Восемь новых правонарушений, связанных с ПДн

Правительство РФ внесло в Государственную думу на рассмотрение законопроект №683952-6 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Планируется изменить ст. 13.11 КоАП «Нарушение законодательства Российской Федерации о персональных данных», увеличив ответственность операторов ПДн за нарушение требований закона 152-ФЗ. В частности, предполагается дополнить эту статью восемью составами административных правонарушений, за которые будут налагаться штрафы на частные, должностные, юридические лица и индивидуальных предпринимателей.

По мнению Елены Козловой, руководителя направления Compliance Центра информационной безопасности компании «Инфосистемы Джет», «законотворцы решили перейти от общего к частному в борьбе с нарушениями требований к обработке персональных данных. В законопроекте №683952-6 вместо общего пункта, гласившего о нарушениях установленного законом порядка сбора, хранения, использования и распространения информации о гражданах (ПДн), появилось аж 8 пунктов, в которых указаны конкретные типовые нарушения при обработке ПДн и меры наказания операторов».

• обработка  ПДн с нарушением требований к составу сведений, включаемых в письменное согласие субъекта ПДн на обработку его персональных данных (от 15 тыс. до 50 тыс. руб.);
• обработка ПДн без согласия их субъекта (от 30 тыс. до 50 тыс. руб.);
• обработка ПДн, входящих в специальные категории, в случаях, которые не предусмотрены законодательством РФ (от 150 тыс. до 300 тыс. руб.);
• невыполнение оператором обязанности опубликования его политики в отношении обработки ПДн и сведений о реализуемых требованиях к защите ПДн (от 15 тыс. до 30 тыс. руб.);
• невыполнение  оператором обязанности предоставления субъекту ПДн информации, касающейся обработки его ПДн (от 20 тыс. до 40 тыс. руб.);
• невыполнение оператором требований субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн об уточнении ПДн, их блокировании либо уничтожении (от 25 тыс. до 45 тыс. руб.);
• при обработке ПДн без использования средств автоматизации невыполнение оператором обязанности обеспечения сохранности ПДн (от 25 тыс. до 50 тыс. руб.);
• невыполнение оператором, являющимся государственным или муниципальным органом, обязанности обезличивания ПДн, несоблюдение установленных требований и методов обезличивания ПДн (от 3 тыс. до 6 тыс. руб. – штраф налагается исключительно на должностных лиц).

В результате на оператора, который обрабатывает персональные данные и не выполняет требования закона 152-ФЗ, теперь могут накладываться штрафы на значительно большие суммы – за каждое нарушение в отдельности, а не за все вкупе. Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Cisco, говорит: «Штрафы увеличатся, а составы правонарушений станут более конкретными, не размытыми, как сейчас. Цель преследуется благая – привести всё в порядок и наказывать за конкретику, а не непонятно за что».

Михаил Емельянников, управляющий партнёр консалтингового агентства «Емельянников, Попова и партнёры», отмечает и расширение полномочий Роскомнадзора: «Законопроект определяет новый состав правонарушений, увеличивает размеры штрафов и дает Роскомнадзору полномочия, которые раньше были только у прокуратуры, – теперь он сможет возбуждать административные дела по 13.11 КоАП ». Теоретически, всё это должно сподвигнуть компании хоть что-то делать для обеспечения защиты обрабатываемых ими ПДн – хотя бы обнародовать их политику обработки персональных данных.

Предполагается, что закон вступит в силу через 10 дней после официального опубликования. При этом за 10 дней вряд ли удастся выполнить все требования ФЗ-152, а потому готовиться к новым реалиям защиты стоит заранее. Впрочем, считает Елена Козлова, «законопроект не грозит кардинальными изменениями действительности».