Гарда Предприятие: новый взгляд на DLP Тотальный контроль и интеллектуальная защита от утечек информации – это реальность.
Уникальный механизм блокировки позволит избежать утечек ценной информации и выявить инсайдеров, не нарушая бизнес-процессов внутри компании. Запишитесь на бесплатный пилотный проект DLP-решения от «МФИ Софт».

Михаил Емельянников 08 Февраля 2017 - 11:25

Защита персональных данных

Стандарты и законы

...

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».

Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.

Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.

Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.

Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.

Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.

Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».

Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.

Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.

Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.

Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.