×

Законодательство и практика

15 ноября состоялась конференция РБК «Защита персональных данных: новые требования по локализации»
Прошло больше года с момента вступления в силу поправок в Закон о персональных данных, внесенных ФЗ № 242-ФЗ, которые сильно изменили правила защиты, хранения и локализации персональных данных в России. Эксперты обсудили, какие изменения ждут действующее законодательство в сфере защиты персональных данных и как складывается правоприменительная практика в этой области.


Ведущий советник Комитета Госдумы по государственному строительству и законодательству Андрей Федосенко рассказал о новых инициативах, которые призваны урегулировать уже существующие отношения в сфере защиты персональных данных, но не охваченные действующим законодательством, в частности Законом о персональных данных (№ 152-ФЗ) и Законом «о праве на забвение» (№ 264-ФЗ).

Речь идет о том, чтобы создать механизм, который будет учитывать особенности функционирования уполномоченного органа по защите персональных данных – планируется внести изменения в базовый Закон № 152-ФЗ и другие нормативные акты, в соответствии с которыми Правительство будет иметь право устанавливать особенности и процедуры проведения проверок операторов персональные данных, рассказал Андрей Федосенко.

Он также отметил, что до настоящего времени недостаточно эффективно применялись меры, предполагающие административную ответственность за нарушение законодательства в сфере защиты персональных данных. «С одной стороны, установленные требования, касающиеся обеспечения безопасности данных при их обработке, достаточно строгие, требующие для исполнения серьезных усилий. С другой стороны, те меры ответственности, которые могли бы стимулировать [исполнять законодательство], применялись не очень активно, – объяснил эксперт. – Многие годы единственным лицом, которое могло возбуждать дела, оставался прокурор, состав правонарушения был прописан ”вслепую” – была общая бланкетная норма, которая не делала различий между видами нарушений, и была [предусмотрена] далеко не самая чувствительная санкция».

Андрей Федосенко сообщил, что в настоящее время в Госдуме на рассмотрении находятся две законодательные инициативы Правительства (№ 683952-6 и № 1102471-6), вносящие изменения в КоАП РФ с целью дифференцировать ответственность оператора персональных данных в зависимости от вида нарушения.

Руководитель группы административно-правовой защиты бизнеса юридической компании «Пепеляев Групп» Елена Овчарова считает, что государственный контроль за обработкой персональных данных находится не в общем тренде. Задавшись вопросом, какие тенденции в настоящий момент имеются в правовом регулировании этой сферы, юрист перечислила самые важные из них.

Во-первых, отсутствие реальной оценки эффективности регулирующего воздействия законодательства о персональных данных.

Во-вторых, выведение государственного контроля в этой области из-под действия общего Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля № 294-ФЗ. «Это лишение нас всяческих гарантий, потому что мы уже научились по Закону № 294-ФЗ признавать недействительными результаты проверки, если допущены какие-то грубые процессуальные нарушения, – объяснила эксперт, – Роскомнадзор при этом рапортует, что есть административный регламент [для таких случаев], т.е. правовое регулирование понижено до уровня подзаконного ведомственного акта».
В-третьих, тотальный государственный контроль Роскомнадзора без применения риск-ориентированного подхода.

Руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков подробно рассказал о складывающейся практике в сфере защиты персональных данных. Он отметил, что в соответствии со ст. 24 Закона о персональных данных лица, виновные в нарушении требований этого закона, несут, по его мнению, четыре вида ответственности: административную, уголовную, гражданско-правовую и так называемую специальную.

Раскрывая понятие «специальной» ответственности за нарушение в сфере защиты персональных данных, эксперт пояснил, что имеет в виду ограничение Роскомнадзором доступа к информации, обрабатываемой с нарушением закона в области персональных данных, т.е. блокировку сайтов-нарушителей. В качестве примера он указал на громкое судебное дело о внесении LinkedIn в реестр нарушителей прав субъектов персональных данных. Социальная сеть для поиска и установления деловых контактов LinkedIn нарушила требование о локализации серверов с данными российских граждан-пользователей на территории России и норму о порядке хранения и обработки данных третьих лиц, не являющихся пользователями соцсети.

Несмотря на прогремевший случай с LinkedIn, Дмитрий Зыков отметил, что Роскомнадзор в настоящее время применяет щадящий механизм проверок. В отношении тех компаний, которые стараются соблюдать законодательство, однако нарушают в силу тех или иных причин закон, Роскомнадзор выносит предписания, но, как правило, воздерживается от наложения штрафов. А сами предписания, фактически, представляют собой план действий для приведения деятельности компании в соответствие с законом.


Рассказать коллегам: