27 июня 2018 г.

У оператора персональных данных могут появиться невыполнимые обязанности

И административная ответственность за их невыполнение.
Минкомсвязи разработаны новые поправки в закон «О персональных данных» и КоАП РФ. 25 июня закончилось их публичное обсуждение и антикоррупционная экспертиза. Далее, как обычно, оценка регулирующего воздействия и рассмотрение в Правительстве.
Суть поправок проста: оператору, поручившему обработку персональных данных иному лицу (например, покупку билетов и бронирование гостиниц своим командируемым работникам), вменяется в обязанность организовать и обеспечивать контроль за соблюдением обработчиком требований законодательства о персональных данных. И не просто контроль, а надлежащий. Первый же вопрос – а какой контроль будут считаться надлежащим? Гарантирующий отсутствие инцидентов с обрабатываемыми данными? Но это невозможно в принципе! Какой же тогда? Ответа нет.
При этом порядок осуществления такого контроля оператор должен определить самостоятельно. В случае невыполнения этого требования – штраф на юридическое лицо до 30 тысяч рублей, на должностное – до 6 тысяч. Причем неважно, были ли утечка у обработчика, пострадали ли субъекты. Квалифицирующий признак правонарушения – невыполнение оператором обязанности осуществления надлежащего контроля.
С обработчиком еще интереснее. Штрафы - также до 30 тысяч рублей, но за нарушение требований законодательства в области персональных данных. Каких требований, как следует из теста законопроекта, значения не имеет.
Есть большие подозрения, что эти требования не только невыполнимы, но и противоречат Конституции и нормам гражданского права.
Начнем с невыполнимости. Организация такого контроля ляжет тяжким бременем на оператора любого масштаба, от микро-бизнеса до самых крупных компаний.
Давайте представим: малое предприятие отдало на аутсорсинг бухгалтерский, кадровый, воинский учет и охрану труда, а информационные системы, те, что остались, например, CRM, разместило в дата-центре или использует по схеме SaaS. Ситуация типичная. Делается это по простой причине – экономически нецелесообразно держать своих специалистов в штате для решения подобных вопросов, дешевле использовать аутсорсинг. И теперь это самое предприятие должно определить порядок контроля, составить планы, убедить аутсорсера согласиться на такой контроль, периодически проводить контрольные мероприятия и тщательно документировать полученные результаты (контроль должен быть надлежащий и это надо доказывать). Кто и за какие деньги будет это решать в сегменте СМБ при том, что задач бизнеса в этом процессе ровно 0, а размер штрафа меньше месячного оклада такого специалиста. Значит – игнорировать и платить, если попался.
В крупном бизнесе ситуация не лучше. Там обработчиков сотни и тысячи, к перечисленным выше добавляются агенты (сколько агентов у больших страховых компаний или операторов связи?), колл-центры, организаторы и исполнители маркетинговых акций, компании, работающие «в поле» с конечными потребителями и т.д. и т.п. Всех их надо контролировать. А это уже большое структурное подразделение со штатом квалифицированных специалистов, объемные планы контроля с опять-таки нулевой отдачей в бизнес.
Ну, и наконец, обработчики. Те, для кого аутсорсинг – основной бизнес, должны будут столкнуться с толпами контролеров от контрагентов-операторов персональных данных, чего-то требующих, но плохо понимающих, что вообще они должны проверять. Кто ими будет заниматься у аутсорсера? Когда? И уж совсем риторический вопрос: как это скажется на стоимости оказываемых услуг? 
И еще одна проблема. В ходе проверок надзирающий оператор персональных данных может неизбежно столкнуться с коммерческими секретами и иной чувствительной информацией аутсорсера, что порождает новый клубок проблем.
И, наконец, о конституционности законопроектов.
Российское законодательство закрепляет принцип недопустимости произвольного вмешательства в частные дела в сфере договорных правоотношений. Статьей 8 Конституции РФ гарантируется свобода экономической деятельности.
Часть 1 статьи 1 ГК РФ, конкретизируя данную конституционную норму, устанавливает, что гражданское законодательство основывается на признании равенства участников регулируемых им отношений, неприкосновенности собственности, свободы договора, недопустимости произвольного вмешательства кого-либо в частные дела, необходимости беспрепятственного осуществления гражданских прав, обеспечения восстановления нарушенных прав, их судебной защиты.
Данное положение подтверждается правовой позицией Конституционного Суда РФ, отметившего в Постановлении от 06.06.2000 № 9-П, что «реализация имущественных прав осуществляется на основе общеправовых принципов неприкосновенности собственности и свободы договора, предполагающих равенство, автономию воли и имущественную самостоятельность участников гражданско-правовых отношений, недопустимость произвольного вмешательства кого-либо в частные дела».
Такая автономия деятельности подразумевает, в том числе право на заключение договоров и свободу такого договора, иные правомерные действия по своему усмотрению.
Принцип невмешательства в договорные правоотношения необходимо рассматривать в совокупности с принципом свободы договора, закрепленном статьей 421 ГК РФ. Данные принципы имеют целью не допустить неоправданное стеснение свободы субъектов гражданского права в договорной сфере.
Отношения оператора и обработчика регулируются частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ), содержащей требования к существенным условиям такого договора, а часть 5 той же статьи устанавливает ответственность обработчика перед оператором.
Данные нормы в совокупности представляются вполне достаточными для реализации требований законодательства о персональных данных и не требуют дополнительного административного вмешательства в виде установления обязанности контролировать деятельность обработчика.
Восстановление нарушенных прав субъектов персональных данных и операторов неправомерными действиями обработчика, компенсация понесенных убытков и морального вреда в достаточной мере обеспечивается гражданско-правовыми методами.
Зачем нужен такой закон, выдвигающий операторам и обработчикам невыполнимые требования, совершенно не понятно. Кстати, нет ни слова об этом и в пояснительной записке к проекту федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)», которым рассматриваемые поправки предусматриваются.

2 комментария:

  1. Также интересует последний абзац изменений в 152-ФЗ.
    "Хранение персональных данных в электронном виде в государственных и муниципальных информационных системах персональных данных должно осуществляться по месту возникновения таких данных.". Не совсем понятно данное предложение. Есть региональные ГИС, также являющиеся ИСПДн, и местом хранения ПДн может являться, например, какой-либо региональный ЦОД

    ОтветитьУдалить
  2. Михаил, день добрый! Спасибо за информацию.
    Вопрос - А может ли лицо обрабатывающее ПДн по поручению оператора в то же самое время быть оператором этих же ПДн?
    Откуда взялся вопрос. Недавно спросил Минкомсвязь - кем является лицо осуществляющее обработку по поручению оператора?
    Мне ответили электронным письмом - лицо, осуществляющее обработку
    персональных данных по поручению оператора, является оператором
    персональных данных, при условии соответствия требованиям, указанным в
    пункте 2 статьи 3 152-ФЗ.

    ОтветитьУдалить