в области ПДн, которые должны караться с особой жесткостью.

Первый "залет" именуется "обработкой персональных данных без согласия субъекта (субъектов) персональных данных" (либо с нарушением установленной формы согласия), и дифференцируется в зависимости от того, что дальше с собранными данными делает оператор: ничего (от тысячи до пятидесяти тысяч), наносит вред субъекту (от четырех тысяч до 1,5% от дохода, но минимум 500 тысяч), извлекает доход (от 5 тыс. до 2%, минимум 600 тыс.). Рецидив ЛЮБОГО из этих нарушений обойдется чуть дороже, чем извлечение дохода - минимум 700 тыс. для юридических лиц.

Про "кривую" нумерацию пунктов законопроекта говорить не буду -  сами все видите. И, на мой взгляд, нет ничего странного в том, что государство в лице Роскомнадзора оценивает нарушение с получением дохода выше, чем с нанесением вреда субъекту - такой закон. Дело в другом. Вы, дорогие читатели, конечно, помните, содержание ч. 1 ст. 9 152-ФЗ, говорящей о том, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Помните Вы и про "иное", обязывающее получать письменное согласие (общедоступные источники, ЛООПДППО, спецкатегории, биометрия, трансграничка), форму письменного согласия (ч. 4 ст. 9) и то, что оно может быть подписано электронной подписью. И после принятия законопроекта Вы должны помнить о том, что именно на Вас, согласно ч. 3 ст. 9, лежит "обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11" 152-ФЗ. Получается своеобразная лотерея, на которую Вы не продавали билетики, но они каким-то чудом оказались у РКН, и шансы выиграть в нее, при наличии у Вас презумпции виновности, у них весьма велики.

Второй страшный случай, "дифференцированный" авторами, являет нам незаконную обработку спецкатегорий. Здесь уже без "дохода" (что странно), но его отсутствие с лихвой компенсируется штрафами - минимальная планка для юрлиц здесь составляет 400 тысяч. Примечательно, что закрытый перечень спецкатегорий, приведенный в ч. 1 ст. 10 152-ФЗ, в законопроекте "ненавязчиво" расширен - теперь в одну когорту с ними поставлены и сведения о судимости. Но не это главное. Помните многочисленные споры о том, что считать "сведениями о состоянии здоровья", и относятся ли туда сведения об инвалидности, о факте заболевания или результаты медицинских осмотров типа "годен - не годен"? Если Вы не сможете доказать, что код заболевания, указанный в больничном листе, к таковым не относится, то лотерея из предыдущего пункта приобретает характер акции: два билетика за те же деньги.

Наконец, последняя "страшилка" - несоблюдение условий трансграничной передачи ПДн. Штрафы за нее такие же, как и за отсутствие согласия - и это понятно, ведь согласие - это одно из возможных условий для осуществления такой передачи (ст. 12 ч. 4). Единственный момент заключается в том, что согласие нужно для передачи "персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных", а перечня "адекватных" стран, который должен составить РКН, мы ждем аж с 2007 года, и все никак не можем дождаться. Кроме того, согласно методических рекомендаций ФСБ, при передаче ПДн по публичным информационно-коммуникационным сетям, к коим относится Интернет, необходимо использовать средства криптографической защиты информации, и не простые - а "золотые", то бишь сертифицированный ГОСТ, и как его "вывозить" для соблюдение этих самых "условий" до сих пор не понятно. Поэтому третий, "секретный" билетик лотереи, всегда найдется у ФСБ "за пазухой", и в случае чего может быть предъявлен.

Резюмируя длинный текст, позволю себе пару советов. Первый - операторам. Я говорил это раньше и говорю это сейчас: всем без исключения операторам крайне полезно брать согласие на обработку персональных данных, по установленной форме, в письменном виде, и содержащее полный перечень собираемых и обрабатываемых ПДн (включая спецкатегории) и действий, совершаемых с ними (включая трансграничку). В противном случае, вы нарываетесь на крюк проверяющих, стоимость лечения нарыва от которого в ближайшем будущем может составить гигантские суммы для вашего бизнеса. Что посоветовать тем, кто такие согласия получить в принципе не может - я даже не знаю: покажет только судебная практика. В любом случае - паниковать не надо: сразу вас никто не оштрафует и не накажет, дадут время и на то, чтобы исправить, и на то, чтобы "пободаться".

Второй совет - Роскомнадзору. Если вы, дорогие товарищи из центрального аппарата, читаете мою скромную персону и, проталкивая законопроект, думаете не только о своих регалиях, но и об операторах немного, очень полезно было бы после его принятия издать исчерпывающие разъяснения, в каких случаях и в какой форме нужно брать согласие в зависимости от вида бизнеса, подробный перечень того, что нужно относить к спецкатегориям, и в каких документах они могут содержаться, а также нарисовать уже, наконец, табличку с "адекватными" государствами. И не просто издать - а с учетом мнения экспертного сообщества, и зарегистрировать в минюсте, да так, чтобы ваши региональные вассалы приняли ваши разъяснения как руководство к действию. В противном случае - все будет, понятно, как всегда.

Хотел я в заключении что-то посоветовать субъектам - но, увы, не могу: никаких обещанных "четких критериев вреда" в законопроекте нет, а штрафы, хоть и большие, но по прежнему идут в казну, со всеми вытекающими. Так что для нас, субъектов, все будет по прежнему - не лучше, но нам не привыкать: лишь бы хуже не было. Вот такая вот "дифференциация".

Комментариев нет :

Отправить комментарий