И административная ответственность за их
невыполнение.
Минкомсвязи разработаны новые поправки в закон «О персональных данных» и КоАП РФ. 25 июня закончилось их
публичное обсуждение и антикоррупционная экспертиза. Далее, как обычно, оценка
регулирующего воздействия и рассмотрение в Правительстве.
Суть поправок проста: оператору, поручившему
обработку персональных данных иному лицу (например, покупку билетов и
бронирование гостиниц своим командируемым работникам), вменяется в обязанность
организовать и обеспечивать контроль за соблюдением обработчиком требований
законодательства о персональных данных. И не просто контроль, а надлежащий.
Первый же вопрос – а какой контроль будут считаться надлежащим? Гарантирующий
отсутствие инцидентов с обрабатываемыми данными? Но это невозможно в принципе!
Какой же тогда? Ответа нет.
При этом порядок осуществления такого контроля
оператор должен определить самостоятельно. В случае невыполнения этого
требования – штраф на юридическое лицо до 30 тысяч рублей, на должностное – до
6 тысяч. Причем неважно, были ли утечка у обработчика, пострадали ли субъекты.
Квалифицирующий признак правонарушения – невыполнение оператором обязанности
осуществления надлежащего контроля.
С обработчиком еще интереснее. Штрафы - также
до 30 тысяч рублей, но за нарушение требований законодательства в области
персональных данных. Каких требований, как следует из теста законопроекта,
значения не имеет.
Есть большие подозрения, что эти требования не
только невыполнимы, но и противоречат Конституции и нормам гражданского права.
Начнем с невыполнимости. Организация такого
контроля ляжет тяжким бременем на оператора любого масштаба, от микро-бизнеса
до самых крупных компаний.
Давайте представим: малое предприятие отдало
на аутсорсинг бухгалтерский, кадровый, воинский учет и охрану труда, а
информационные системы, те, что остались, например, CRM, разместило в
дата-центре или использует по схеме SaaS. Ситуация типичная. Делается это по
простой причине – экономически нецелесообразно держать своих специалистов в
штате для решения подобных вопросов, дешевле использовать аутсорсинг. И теперь это
самое предприятие должно определить порядок контроля, составить планы, убедить
аутсорсера согласиться на такой контроль, периодически проводить контрольные
мероприятия и тщательно документировать полученные результаты (контроль должен
быть надлежащий и это надо доказывать). Кто и за какие деньги будет это решать
в сегменте СМБ при том, что задач бизнеса в этом процессе ровно 0, а размер
штрафа меньше месячного оклада такого специалиста. Значит – игнорировать и
платить, если попался.
В крупном бизнесе ситуация не лучше. Там
обработчиков сотни и тысячи, к перечисленным выше добавляются агенты (сколько
агентов у больших страховых компаний или операторов связи?), колл-центры,
организаторы и исполнители маркетинговых акций, компании, работающие «в поле» с
конечными потребителями и т.д. и т.п. Всех их надо контролировать. А это уже
большое структурное подразделение со штатом квалифицированных специалистов,
объемные планы контроля с опять-таки нулевой отдачей в бизнес.
Ну, и наконец, обработчики. Те, для кого аутсорсинг
– основной бизнес, должны будут столкнуться с толпами контролеров от
контрагентов-операторов персональных данных, чего-то требующих, но плохо
понимающих, что вообще они должны проверять. Кто ими будет заниматься у
аутсорсера? Когда? И уж совсем риторический вопрос: как это скажется на
стоимости оказываемых услуг?
И еще одна проблема. В ходе проверок
надзирающий оператор персональных данных может неизбежно столкнуться с
коммерческими секретами и иной чувствительной информацией аутсорсера, что порождает
новый клубок проблем.
И, наконец, о конституционности
законопроектов.
Российское законодательство закрепляет принцип
недопустимости произвольного вмешательства в частные дела в сфере договорных
правоотношений. Статьей 8 Конституции РФ гарантируется свобода экономической
деятельности.
Часть 1 статьи 1 ГК РФ, конкретизируя данную
конституционную норму, устанавливает, что гражданское законодательство
основывается на признании равенства участников регулируемых им отношений,
неприкосновенности собственности, свободы договора, недопустимости
произвольного вмешательства кого-либо в частные дела, необходимости
беспрепятственного осуществления гражданских прав, обеспечения восстановления
нарушенных прав, их судебной защиты.
Данное положение подтверждается правовой
позицией Конституционного Суда РФ, отметившего в Постановлении от 06.06.2000 №
9-П, что «реализация имущественных прав осуществляется на основе общеправовых
принципов неприкосновенности собственности и свободы договора, предполагающих
равенство, автономию воли и имущественную самостоятельность участников
гражданско-правовых отношений, недопустимость произвольного вмешательства
кого-либо в частные дела».
Такая автономия деятельности подразумевает, в
том числе право на заключение договоров и свободу такого договора, иные
правомерные действия по своему усмотрению.
Принцип невмешательства в договорные
правоотношения необходимо рассматривать в совокупности с принципом свободы
договора, закрепленном статьей 421 ГК РФ. Данные принципы имеют целью не
допустить неоправданное стеснение свободы субъектов гражданского права в
договорной сфере.
Отношения оператора и обработчика регулируются
частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных» (далее – Закон 152-ФЗ), содержащей требования к существенным условиям
такого договора, а часть 5 той же статьи устанавливает ответственность
обработчика перед оператором.
Данные нормы в совокупности представляются
вполне достаточными для реализации требований законодательства о персональных
данных и не требуют дополнительного административного вмешательства в виде
установления обязанности контролировать деятельность обработчика.
Восстановление нарушенных прав субъектов
персональных данных и операторов неправомерными действиями обработчика,
компенсация понесенных убытков и морального вреда в достаточной мере
обеспечивается гражданско-правовыми методами.
Зачем нужен такой закон, выдвигающий
операторам и обработчикам невыполнимые требования, совершенно не понятно.
Кстати, нет ни слова об этом и в пояснительной записке к проекту федерального
закона «О внесении изменений в отдельные законодательные акты Российской
Федерации (в части уточнения принципов обработки персональных данных в
государственных информационных системах)», которым рассматриваемые поправки
предусматриваются.