18 апреля 2012 г.

Шутки кончились

Похоже, правоприменение ФЗ-152 «О персональных данных» вступает в принципиально новую стадию. Штрафы от полумиллиона рублей и больше еще неизвестно когда введут (а что введут – сомнений нет, зайдите на сайт Госдумы и посмотрите предложения по корректировке КоАП), а жить надо сегодня.
И вот в последнее время появились весьма интересные инициативы надзорных органов по наказанию операторов персональных данных, «не вписавшихся» в закон.
Тон задала прокуратура г.Уфы, которая проверила некие ООО «Исток-Сервис» и ООО «Инфорсер», занимающиеся оказанием справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа. То, что эти два общества осуществляли обработку персональных данных без лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера по защите персональных данных клиентов, удивления не вызывает. Прокуратура с полным основанием посчитала, что это может повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни. А вот выводы оказались совсем неожиданные. 
Можно было бы предположить, что нарушителей, как обычно, привлекут к ответственности по ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», поскольку, как отмечено, мер по защите персональных данных они не принимали. Или по ст.13.13 «Незаконная деятельность в области защиты информации» за занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такая лицензия в соответствии с федеральным законом обязательна. Ну, или уж по ст.19.20 за осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии). Последняя статья самая суровая и допускает наложение на юрлиц штрафа размером до 250 тысяч рублей или административное приостановление деятельности на срок до 90 суток.
И городская прокуратура направила в Октябрьский районный суд г. Уфы исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных. Основания для этого в весьма пространном пресс-релизе почему-то не указываются, но, похоже, речь идет именно о ст.19.20, поскольку ни 13.11, ни 13.13 приостановку деятельности не предусматривает в принципе.
Второй звоночек с весьма характерным звуком в те же последние дни марта раздался в Ярославле. Дело тоже обычное до зевоты. Местный агент МТС, как водится, оформил договор и симку на подставное лицо, настоящий владелец использованного паспорта об этом узнал, нажаловался в Роскомнадзор, который по жалобе организовал проверку (основания для этого – отдельная история), ну, и привлек, как положено, но не агента, а оператора – ОАО «МТС», который, как отмечено в акте, «не обеспечил внесение в базу данных достоверной информации об абоненте, не убедившись в личном предъявлении им документа, удостоверяющего личность, не заключил договор в письменной форме», и, самое главное, не обеспечил возможности получения сами понимаете кем информации об абоненте из базы данных для проведения оперативно-розыскных мероприятий.
Естественно, по факту выявленных нарушений составлен протокол об административном правонарушении, в данном случае – по основаниям, предусмотренным ч.3 ст.14.1 КоАП РФ «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)». Поскольку речь шла о персональных данных, к 14.1 добавлены еще и упоминавшаяся ранее ст.13.11, а также ст.13.14 «Разглашение информации с ограниченным доступом» - видимо, персональных данных того самого пострадавшего, на имя которого продали симку. Но эти две статьи – в ведении прокуратуры, куда и ушли протоколы.
А вот за нарушение ст.14.1 (дело-то идет о СОРМе!), помимо предписания об устранении выявленных нарушений, оператор сотовой связи получил предупреждение о приостановлении действия лицензии на предоставление услуг связи. А это вам не 5-10 тысяч рублей штрафа.
По поводу агентов, продающих сотовые контракты по копиям чужих паспортов, а то и без них, Дума уже озаботилась, приняв к рассмотрению законопроект с новой статьей КоАП 13.11.1 «Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных», предусматривающей штраф до 300 тысяч рублей.
Глядишь, скоро и время инициативы Роскомнадзора подойдет, о которой 1 марта на Консультационном совете рассказал заместитель руководителя надзорного органа Р.В.Шередин. Предусматривается увеличение срока давности при привлечении к ответственности по ст.13.11 КоАП с 3 месяцев до 1 года, передача Роскомнадзору полномочий по возбуждению административных дел по этой статье и повышение максимального размера штрафа по этой статье с 10 до 500 тысяч рублей.
Во вторник у меня на семинаре по персданным учился руководитель одной организации. Привела его ко мне неожиданная активность местного участкового полицейского, который стал регулярно захаживать в офис и интересоваться, как там идет обработка персональных данных и не нарушается ли чего.
Интерес к теме растет повсеместно.

6 комментариев:

  1. >ну, и привлек, как положено, но не агента, а оператора – ОАО «МТС»

    Все правильно. За действия ЛООПДППО перед регулятором и субъектом отвечает оператор. В 2009 судились МТС vs Роскомнадзор и суд решил, что коммерческий представитель не оператор (Арбитражный суд Ярославской области. Решение от 24.08.2009 N А82-6815/2009) http://kad.arbitr.ru/Card/a2bdcece-76eb-461b-b2bd-cfc74f30838d

    ОтветитьУдалить
  2. Я констатирую факт, а не делаю выводы, правильно или нет. Ели вы помните, в Думе лежит законопроект про агентов и персданные со штрафом 300 тыс. Так что не все думают так, как РКН. МТС этого абонента в глаза не видел, договор заключил агент по липовой копии паспорта или вообще без нее. Смошенничал. По УК отвечает агент. А по ФЗ-152 - оператор. Обхохочешься.

    ОтветитьУдалить
  3. >По УК отвечает агент. А по ФЗ-152 - оператор

    А вот дальнейшее возмещение убытков с агента - это вопрос агентского договора (в том числе поручения обработки ПДн и защиты ПДн) и правильности его составления

    >в Думе лежит законопроект про агентов и персданные со штрафом 300 тыс

    Банально оператор (субъекты ОРД) прописывает санкции к ЛОПДППО (ОпСоС-у и его агентам) за невыполнение поручения http://personal-data.livejournal.com/115505.html

    ОтветитьУдалить
  4. Да все понятно, что в законе написано. Только абсурдно. Особенно если субъекта, чьи ПДн представил агент, в природе не существуют, а за это оператора наказывают.

    ОтветитьУдалить
  5. В Ярославском случае МТС был виноват и это признал, ибо, не имея на руках оригинала договора умудрился накопившийся долг продать коллекторам. С основаниями для проверки в данном случае тоже не было проблем. Либо по закону о связи, либо нарушение прав потребителей.

    ОтветитьУдалить
  6. 2mikech74 А я не анализировал виновность. И основания тоже. Хотя замечу, что по ФЗ-294 одни требования проверяет один орган. По потребителям - Роспотребнадзор, а не РКН, по ФЗ о связи - управление по надзору в сфере связи, а не по персданным. Темы разные. Но дело вовсе не в этом. Дело в переквалификации нарушения и приостановке деятельности. Или угрозы приостановить (извините, предупреждения). А с виновностью и основаниями - это в суд. Не ко мне.

    ОтветитьУдалить