24 мая 2017 г.

Постановление по контролю и надзору за обработкой персональных данных: третья попытка

На Федеральном портале проектов нормативных правовых актов выложен для обсуждения и антикоррупционной экспертизы третий вариант постановления Правительства РФ, определяющего порядок осуществления государственного контроля и надзора за обработкой персональных данных. Первый вариант появился там еще летом 2015 года, вызвал шквал критики и бесследно растворился.
Обсуждения второго варианта закончилось в марте этого года, а в мае неожиданно появился третий. Видимо, на этапе доработки или при согласовании проекта появились новые требования, которые повлияли на содержание документа.
Третий вариант и называться стал по-другому – не «Порядок организации…», а «Положение о порядке осуществления…», и не просто «государственного контроля и надзора», а «федерального государственного». В новой редакции части 1.1 статьи 23 закона «О персональных данных», принятой уже в этом году, говорится о государственном контроле, про федеральный там ничего нет. Однако, в соответствии с пунктом 2 статьи 2 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Правительством РФ должны утверждаться положения именно о федеральном государственном контроле (надзоре). На приведение проекта в соответствие этим законодательным нормам, видимо, и были направлены усилия при внесении изменений в предыдущую редакцию документа. Спасибо доценту Воронежского госуниверситета Алексею Ефремову за помощь в попытке разобраться в этих хитросплетениях законодательства.
В документе много косметических правок, в частности, везде, где можно, стал упоминаться индивидуальный предприниматель. Но есть и принципиальные изменения.
Упоминавшийся выше закон № 294-ФЗ вводит три вида контрольной деятельности:
  • плановые и внеплановые проверки юридических лиц, индивидуальных предпринимателей,
  • мероприятия по профилактике нарушений обязательных требований,
  • мероприятия по контролю, осуществляемые без взаимодействия с юридическими лицами, индивидуальными предпринимателями (мероприятия систематического наблюдения).
Про профилактику в предыдущей редакции ничего не было, зато теперь в проекте Положения появился целый раздел III «Организация и проведение мероприятий по профилактике нарушений требований законодательства Российской Федерации в области персональных данных». И это очень хорошо, потому как больше всего сейчас не хватает профилактики и методической работы, что приводит к нарушениям при проведении проверок, о которых операторы даже не догадывались, я уже писал об этом здесь и здесь. Проект документа предусматривает три вида таких мероприятий:
  • размещение на официальном сайте Роскомнадзора перечней нормативных правовых актов, содержащих обязательные требования (что очень логично, поскольку проверять можно, как известно, только выполнение обязательных требований);
  • информирование операторов о положении дел в области защиты прав субъектов персональных данных (это будет что-то новенькое);
  • регулярное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством составления ежегодного отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных (это делается и сегодня, о последнем докладе надзорного ведомства можно посмотреть у меня на блоге).
Жаль, что этим видом мероприятий не предусматривается разработка и публикация проверочных листов или списков контрольных вопросов, которые становятся важным элементом при осуществлении некоторых видов контроля и очень упрощают жизнь проверяемым организациям, позволяя самостоятельно выявить несоответствие закону. Правительство РФ постановлением от 13.02.2017 № 177 уже утвердило требования к таким проверочным листам, но поскольку закон 294-ФЗ не применяется при осуществлении государственного контроля и надзора за обработкой персональных данных, такой способ проверок применяться не будет, во всяком случае, пока (вот и еще один минус вывода надзора из-под регулирования единым законом о защите прав проверяемых организаций).
Из других изменений надо отметить возвращение нормы о сроках проверок (не более 20 рабочих дней плюс продление на срок не более 20 рабочих дней). Предполагается, что, как и в предыдущей редакции, периодичность проведения плановых проверок устанавливается с учетом риск-ориентированного подхода, критерии которого Роскомнадзор определит сам.
Уточнено понятие мероприятий систематического наблюдения. Теперь к ним относится наблюдение за деятельностью по обработке персональных данных с использованием в сети Интернет и (внимание!) наблюдение за обработкой при оказании услуг и продаже товаров, предметом которых являются персональные данные и (или) деятельность по их обработке. Операторам связи и поисковикам, продающим профили абонентов и посетителей сайтов, даже безымянных (!), стоит напрячься и подумать о дальнейших действиях для обеспечения спокойной жизни.
Самое спорное и опасное, на мой взгляд, в проекте постановления – право Роскомнадзора выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона «О персональных данных» и об уничтожении недостоверных или полученных незаконным путем персональных данных. Из текста документа вытекает, что это право реализуется во внесудебном порядке, а механизм оспаривания такого требования не устанавливается. Мне кажется, экспертам, осуществляющим независимую антикоррупционную экспертизу, необходимо хорошо подумать о законности этих норм и возможных последствиях их реализации для бизнеса.
Из других сохраненных в новой редакции положений стоит отметить существенное расширение оснований для проведения внеплановых проверок по сравнению с законом № 294-ФЗ и отсутствие необходимости согласовывать проверки, как плановые, так и внеплановые, с прокуратурой.
И чтобы не было иллюзий: основанием для включения плановой проверки в план деятельности Роскомнадзора и его территориальных органов является осуществление деятельности по обработке персональных данных, а вовсе не наличие проверяемой организации в Реестре операторов. Теперь это прописано прямо.
Наконец, отмечу, что в проекте документа из области деятельности Роскомнадзора исключен контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн, установленных статьей 19 закона «О персональных данных». Это и раньше вытекало из положений статьи 19, но разговоры на эту тему время от времени возобновляются.
Ждем постановление. Принято оно будет обязательно, с 22 февраля 2017 года наличие соответствующего акта Правительства РФ - обязательное требование закона.
Публичное обсуждение и антикоррупционная экспертиза заканчиваются уже завтра (25 мая).
В связи с размещением новой редакции проекта постановления с подачи «Известий» в СМИ и на интернет-ресурсах появилась масса публикаций примерно с такими заголовками «Роскомнадзор получит доступ ко всем персональным данным россиян». Жаль, что их авторы и те, кто бездумно перепечатывает, не утруждаются хотя бы разобраться с вопросом. Роскомнадзор всегда имел к ним доступ, и в этом вопросе ничего не поменялось. Не очень хорошо вводить миллионную аудиторию в заблуждение из-за лени и непрофессионализма. Так что, если захочется что-то еще почитать «про это» - читайте проект постановления.

17 апреля 2017 г.

Роскомнадзор опубликовал доклад о результатах надзорной деятельности

Документ готовится и размещается на сайте ежегодно, что дает возможность проанализировать надзорную деятельность за достаточно большой период.
В таблице ниже приведены данные о количестве и итогах проверок за соблюдением законодательства о персональных данных, начиная с 2008 года, когда проведение контрольных мероприятий было поставлено на плановую основу.
Число проверок незначительно колеблется из года в год. Меняется и доля проверок, по результатам которых были выданы предписания об устранении выявленных нарушений: если в 2010 году после проверки выдавалось в среднем более одного предписания, то в 2016 году предписаниями об устранении заканчивалась лишь каждая третья проверка. В 2016 году Роскомнадзором было составлено 6930 протоколов об административных правонарушениях .
К сожалению, в докладе не раскрывается, по каким конкретно составам административных правонарушений привлекались к ответственности операторы персональных данных, но, учитывая, что право административного производства по новой редакции статьи 13.11 КоАП РФ должностные лица Роскомнадзора получат лишь с 1 июля 2017 года, можно предполагать, что основная часть нарушений связана с неисполнением требований главы 19 КоАП РФ «Административные правонарушения против порядка управления» и применением таких статей, как 19.7 (непредставление или несвоевременное представление в орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), таких сведений (информации) в неполном объеме или в искаженном виде), 19.4.1 (воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора)), 19.5 (невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства), 19.6 (непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения).
Похоже, замедлился рост числа обращений и жалоб в Роскомнадзор от граждан и юридических лиц (см. таблицу), который был до последнего года экспоненциальным.
При этом стабильно очень низким является доля случаев, когда доводы заявителей подтверждаются при проверке жалобы – в 2016 году она составляла 7,9%, годом ранее – 7,6%, в 2014 году – 10%. Значит ли это, что операторы стали лучше выполнять закон? Возможно. Но может быть, и наоборот, - граждане услышали про закон, стали активно жаловаться, не понимая, что в нем написано.
На кого жалуются? Традиционно, на кредитные учреждения, организации ЖКХ, владельцев интернет-сайтов (в том числе социальные сети), коллекторские агентства. На что жалуются? Тоже традиционно – на передачу банками персональных данных без согласия клиента и на коллекторов – на обработку без такого согласия. Кстати, отмечу, что с 1 января 2017 года после вступления в силу «антиколлекторского» закона № 230-ФЗ согласие должника на передачу его данных коллектору не требуется, равно, как и согласие на обращение к его родственникам, соседям и иным лицам в целях взыскания задолженности, однако у должника и третьих лиц появилась возможность отказаться от взаимодействия со взыскателем. Я об этом как-то уже писал, здесь и здесь.
Претензии к владельцам сайтов связаны с распространением (для такой претензии достаточно публикации на сайте) персональных данных без согласия субъекта, созданием фейковых аккаунтов, обработку в целях, отличных от заявленных при сборе, а на организации ЖКХ чаще всего жалуются на вывешенные в подъездах списки должников, на передачу персональных данных третьим лицам без согласия субъекта (кстати, на CISO форуме 17 апреля я буду рассказывать как раз про такое дело, когда суд в привлечении взыскателей ничего криминального не увидел), на направление платежных документов в неконвертируемом виде, неправомерность обработки персональных данных жильцов многоквартирных домов фондами капитального ремонта.
Довольно неожиданно на третье место по числу обращений граждан в Роскомнадзор вышли вопросы порядка и условий установки видеокамер, а также хранения полученных видеозаписей. Учитывая внимание к этой теме Роструда и органов прокуратуры, похоже, что ситуация в этом направлении ужесточится. Наше агентство держит руку на пульсе – именно сейчас вместе с нашим партнером мы реализуем проект по локальному нормативному регулированию использования видеонаблюдения в большом торговом центре, включая систему распознавания лиц.
Из интересного в Докладе я бы еще выделил направления методической работы, выбранные Роскомнадзором, как в отношении операторов, так и в отношении инспекторов надзорного ведомства, которым посвящен один из разделов Доклада. Сообщается, что в 2016 году для территориальных органов были разработаны методические рекомендации по организации судебной работы в области защиты прав субъектов персональных данных в сети Интернет, а также по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Одним из возможных итогов методической работы, возможно, стало то, что по сведениям, приведенным в Докладе, в 2016 году по результатам рассмотрения судами общей юрисдикции исковых заявлений, поданных Роскомнадзором и его территориальными органами по фактам незаконной деятельности 196 интернет-ресурсов, осуществляющих распространение персональных данных граждан, в 100% рассматриваемых случаев приняты решения в пользу Роскомнадзора.
Отмечу также одну весьма важную инициативу, которая может повлиять на деятельность зарубежных компаний в России, - в соответствии с Планом организации законопроектных работ Минкомсвязи на 2017 год предусмотрена подготовка проекта Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения условий трансграничной передачи персональных данных.
Так что материала для анализа и размышлений в документе много. 

10 апреля 2017 г.

Неправильная регистрация пользователей может обернуться блокировкой сайта

Газета «Ведомости» опубликовала статью о проблемах сайтов в интернете с формами обратной связи, рисках и последствиях их размещения. В статье есть, в том числе, и мои комментарии, соображения, что надо делать, чтобы риски минимизировать.  Упомянутое в статье решение суда опубликовано здесь
Неправильная регистрация пользователей может обернуться блокировкой сайта
Пока компании только штрафуют за нарушения
Павел Кантышев
В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. ТГЮК не публикует свою политику по обработке персональных данных и не сообщает, как защищает их. Компании предстоит заплатить административный штраф 1000 руб., следует из опубликованного на сайте sudact.ru постановления тамбовского суда.
Законодательство о защите персональных данных весьма широко трактует это понятие, отмечают юристы. ТГЮК апеллировала, что форма обратной связи на ее сайте предназначена лишь для приема сообщений и не собирает персональных данных, говорится в постановлении мирового судьи на сайте sudact.ru. Она состояла из трех элементов: имени, сообщения и его темы – с помощью этой формы невозможно определить физическое лицо, к тому же клиент не обязательно укажет настоящее имя.
Изначально форма обратной связи ТГЮК содержала контакты обратившегося: телефон и электронную почту, рассказывает ее представитель, компания убрала эти поля, чтобы соответствовать требованиям регулятора. Из-за этого, случается, компания теряет клиентов: не все догадываются написать свои контакты, сетует представитель ТГЮК. Компания думала над тем, чтобы разработать и опубликовать политику работы с персональными данными, но в итоге решила сократить форму, рассказывает он, добавляя: штраф компания заплатит.
В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными.
Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные – и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.
В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании «Катков и партнеры» Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц – 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб.
Однако гораздо более серьезной мерой является блокировка сайта – закон предусматривает ее возможность, указывает Катков.
Определение
Закон относит к персональным данным «любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу».
Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников.
По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.
Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы.
Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.
Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.
Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.
В феврале астраханская газета «Волга» сообщала о компаниях, которые были оштрафованы за нарушавшую закон о защите персональных данных форму обратной связи. Был аналогичный случай и в Тюмени. Форма обратной связи есть и на сайте самого Роскомнадзора – например, желающим получить ответ на свое предложение по улучшению работы сайта предлагается оставить имя, фамилию и адрес электронной почты. По закону для обработки обращения в госструктуру согласие на обработку своих персональных данных не нужно, говорит Ампелонский.

20 марта 2017 г.

Предупрежден – значит, вооружен. Готовимся к проверкам обработки персональных данных

30 марта в Учебном центре «Информзащита» - премьера моего нового авторского семинара «Правоприменение законодательства о персональных данных в судебных спорах и надзорной деятельности». Семинар уникальный, материалом для него послужили результаты проверок, проведенных Роскомнадзором в 2016 году – акты, предписания, справки, материалы судебных дел, связанных с привлечением операторов к административной ответственности и исками о блокировке сайтов, обрабатывающих персональные данные с нарушением российского законодательства, в том числе – находящихся за рубежом и принадлежащих компаниям, не ведущим деятельность на территории России.  
А начнем мы его с анализа того, как организована надзорная деятельность за обработкой персональных данных после 1 сентября 2015 года, когда ее проведение было выведено из-под регулирования Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля». Разберемся, что написано в Административном регламенте Роскомнадзора, определяющем порядок проведения проверок. Посмотрим статистические данные проведенных надзорным ведомством мероприятий, узнаем, что такое мероприятия систематического наблюдения, как они проводятся и к каким последствиям ведут, какие еще формы и методы контроля стали использоваться надзорными органами.
Слушатели семинара узнают об особенностях планирования и организации проверок, чем план проверок территориального управления Роскомнадзора отличается от плана деятельности и где можно найти сведения о том, будут ли в этом году проверять конкретную организацию. В заключение этого раздела семинара заглянем в проект постановления Правительства, которым предполагается регулировать контрольную и надзорную деятельность Роскомнадзора, и оценим, что нас всех может ждать в ближайшем будущем.
Значительная часть семинара будет уделена разбору нарушений, вскрытых управлением Роскомнадзора по ЦФО при проверках в 2016 году. Думаю, многие слушатели узнают для себя много нового – например, сколько согласий в письменной форме надо получать от работника организации, когда Роскомнадзор соглашается с тем, что документы передаются внешней организации на архивное хранение, а когда считает это распространением персональных данных без согласия субъекта, нарушающим его права и законные интересы. Детально разберем, когда и как надо получать доказываемое согласие родственников работников на обработку работодателем их персональных данных, и может ли дать такое согласие работник как представитель, например, своей супруги.
Ответим для себя на вопрос, когда передача персональных данных является поручением иному лицу их обработки, а когда – не связана с поручением, и чем отличается порядок оформления согласия на передачу в этих случаях. Когда персональные данные могут передаваться оператором иным лицам в рамках исполнения договора с субъектом, а когда такая передача выходит за пределы договора и должна подтверждаться согласием.
Будет уделено время и «вечному» вопросу - что является персональными данными, а что - нет, что думают по этому поводу и, самое главное, пишут в материалах проверки надзорные органы.  Например, относятся ли к персональным данным сведения о пользователе: его IP-адрес, местонахождение, поисковые запросы, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах оператора, и об используемом для доступа в Интернет оборудовании и программном обеспечении: разрешение и глубина цвета экрана, версия и характеристики браузера, версия Flash и т.д. Являются ли персональными данными сведения о предпочтениях субъекта по заказу такси и выбору авиакомпании, наличии у него кредитных карт и карт лояльности сетевых гостиниц. Можно ли работодателю хранить анкету соискателя и его резюме после приема на работу. И многое другое.
Практика показывает, что даже такие мелочи, казалось бы, как документальное оформление ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и информирования лиц, осуществляющих обработку персональных данных без использования средств автоматизации, может стать причиной претензий со стороны проверяющих.
Закончим мы семинар двумя темами – распространением рекламы и обращений к потребителям услуг как факторе риска, влекущем немалые штрафы в случае нарушения закона, и анализом нового содержания статьи 13.11 КоАП РФ, вступающей в силу с 1 июля 2017 года и вводящей семь составов административных правонарушений и совсем другие штрафы по сравнению с предусмотренными действующей редакцией.
Поделимся мы с вами и опытом общения с прокуратурой и судами при привлечении операторов к административной ответственности за нарушения законодательства о персональных данных и порядка уведомления госорганов в случае, когда предоставление информации является обязательным в соответствии с законом.

Шесть часов внимания и интерактивного обсуждения – и вы будете знать о проверках значительно больше, а, значит, сможете снизить риски привлечения вашего работодателя к ответственности и поводы для этого. 

7 марта 2017 г.

16-17 марта: Опыт проектов и судебная практика по режиму коммерческой тайны

16-17 марта читаю в Учебном центре «Информзащита» курс «Реализация режима коммерческой тайны на предприятии» - самый первый учебный курс, который я создал и с которого начинал свою преподавательскую деятельность. Поэтому, наверное, и самый любимый, и очень сложный. Сам по себе вопрос установления режима коммерческой тайны, его необходимости и целесообразности уже очень непростой, и решать его надо очень осторожно, деликатно и продуманно. Я уже не раз об этом писал, например, здесь.
К сожалению, из-за высокой загруженности в консалтинговых проектах вести его удается не часто, примерно раз в полгода, поэтому он тщательно обновляется и корректируется к каждому такому случаю.
За это время курс оброс большим количеством практических примеров из наших проектов по установлению и изменению режима коммерческой тайны, каждый их которых приносит что-то новое и в наше понимание конкретных путем реализации требований законодательства применительно к различным видам деятельности и условиям функционирования компаний.
Вот и в этот раз мы, на основании полученного опыта, рассмотрим, как реализовать режим коммерческой тайны по единым правилам в крупной холдинговой структуре с большим количеством вертикальных и горизонтальных связей, в условиях постоянной реорганизации и наличия конкурентных отношений между организациями холдинга.
Как выстроить отношения обладателю коммерческих секретов с материнской компанией, инфраструктурой которой дочернее предприятие активно пользуется, но не отождествляет себя с нею и не готово всю информацию передавать «наверх».
Как защищать секреты производства в новых условиях, созданных изменением норм четвертой части Гражданского кодекса РФ, разделением понятий «информация, составляющая коммерческую тайну» и «секрет производства». Для понимания этого вопроса очень важна практика деятельности нового судебного органа - Суда по интеллектуальным правам.
Как владельцу секретов защитить себя от действий недобросовестного и нелояльного работника, намеренно не проставляющего гриф «Коммерческая тайна» на документах и надеющегося таким образом избежать ответственности за разглашение секретов работодателя.
Что и почему нельзя относить к коммерческой тайне, где эти требования установлены и к каким последствиям приводит их невыполнение.
И это не все, по ходу курса нас ждут и другие новинки, в том числе касающиеся вопросов технической защиты коммерческих секретов в информационной системе. Так, мы поговорим о технологии virtual data room, пока не очень распространенной в России, но широко используемой по всему миру для организации коллективного защищенного доступа к охраняемым ресурсам. Проанализируем последние инициативы ФСТЭК России, касающиеся корректировки процесса лицензирования деятельности по технической защите конфиденциальной информации в целом и мониторинга защищенности в частности, которые так важны для надежной защиты коммерческой тайны.
Предлагаемые в курсе выводы и рекомендации будут подкреплены примерами из судебной практики, российской и Европейского суда по правам человека, в который все чаще обращаются россияне, а также из материалов правоохранительных органов. Из наиболее интересных новинок – решения судов 2015-2017 годов, касающиеся необходимости нанесения грифа на электронные документы и влияния этого фактора на возможность привлечения работника к ответственности за разглашение охраняемых сведений; регулирование отношений с работником, ушедшим к конкурентам с секретами «в голове», которые вычленить или стереть нельзя; анализ действий полицейского-коррупционера, активно добывавшего коммерческие секреты конкурентов для подельника и препятствовавшего деятельности пострадавшим от его действий коммерческим организациям, и многое другое.
Детально разберем мы дело румынского инженера Барбулеску и его значение, в том числе, и для российской практики использования DLP-систем и других средств слежения за использованием работниками компьютерного и коммуникационного оборудования.
В общем, как я люблю говорить перед курсами и семинарами: «Скучно не будет. Обещаю».

8 февраля 2017 г.

Закон об изменениях в КоАП об административных нарушениях в области персональных данных подписан: возможные последствия

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».
Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.
Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.
Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.
Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.
Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.  
Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016 прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».
Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.
Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.
Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.
Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.

26 января 2017 г.

Реклама как фактор риска для банка. Практика правоприменения

В сегодняшнем посте мы рассмотрим, как на практике реализуются требования законодательства о рекламе, о персональных данных и защите прав потребителей, о которых я писал вчера, при выявлении случаев распространения банками рекламы с нарушением закона.
Практически все случаи связаны с жалобами конкретных граждан на ненадлежащую рекламу. На семинаре, который мы проводили для наших клиентов, был задан вопрос: «А получают ли пожаловавшиеся граждане какую-то выгоду от своей инициативы и бдительности?». Ответ простой – нет, это проявление гражданской позиции или выпуск пара из-за раздражения бесконечным спамом. И никаких меркантильных интересов.
Самый распространенный и легко доказываемый случай – рассылка незапрашиваемых смс-сообщений, то есть спама.
Таких примеров очень много, вот один, довольно показательный: управление ФАС по Свердловской области оштрафовало Альфа-Банк за смс-сообщение: «Управляйте Вашими финансами разумно! Откройте пакет услуг Оптимум для ежедневного банковского обслуживания, который включает в себя наиболее необходимые услуги. Подробности по телефону…» от «Alfa-Bank».
Очень тонкий момент – разница между рекламой (в законе написано, что это «информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке», и слова про неопределенный круг лиц представляются здесь ключевыми) и адресным обращением к субъекту персональных данных. Как мы помним, в стоимостном выражении разница между штрафами по соответствующим статьям – на порядок и более. По ст.14.3 КоАП (нарушение законодательства о рекламе) – от 100 до 500 тыс. рублей штрафа на юрлицо, а по ст.13.11 (нарушение законодательства о персональных данных) – от 5 до 10 тыс. рублей. Как говорится, почувствуйте разницу.
Однако ФАС придерживается мнения, что все, что направляется потребителю с целью продвижения услуг, – реклама, независимо от формы обращения. Пример? Пожалуйста: «Максим Андреевич, напоминаем, только до 31.01.2016 Вы можете воспользоваться нашим предложением по вкладу «Счастливый год!». Успейте оформить вклад под 9% годовых в любом нашем отделении. Ваш Сбербанк». Максим Андреевич обиделся, видимо, на столь низкий процент, и обратился в тот же ФАС Свердловской области, а Сбербанк получил штраф в 100 тыс.рублей.
А вот «Совкомбанк» пострадал серьезнее. Тюменский пенсионер взял в нем кредит и уже дома, изучая договор, обнаружил, что во взятую им сумму кредита входит оплата программы страхования и оплата электронной пластиковой карты, о которых в рекламе продукта не было ни слова. Территориальное управление ФАС увидело там сразу два нарушения, и за страховку, и за эмиссию пластиковой карты выписало два штрафа по 300 тысяч рублей каждый.
Еще одна уловка, на которую часто идут банковские маркетологи, – разный шрифт в рекламе в зависимости от привлекательности условий для клиента: большой, если это выглядит заманчиво, и мелкий, если это может отпугнуть. Ну совсем мелкий. Нечитаемый.
АО КБ «РУБЛЕВ» разместил рекламу вклада на специальной конструкции с изменяющимися панелями – призматроне. Про 22% годовых было написано очень крупно и видно издалека, а вот про остальные условия мелко, да так, что из-за разрезки текста панелями прочитать его было нельзя. Ставропольское управление ФАС оценило изобретательность рекламодателя в 101 тысячу рублей – чуть больше минимального возможного наказания.
Не менее, чем спам, распространенное нарушение – невыполнение требований части 3 статьи 28 закона «О рекламе», требующей давать полную информацию о кредите и условиях, влияющих на его стоимость.
«Мастер-Банк» распространял на территории г. Москвы листовки, рекламирующие услуги кредитования малого и среднего бизнеса, в которых не сообщалось о критериях получения рекламируемых кредитов и процентной ставке по ним. По мнению московского управления ФАС, это могло привести к неверному восприятию информации потенциальными заемщиками. Итог стандартный – те же 100 тысяч рублей штрафа.
Очень точно надо подходить к указанию в рекламе наименование кредитора (помните часть 1 ст.28 закона «О рекламе»: Реклама банковских и иных финансовых услуг должна содержать наименование или имя лица, оказывающего эти услуги»?). Банк разместил на местной радиостанции рекламное сообщение, которое две недели транслировалось в эфире: ««Каждой семье комфортное жильё * новые квартиры от группы строительных компаний ОФЦ * это реально * Вам поможет ипотека от Костромаселькомбанка * Костромаселькомбанк к стабильности и благополучию вместе * тел. … * группа строительных компаний ОФЦ тел. …». Что же в нем не так? Оказывается, не указана форма собственности банка – общество с ограниченной ответственностью! Итог стандартный – 101 тысяча рублей штрафа. Спор дошел до кассации в Федеральном арбитражном суде Волго-Вятского округа, который костромскому банку не помог и оставил решение о привлечении к ответственности в силе.
Страдают от санкций за ненадлежащую рекламу не только банки, но и их партнеры. ООО «Реалит» в Череповце решило продвинуть свои услуги по установке пластиковых окон в кредит в местной газете «Бизнес-Информ», разместив на первой странице объявление: «ОКНА ДВЕРИ ЛОДЖИИ_скидка рассрочка кредит». Кредит? А кредитор кто? А где сведения об условиях предоставления кредита (товарный, коммерческий, отсрочка, рассрочка платежа)? Не указано? Ага, нарушение требований части 7 статьи 5 закона «О рекламе». Штраф - стандартные 100 тысяч. И снова жалоба в суд, апелляция, кассация, и опять отказ, последний – в Федеральном арбитражном суде Северо-Западного округа.
И попытка уклониться от указания стоимости услуги, заменив ее процентной ставкой (часть 7.1 статьи 5 закона «О рекламе»), тоже карается. Банк «Траст» установил при предоставлении потребительского кредита возможность подключения дополнительного пакета услуг «Добровольное страхование жизни и здоровья заемщиков по кредитам на неотложные нужды», указав плату за него в процентах. По мнению надзорного органа, это нарушает право потребителя на получение необходимой и достоверной информации о реализуемой услуге. Банк привлечен к административной ответственности по ч. 1 ст. 14.8 КоАП (нарушение иных прав потребителя) в виде штрафа 5 000 рублей.
Есть и экзотические случаи привлечения к ответственности. Рассмотрим пару таких.
УФАС Красноярского края оштрафовало банк «Кедр» на…, конечно, 100 тысяч рублей, за рекламу с изображением процесса курения. А это запрещено пунктом 3 части 5 статьи 5 закона «О рекламе». Обращение в суд и апелляция банку не помогли.
Ну, и напоследок, – совсем веселое. «Очкуешь, товарищ? С наличкой тревожно? Сделай же вклад в банке надежном!». С таким заманчивым предложением обратился в период финансового кризиса 2008 года к потенциальным клиентам «СКБ-банк», Территориальное управление ФАС креатив не оценило и квалифицировало его как нарушение части 6 статьи 5 закона «О рекламе»: использование бранных слов, непристойных и оскорбительных образов, сравнений и выражений.
По традиции рецепт напоследок: каждое рекламное объявление и правомерность его распространения необходимо оценивать с точки зрения соответствия закону, прежде чем направлять потребителям, согласовывать с юристами, комплайенс-специалистами, а иногда – и с подразделением безопасности тоже. Ну, и сдерживать свой креатив. Не только в банках.

25 января 2017 г.

Реклама как фактор риска для банка. Теория вопроса

Коллеги, в том числе работающие в сфере ИБ, часто и много пишут, особенно в социальных сетях, про навязчивую рекламу банков по телефону и с помощью смс, неизвестные источники получения банками этих самых номеров телефонов и невозможность реального воздействия на банк за этот полный произвол.
А мы как раз для наших клиентов проводили анализ факторов риска, возникающих при продвижении банковских продуктов на рынке и искали пути минимизации возможного ущерба при размещении рекламы столь деликатной области деятельности.
Оказалось, что для потенциальных потребителей услуг банков на самом деле все не так грустно, и, как говорил великий советский сатирик, «есть путя», но надо проявлять настойчивость, то есть отрывать одно место от другого, для получения реального эффекта и воспитания продавцов из банков. Законы дают для этого массу возможностей, а ФАС активно помогает реализовать их требования и наказывает банки сотнями тысяч рублей. Так что это, скорее, зона особого риска для банков, которая, по понятным причинам, чаще всего остается без кураторства служб безопасности и правового обеспечения, что нередко ведет к имиджевым и финансовым потерям для кредитно-финансовых организаций.
Обычно, получив очередную смс стандартного содержания «Василий Петрович, золотая кредитная карта – это всегда доступные деньги. Для Вас – предварительно одобренный лимит 3000 рублей…», возмущенный скупостью банка потенциальный клиент вспоминает статью 15 закона «О персональных данных» («Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, … допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено»). А зря. Как мы помним, максимальный штраф за невыполнение закона 152-ФЗ – 10 тысяч рублей (ст.13.11 КоАП).
Посмотрим другой закон – «О рекламе». Там тоже есть аналогичная статья 18 («Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено»). От статьи 15 152-ФЗ ее отличают возможные последствия нарушений часть 1 статьи 14.3 КоАП «Нарушение законодательства о рекламе» предусматривает штраф на юрлиц от 100 до 500 тысяч, причем если смс пришло много, и пожаловался в УФАС десяток человек – штрафов тоже будет 10, каждый на сумму из этого диапазона. А для банков в этой статье КоАП есть специальная часть 6: «Распространение кредитной организацией рекламы услуг, связанных с предоставлением кредита или займа, пользованием им и погашением кредита или займа, содержащей хотя бы одно условие, влияющее на его стоимость, без указания всех остальных условий, определяющих полную стоимость кредита (займа) для заемщика и влияющих на нее» с диапазоном штрафов от 300 до 800 тысяч и аналогичным отношением к количеству жалоб.
При этом закон «О рекламе» создает широкое поле для правоприменения этих норм и квалификации административных правонарушений по ним. Помимо упомянутой выше статьи 18, здесь и части 7 и 7.1 статьи 5 «Общие требования к рекламе», соответственно:
«7. Не допускается реклама, в которой отсутствует часть существенной информации о рекламируемом товаре, об условиях его приобретения или использования, если при этом искажается смысл информации и вводятся в заблуждение потребители рекламы»;
«7.1. В рекламе товаров и иных объектов рекламирования стоимостные показатели должны быть указаны в рублях, а в случае необходимости дополнительно могут быть указаны в иностранной валюте».
Есть и специально для этих случаев предназначенная статья 28 «Реклама финансовых услуг», три части которых дают возможности «пострадавшему» размахнуться широко:
«1. Реклама банковских … и иных финансовых услуг должна содержать наименование или имя лица, оказывающего эти услуги»;
«2. Реклама банковских … и иных финансовых услуг не должна…» с подробным перечислением того, чего делать нельзя;
«3. Если реклама услуг, связанных с предоставлением кредита, пользованием им и погашением кредита, содержит хотя бы одно условие, влияющее на его стоимость, такая реклама должна содержать все остальные условия, определяющие фактическую стоимость кредита для заемщика и влияющие на нее».
А есть еще в статье 5 и «некорректные сравнения рекламируемого товара с находящимися в обороте товарами, которые произведены другими изготовителям», и недопустимость использования «бранных слов, непристойных и оскорбительных образов, сравнений и выражений», и использование в рекламе изображения процесса курения, и много еще чего.
Букв получилось уже много. В следующем посте перейдем от теории к практике – примерам привлечения банков к ответственности за нарушения перечисленных требований закона во всем их многообразии. Завтра, надеюсь, успею. 

24 января 2017 г.

Облака Oracle, безопасность и законодательство о персональных данных

2 февраля в «Swiss отель Красные холмы» пройдет мероприятие «Oracle Cloud Security Day: технологии на страже бизнеса», посвященное новой стратегии компании Oracle Cloud и выводу соответствующих ей решений на российский рынок. А какое может быть обсуждение облачных вычислений без темы персональных данных? Конечно, никакое!
Меня пригласили рассказать про использование облачных технологий и защиту персональных данных в свете требований российского законодательства. Андрей Дроздов из KPMG раскроет требования нового европейского регламента по защите данных. Тему почему-то слабо обсуждаемую у нас, хотя новые нормы коснутся многих российских компаний, не только работающих на территории Евросоюза, но и обрабатывающих сведения о гражданах ЕС на российских вычислительных мощностях.
Как следует из темы мероприятия, будет много всего про безопасность при использовании облачных технологий, от специалистов Oracle и Accenture.
Участие бесплатное. Зарегистрироваться пока еще можно здесь

11 января 2017 г.

Два законопроекта о самом главном в персональных данных: о контроле и надзоре и о штрафах

11 января Госдума во втором чтении приняла два долгожданных законопроекта: «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в части уточнения порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных) и «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).
Тексты законопроектов по сравнению с рассмотренными в первом чтении претерпели по объему незначительные, но весьма важные, даже принципиальные изменения.
В соответствии с первым из рассматриваемых законопроектов, уполномоченным органом по защите прав субъектов персональных данных теперь будет не федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, т.е. Роскомнадзор, а федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. Это вовсе не означает передачи этих функций от Роскомнадзора другому органу, но такая конструкция закона делает это вполне допустимым.
Что же это за орган контроля и надзора? Закон на этот вопрос не отвечает, но зато прямо и недвусмысленно возлагает на Правительство РФ обязанность установить порядок организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами.
Последствия и смысл разделения контрольных функций на две части: (1) организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями и (2) организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами пока не ясны, но как обычно, это неспроста.
Обратите внимание, что за 10 лет действия закона в нем впервые в качестве субъекта правоотношений появляется индивидуальный предприниматель. До принятия нового закона регулировались отношения с юридическими и физическими лицами, но не с ИП.
Незаметно, но радикально изменилась область контроля и надзора. Если ранее это было соответствие «обработки персональных данных требованиям настоящего Федерального закона», т.е. 152-ФЗ «О персональных данных», то теперь – соответствие «обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Чувствуете разницу? Законодательству в целом, а не конкретному закону.
Это должно положить конец ведущимся давно спорам о правомерности проверки Роскомнадзором, например, требований статей 86 и 88 Трудового кодекса, но вступает в коллизию с нормой Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: недопустимостью проведения в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. Но мы же помним, что с 1 сентября 2015 года 294-ФЗ не применяется при осуществлении контроля и надзора за обработкой персональных данных. Кстати, эта норма тоже уточнена законопроектом и дополнена словом «государственного».
Правда, в новой части 1.1 статьи 23 152-ФЗ далее указывается, что уполномоченный орган «обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием содержания обработки персональных данных и способов их обработки требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных)». Как это должно соотноситься с соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, совершенно непонятно.
К сожалению, как это часто бывает, тексты законов с каждой новой поправкой становятся не прозрачнее и понятнее, а запутаннее и сложнее.
Из новой редакции статьи 13.11 КоАП РФ, получающей новое название «Нарушение законодательства Российской Федерации в области персональных данных», ко второму чтению исчезла часть 3, предусматривавшая самое суровое наказание, штраф до 300 тысяч рублей для юрлиц, за «обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных». Теперь такого самостоятельного состава административных правонарушений нет совсем. Почему – для меня загадка, но, наверное, законодатели что-то знают неизвестное остальным.
Сравнивать тесты статьи 13.11, подготовленные к первому и второму чтению, смысла не вижу, а то, что принято во втором чтении – коротко в таблице ниже.
№ части статьи
Состав административного правонарушения
Штраф для юрлиц
1
Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи
30 - 50 тысяч рублей
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных
15 - 75 тысяч рублей
3
Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных
15 - 30 тысяч рублей
4
Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
20 - 40 тысяч рублей
5
Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
25 - 45 тысяч рублей
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
25 - 50 тысяч рублей
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию персональных данных
3 - 6 тысяч рублей – только для должностных лиц
В целом все вполне ожидаемо после первого чтения, кроме упомянутого выше исключения ответственности за неправомерную обработку спецкатегорий и, наоборот, сохранение ответственности для чиновников за невыполнение требований по обезличиванию – на мой взгляд, совершенно не рабочий состав.
Из особенностей – наличие негативных последствий для субъекта как основание для привлечения к ответственности нарушителя предусмотрено только частью 6 статьи, в остальных случаях их наступление значения не имеет.
Новая конструкция статьи 13.11 с семью составами правонарушений может привести к принципиальному изменению надзорной практики. Теперь, если у оператора будет выявлено 50 нарушений, каждое из них может быть квалифицировано отдельно, по каждому – составлен протокол и наложен штраф, суммарно весьма внушительный и фактически неограниченный. Наличие в действующей статье одной общей нормы: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» таких действий не предусматривает.  
И ожидаемое – статья 13.11 переходит в ведение Роскомнадзора, включая возбуждение административных дел по составам правонарушений, предусмотренным этой статьей, и соответственно, исключение этой статьи из полномочий прокуратуры.
Законопроектами предполагается, что изменения, касающиеся контроля и надзора, вступят в силу 1 марта 2017 года, изменения в КоАП РФ – 1 июля.  
Учитывая, что в третьем чтении принципиальных изменений в законопроект внесено не может быть, готовимся. Я думаю, третье чтение пройдет в ближайшее время.