Прошлая неделя ознаменовалась не только празднованием китайского Нового года, но и международным днем защиты персональных данных, который празднуется во всем мире 28 января. И аккурат к этому празднику Госдума приняла в третьем чтении законопроект о штрафах в области ПДн, которого все так ждали и страшились одновременно. Сейчас, глядя на текст законопроекта, можно уже утверждать, что его не изменят и вероятность его отмены Советом Федерации или президентом близка к нулю.
Я попробую сформулировать тезисно ключевые моменты, связанные с новыми правилами:
• Этот законопроект был внесен в Госдуму еще в декабре 2014-го года, а в феврале 2015-го года он был принят в первом чтении. С тех пор этот законопроект был забыт депутатами и с него сдули пыль только сейчас. За это время ситуация в законодательстве изменилась, но… законопроект почти не трогали. Например, 7-я часть статьи 13.11 наказывает за невыполнение госорганом или муниципальным учреждением обязанности по обезличиванию ПДн. Все бы ничего, но норма по обязательному обезличиванию была в прошлой версии ПП-211 — в сентябре 2014-го года ее отменили, определив, что обязанность обезличивания устанавливается какими-либо НПА. Но за прошедшие пару лет таких актов, насколько мне известно, так и не было принято. Получается, что депутаты вводят наказание за то, что делать уже не требуется, то есть данная часть статьи 13.11 работать не будет.
• Также мне не совсем понятно, почему было убрано наказание за обработку без согласия спецкатегорий ПДн (за нее следовал максимальный штраф в 300 тысяч рублей); депутаты оставили наказание за обработку без согласия любых ПДн (и обычных и спецкатегорий)? Это совсем нелогично. В Европе, например, и дух, и буква Евроконвенции и Евродирективы гласят, что к обработке спецкатегорий ПДн надо относиться с большим пиететом, чем к обработке обычных ПДн. И наказание за незаконную обработку таких ПДн существенно серьезнее. Но не в России. У нас и уровни защищенности, установленные ПП-1119, почти никак не зависят от типа ПДн (в отличие от прежнего «приказа трех» по классификации ИСПДн), и наказание за незаконную обработку спецкатегорий ПДн убрали. С другой стороны, это лишний раз доказывает давно известный факт, что регулятор давно уже не интересуется защитой прав субъектов ПДн, занимаясь совсем другими задачами.
• Законопроект устанавливает семь вполне конкретных составов правонарушений, за которые воспоследует административное наказание. В отличие от прошлой и пока еще действующей редакции ст. 13.11, теперь четко установлены случаи, за которые можно наказать оператора ПДн — никакой отсебятины и никакого размытого «нарушения правил обработки ПДн». Все предельно понятно. Например, раньше по ст.13.11 можно было наказать за нарушение ФЗ-242; сейчас уже этого сделать будет нельзя. За отсутствие уведомления РКН тоже можно было наказать — сейчас проблематично. Ну и т.д.
• Многие комментаторы радостно говорят, что законопроект ничего не поменяет в деле защиты прав субъектов, так как сумма штрафов выросла незначительно и она не будет стимулировать операторов ПДн. Не соглашусь. Сумма штрафов не выросла, но вот схема их назначения изменилась кардинально. Раньше (еще пока в действующей редакции) наказание могло быть одно и за «нарушение установленного законом порядка…» То есть сколько бы нарушений найдено не было, наказать можно было только один раз. Сейчас формулировка статьи поменялась, и она просто перечисляет семь составов правонарушений. Вспоминая практику применения ст. 5.27 (нарушение законодательства о труде), когда за каждое нарушение инспекторы трудовых инспекций назначали отдельный штраф, можно предположить, что схожая практика может быть применена и к новой статье 13.11. Именно может быть. С другой стороны, ст. 4.4 КоАП определяет, что может быть и другой вариант, когда в рамках одного дела, ведомого одним судьей, наказание по совокупности правонарушений рассчитывается не за каждое нарушение, а как одно. Анализ правоприменительной практики показывает, что такие случаи происходят нередко. Поэтому стоит подождать принятия закона и начала надзорной деятельности.
• За ущерб субъекту по-прежнему не наказывают — только 6-я часть новой редакции ст. 13.11 (неавтоматизированная обработка ПДн) предусматривает такой состав. В свое время в экспертном совете при Минкомсвязи мы рассматривали такой законопроект (о наказании именно за ущерб субъекту), но РКН был против и его «похоронили».
• Права наказывать по статье 13.11 перешли от прокуратуры к РКН.
27-го января должны были рассматривать и второй законопроект — по надзору в области ПДн, но, видимо, депутаты не успели этого сделать. В нем тоже произошло немало интересного, о чем уже писал Михаил Емельянников.
Об авторе: Алексей Лукацкий – эксперт в сфере информационной безопасности.
