×

18 сентября 2020 г. в Госдуму внесен проект поправок в ст. 13.14 КоАП РФ об увеличении размера штрафа за разглашение информации ограниченного доступа (№ 1023005-7, далее – законопроект).

Документ направлен на ужесточение санкции, предусмотренной названной нормой. В случае его принятия штраф для граждан составит от 5 до 10 тыс. руб., а для должностных лиц – от 40 до 50 тыс. руб.

Читайте также
Штраф за разглашение информации ограниченного доступа предлагается увеличить
Автор законопроекта подчеркнул, что под «информацией ограниченного доступа» понимается в том числе и адвокатская тайна
21 Сентября 2020 Новости

Законопроект стал следствием нарастания с огромной скоростью проблем защиты персональных данных, обусловленных увеличением интенсивности развития электронного взаимодействия. В связи с этим ужесточение ответственности за разглашение информации – ожидаемый шаг в направлении защиты персональных данных граждан.

Однако для эффективного применения ст. 13.14 КоАП требуется прежде всего разработать механизм отслеживания именно разглашения информации – т.е. выявления фактов доведения ее до сведения третьих лиц, а не просто получения доступа к ней, в том числе незаконного.

Следует отметить, что по данной категории дел доказыванию подлежит факт доведения до сведения третьих лиц информации с ограниченным доступом, поскольку это относится к объективной стороне состава правонарушения, предусмотренного ст. 13.14 КоАП.

Отсутствие доказательств, подтверждающих указанное обстоятельство, препятствует судам при рассмотрении дел сделать вывод о наличии в действиях лиц, привлекаемых к административной ответственности, состава правонарушения, ответственность за которое установлена ст. 13.14 КоАП, и влечет прекращение производства по делу за отсутствием состава правонарушения, как это произошло в деле № 4А-171/2016, находившемся в производстве Архангельского областного суда.

В данном случае недоказанность передачи инспектором группы по исполнению административного законодательства отдела ДПС УГИБДД УМВД России по Архангельской области информации с ограниченным доступом третьим лицам послужила основанием для отмены постановления мирового судьи и решения районного суда по жалобе Г.Н. Ильиной о привлечении лица к ответственности за совершение административного правонарушения по ст. 13.14 КоАП и прекращения производства по делу на основании п. 2 ч. 1 ст. 24.5 КоАП за отсутствием состава правонарушения (постановление от 10 июня 2016 г. по делу № 4А-171/2016).

Необходимость разработки механизмов сбора информации с ограниченным доступом и отслеживания процесса доведения ее до третьих лиц подтверждают не только судебная практика, но и статистические данные.

На сегодняшний день уровень латентности правонарушений, связанных с утечкой персональных данных, довольно высок.

Так, по данным аналитической компании Ponemon Institute «2018 Cost of Data Breach Study», на 2018 г. 25% утечек – следствие ошибок сотрудников, 50% приходится на фишинг и прочие атаки. Большинство (48%) уязвимостей связано с вредоносным программным обеспечением и кибератаками. Как показали результаты опроса, недобросовестность работников и действия злоумышленников – ключевые причины утечки информации в 69% случаев.

В связи с этим намерение законодателя ужесточить административную ответственность должностных лиц представляется закономерным, но в то же время недостаточым.

Как показывают результаты исследования «Смарт Лайн Инк», за период с января по май 2019 г. количество не выявленных и не отраженных в официальной статистике нарушений достигло 90–99%, где:

  • 10% – утечки через снимки экранов;
  • 3% – через мессенджеры и социальные сети;
  • 2% – облачные файловые хранилища;
  • 4% – электронная и веб-почта;
  • 5% – печать документов на бумажном носителе;
  • свыше 75% – общая доля утечек с использованием съемных накопителей.

Столь высокий уровень латентности очевидно связан с точечными (локальными) утечками информации – т.е. такими, которые касаются копирования небольших объемов данных, в том числе с помощью простого переписывания информации на бумагу или снимка экрана компьютера, в частности для личного использования.

Следовательно, ужесточение санкции ст. 13.14 КоАП само по себе не является, на мой взгляд, достаточным и эффективным способом повышения уровня защиты персональных данных внутри страны.

Защита персональных данных требует комплексного подхода, включающего разработку способов предотвращения утечек по конкретным каналам, в том числе на основании методов, применяемых за рубежом, – таких, например, как:

  • проведение аудита персональных данных и документирование всего процесса их обработки;
  • ограничение круга законных целей и оснований для обработки персональных данных (ст. 5 General Data Protection Regulation – Общего регламента по защите данных, далее – GDPR) в совокупности с назначением ответственных за защиту персональных данных (Data Protection Officer) и разработкой локального нормативного акта, регламентирующего обработку и защиту персональных данных;
  • принятие мер по псевдонимизации и шифрованию персональных данных – предотвращение утечки данных (DLP), сетевая безопасность, шифрование, реагирование на инциденты (SIEM), защита периметра организации, псевдонимизация, защита конечных пользователей, управление мобильными устройствами (MDM), антивирусные средства и управление доступом (IDM);
  • обеспечение конфиденциальности, целостности, доступности и устойчивости систем обработки данных;
  • своевременное восстановление доступа как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента. Это может быть как технический инцидент (например, хакерская атака), так и инцидент иного характера (например, затопление серверов);
  • регулярное тестирование и оценка эффективности технических и организационных мер для обеспечения безопасности обработки персональных данных.

В заключение отмечу, что размер предложенной разработчиками законопроекта санкции невысок по сравнению с аналогичной нормой, действующей на территории Евросоюза, где нарушение GDPR, действующего с 25 мая 2018 г., влечет административный штраф до 20 млн евро (что составляет около 1,8 млрд руб.), или 4% годового оборота компании. Причем процент может быть рассчитан от оборота международной группы компаний, а не отдельного юридического лица. Размер штрафа определяется индивидуально.

Рассказать:
Другие мнения
Переладов Андрей
Переладов Андрей
Сопредседатель Коллегии адвокатов «Регионсервис», управляющий партнер офиса Коллегии в г. Кемерово, адвокат АП Кемеровской области
Вода «живая» и «мертвая»
Природоохранное право
Новый порядок расчета вреда, нанесенного водным объектам, вызывает много вопросов
14 Января 2022
Зарбабян Мартин
Зарбабян Мартин
Адвокат АП г. Москвы
Кассация – не апелляция
Уголовное право и процесс
О конкуренции единоличного и коллегиального рассмотрения уголовных дел в судах кассационной инстанции
13 Января 2022
Овчинников Владимир
Овчинников Владимир
Адвокат АП Ставропольского края
О дополнительной гарантии независимости адвокатов
Производство по делам об административных правонарушениях
Статья КоАП об административном аресте нуждается в корректировке
11 Января 2022
Яремчук Анастасия
Яремчук Анастасия
Руководитель антимонопольной практики Rights Business Standard (RBS)
В Новый год – с «обновленным» Законом о контрактной системе
Арбитражное право и процесс
Что изменится с 1 января в антимонопольном регулировании
30 Декабря 2021
Ваюкин Василий
Ваюкин Василий
Адвокат АП г. Москвы, управляющий партнер компании Tax & Legal management
Новое в налогообложении
Налоговое право
Основные изменения налогового законодательства РФ, вступающие в действие в 2022 году
28 Декабря 2021
Сасов Константин
Сасов Константин
Адвокат, АБ «Пепеляев групп», к.ю.н.
Налоговое право против круговой налоговой поруки
Налоговое право
Как противостоять ответственности за чужие налоговые нарушения
28 Декабря 2021
Яндекс.Метрика