11 января 2017 г.

Два законопроекта о самом главном в персональных данных: о контроле и надзоре и о штрафах

11 января Госдума во втором чтении приняла два долгожданных законопроекта: «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в части уточнения порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных) и «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).
Тексты законопроектов по сравнению с рассмотренными в первом чтении претерпели по объему незначительные, но весьма важные, даже принципиальные изменения.
В соответствии с первым из рассматриваемых законопроектов, уполномоченным органом по защите прав субъектов персональных данных теперь будет не федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, т.е. Роскомнадзор, а федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. Это вовсе не означает передачи этих функций от Роскомнадзора другому органу, но такая конструкция закона делает это вполне допустимым.
Что же это за орган контроля и надзора? Закон на этот вопрос не отвечает, но зато прямо и недвусмысленно возлагает на Правительство РФ обязанность установить порядок организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами.
Последствия и смысл разделения контрольных функций на две части: (1) организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями и (2) организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами пока не ясны, но как обычно, это неспроста.
Обратите внимание, что за 10 лет действия закона в нем впервые в качестве субъекта правоотношений появляется индивидуальный предприниматель. До принятия нового закона регулировались отношения с юридическими и физическими лицами, но не с ИП.
Незаметно, но радикально изменилась область контроля и надзора. Если ранее это было соответствие «обработки персональных данных требованиям настоящего Федерального закона», т.е. 152-ФЗ «О персональных данных», то теперь – соответствие «обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Чувствуете разницу? Законодательству в целом, а не конкретному закону.
Это должно положить конец ведущимся давно спорам о правомерности проверки Роскомнадзором, например, требований статей 86 и 88 Трудового кодекса, но вступает в коллизию с нормой Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: недопустимостью проведения в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. Но мы же помним, что с 1 сентября 2015 года 294-ФЗ не применяется при осуществлении контроля и надзора за обработкой персональных данных. Кстати, эта норма тоже уточнена законопроектом и дополнена словом «государственного».
Правда, в новой части 1.1 статьи 23 152-ФЗ далее указывается, что уполномоченный орган «обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием содержания обработки персональных данных и способов их обработки требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных)». Как это должно соотноситься с соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, совершенно непонятно.
К сожалению, как это часто бывает, тексты законов с каждой новой поправкой становятся не прозрачнее и понятнее, а запутаннее и сложнее.
Из новой редакции статьи 13.11 КоАП РФ, получающей новое название «Нарушение законодательства Российской Федерации в области персональных данных», ко второму чтению исчезла часть 3, предусматривавшая самое суровое наказание, штраф до 300 тысяч рублей для юрлиц, за «обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных». Теперь такого самостоятельного состава административных правонарушений нет совсем. Почему – для меня загадка, но, наверное, законодатели что-то знают неизвестное остальным.
Сравнивать тесты статьи 13.11, подготовленные к первому и второму чтению, смысла не вижу, а то, что принято во втором чтении – коротко в таблице ниже.
№ части статьи
Состав административного правонарушения
Штраф для юрлиц
1
Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи
30 - 50 тысяч рублей
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных
15 - 75 тысяч рублей
3
Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных
15 - 30 тысяч рублей
4
Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
20 - 40 тысяч рублей
5
Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
25 - 45 тысяч рублей
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
25 - 50 тысяч рублей
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию персональных данных
3 - 6 тысяч рублей – только для должностных лиц
В целом все вполне ожидаемо после первого чтения, кроме упомянутого выше исключения ответственности за неправомерную обработку спецкатегорий и, наоборот, сохранение ответственности для чиновников за невыполнение требований по обезличиванию – на мой взгляд, совершенно не рабочий состав.
Из особенностей – наличие негативных последствий для субъекта как основание для привлечения к ответственности нарушителя предусмотрено только частью 6 статьи, в остальных случаях их наступление значения не имеет.
Новая конструкция статьи 13.11 с семью составами правонарушений может привести к принципиальному изменению надзорной практики. Теперь, если у оператора будет выявлено 50 нарушений, каждое из них может быть квалифицировано отдельно, по каждому – составлен протокол и наложен штраф, суммарно весьма внушительный и фактически неограниченный. Наличие в действующей статье одной общей нормы: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» таких действий не предусматривает.  
И ожидаемое – статья 13.11 переходит в ведение Роскомнадзора, включая возбуждение административных дел по составам правонарушений, предусмотренным этой статьей, и соответственно, исключение этой статьи из полномочий прокуратуры.
Законопроектами предполагается, что изменения, касающиеся контроля и надзора, вступят в силу 1 марта 2017 года, изменения в КоАП РФ – 1 июля.  
Учитывая, что в третьем чтении принципиальных изменений в законопроект внесено не может быть, готовимся. Я думаю, третье чтение пройдет в ближайшее время.

5 комментариев:

  1. Михаил Юрьевич,
    Принципиальным моментом является как раз уход от общего состава с крайне размытой формулировкой о "порядке" сбора, хранения, использования или распространения ПДн, позволяющего РКН применять ст.13.11 в отношении абсолютного любого, пусть даже небольшого и формального, нарушения оператором требований 152-ФЗ и подзаконных актов – например, отсутствие утвержденного оператором документа о местах хранения ПДн, предусмотренного п. 13 ПП-687.
    Если посмотреть на рассматриваемый в ГД состав правонарушений по ст.13.11 широко, то наблюдается интересная тенденция: все составы, за исключением 7-го, касаются взаимодействия внутри связки «оператор – субъекты ПДн» и не затрагивают вопросы «внутренней кухни» оператора. Например, с применением какой части новой редакции ст.13.11 РКН будет называть оператора за невыполнение им п.1 или п.2 ч.1 ст.18.1 152-ФЗ? Каким образом РКН будет реагировать на факты преднамеренного нарушения оператором требования ст.7 152-ФЗ (состав правонарушения ч.6 ст.13.11 является очень узким и не учитывает таких ситуаций как неправомерная передача оператором ПДн своих сотрудников или иных лиц контрагентам оператора)?
    Предложенные части ст.13.11 фактически нацелены на пресечение нарушений ограниченного набора норм действующего законодательства о ПДн:
    ч.1 ст.13.11 КоАП: ч.2 ст.5, ч.1 ст.6, ст.10, ст.11, ст.12, ст.15 152-ФЗ
    ч.2 ст.13.11 КоАП: п.1 ч.1 и ч.3 ст.6, ст.7, ч.1 ст.8, ст.9, п.1 ч.2 ст.10, ч.1 ст.11, п.1 ч.4 ст.12, ч.1 ст.15, ч.2 ст.16 152-ФЗ; п.3 ст.86, 1-2 абз. ст.88 ТК
    ч.3 ст.13.11 КоАП: ч.2 ст.18.1 152-ФЗ
    ч.4 ст.13.11 КоАП: ст.14, ст.20 152-ФЗ
    ч.5 ст.13.11 КоАП: ст.21 152-ФЗ
    ч.6 ст.13.11 КоАП: п.15 ПП-687
    Что касается возможности привлечь оператора к административной ответственности по «отдельно квалифицированным 50 выявленным нарушениям», то тут сразу возникают определенные сомнения в наличии такой возможности у РКН. Например, применить ч.3 ст.13.11 в по итогам проверочного мероприятия фактически можно только один раз :-) По моему мнению, максимальный размер штрафа для оператора-«неГоса» по итогам проверки будет составлять сумму штрафов по чч.1-6 ст.13.11 – 290 тыс. руб.

    ОтветитьУдалить
  2. Алексей, спасибо, отличный анализ! Согласен, что конкретизация состава правонарушений делает фактически безнаказанным целый ряд из них, в том числе - очень часто упоминаемых в актах, например, невыполнение п.7 ПП-687 в части требований к и=типовым формам, отсутствие локальной нормативки, отсутствие оценки вреда и т.п. Характерно (и смешно), что не предусмотрено никакого наказания за невыполнение требований по локализации баз в России, на проверку которого было брошено столько сил в последнее время.
    И о кумулятивных штрафах. Пример (из жизни). Отсутствует согласие на передачу ПДн полиграфическому предприятию для издания визиток. В согласии на трансграничку указаны не все неадекватные страны, куда она осуществляется. Отсутствуют согласия родственников работников, обрабатываемых в целях ДМС за счет работодателя. Три нарушения по части 2 ст.13.11, три протокола, три штрафа по 70 тыр. А сейчас - за все один в 10 тыр, да еще и прокуратуру надо напрячь.
    Так что кое что точно поменяется.

    ОтветитьУдалить
  3. Есть один положительный момент-исчезнут все бестолковые онлайн сервисы по подготовке документов))

    ОтветитьУдалить
  4. Не вижу ни одного основания для исчезновения каких-либо сервисов. А документов, в том числе бестолковых, требуется все больше и больше

    ОтветитьУдалить
    Ответы
    1. Ох не знаю, не знаю... когда пиарщики таких сервисов, не краснея, заявляют, что пакет документов это все, что нужно для прохождения проверки Роскомнадзора, становится как-то обидно за отечество...

      Удалить