Самый популярный вопрос, с которым обращаются в наше агентство в последние месяцы по поводу ФЗ-152: «А что нам будет за то, что мы ничего по защите персональных данных делать не будем?». Этот же вопрос, прослушав курсы, задают слушатели, прикинувшие на себя объем работы по выполнению закона. Он же чаще всего звучит и после публичных выступлений на различных конференциях, форумах, вебинарах и т.п. Просто эпидемия.
Похоже, в головах большинства сложилось четкое представление о мизерности штрафов по сравнению со стоимостью проектирования и технической реализации защитных мер, невозможности проверяющих хоть как-то повлиять на деятельность оператора персональных данных и привычное российское «Заплатим – и отстанут».
Это нередко действительно так, но не совсем.
Если мы полистаем разделы публичных докладов Роскомнадзора о деятельности в области персональных данных за последние пару лет, то увидим, что для привлечения операторов к ответственности применяются фактически всего две статьи КоАП: 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и 14.7 «Непредставление сведений (информации)». Максимальные наказания по ним действительно небольшие – для должностных лиц по 13.11 – 1 тысяча руб., для юридических лиц – 10 тысяч, по 19.7 и вовсе до 500 руб. для должностных лиц и до 5 тысяч руб. для юрлиц. Стоимость самого скромного проекта по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже. Да и постановление по делу об административном правонарушении должно быть вынесено в течение не более чем двух месяцев с момента выявления нарушения.
Но это взгляд поверхностный. А если копнуть поглубже, риски оператора уже не выглядят такими незначительными. И вытекают они из самой системы государственного контроля и надзора, установленной другим законом, ФЗ-294. Ст.17 данного закона предусматривает, что при выявлении проверяющими-надзирающими нарушений обязательных требований они обязаны выдать предписание об их устранении с указанием сроков и принять меры по контролю за устранением выявленных нарушений, их предупреждению, а также меры по привлечению виновных лиц к ответственности. Обязаны!
И если оператор требования предписания не выполнил, вступают в действие другие статьи КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор» (штраф уже до 20 тысяч), 19.6 «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения», 19.4 «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор». А выполнить предписание иногда не просто сложно, а фактически невозможно, тем более, что для его реализации предоставляется небольшой срок, как правило – не более 1 месяца.
В качестве примера – реальная ситуация. Оператор связи (несколько миллионов абонентов) передал работу по выставлению счетов за услуги клиентам и сбору платежей в дочерние организации-самостоятельные юрлица. Прокуратура совместно с Роскомнадзором выявили нарушение – предоставление персональных данных субъектов третьим лицам без их согласия и потребовали в месячный срок нарушение устранить. А теперь прикиньте, что это значит – либо свернуть сеть сервисных центров и вернуть бизнес в головную компанию (с ликвидацией юрлиц и передачей дел-прав), либо получить подтверждаемое согласие у миллионов людей на огромной территории. За месяц. Не удастся выполнить – оператора не можно, а надо снова штрафовать!
Для руководящего состава операторов-юрлиц предусмотрено и такое наказание, как дисквалификация, т.е. лишение права занимать должности в исполнительном органе управления юридического лица, входить в совет директоров (наблюдательный совет). Дисквалификация устанавливается на срок от шести месяцев до трех лет и может быть применена к лицам, осуществляющим организационно-распорядительные или административно-хозяйственные функции в органе юридического лица, к членам совета директоров (наблюдательного совета).
Реальная ситуация, имевшая место в жизни – дисквалификация по ст.5.27 «Нарушение законодательства о труде и об охране труда» должностного лица, ранее подвергнутого административному наказанию за аналогичное административное правонарушение. Не выполнено на предприятии требование п.8 ст.88 Трудового кодекса о наличии и доведении под роспись до работников документов, устанавливающих порядок обработки персональных данных работников, а также их правах и обязанностях в этой области – пожалуйста, штраф до 5 тысяч рублей на руководителя (можно и всего тысячу, чтобы не сильно пугались) и предписание устранить нарушение в месячный срок. А за месяц и разработать, и довести документ до большого трудового коллектива ой как сложно. Кто-то в отпуске, кто-то учится, кто-то болен. Внеплановая проверка через месяц в рамках надзора за устранением выявленных нарушений – дисквалификация первого лица, ранее оштрафованного за аналогичное нарушение.
Наконец, хотя никакой возможности административной приостановки деятельности оператора за нарушения, связанные с персональными данными, кодекс не предусматривает, за исключением случаев (внимание!) если оператор является лицензиатом ФСТЭК или ФСБ и при этом грубо нарушает лицензионные условия (ч.5 ст.13.12 «Нарушение правил защиты информации»). А вот за нарушение трудового законодательства (помним о главе 14 Трудового кодекса!) вполне можно, по упоминавшейся выше ч.1 ст.5.27 КоАП, на срок до 90 суток.
Отдельная проблема – выполнение требований по защите персональных данных, в том числе в части использования несертифицированных средств. Но об этом – как-нибудь в другой раз.
А на сегодня мой рецепт простой: просчитайте риски – для своей организации, для себя лично с учетом занимаемой позиции и степени ответственности и принимайте решения: ждать или действовать.
