Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных) был внесен Правительством РФ в декабре 2014 г.
Как отмечали авторы законопроекта при внесении его в Госдуму, он направлен на оптимизацию и повышение эффективности контрольно-надзорных функций, повышение эффективности реализации мер административной ответственности в области персональных данных, обеспечение защиты прав субъектов персональных данных.
По их мнению, действующая редакция ст. 13.11 КоАП РФ не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных, соблюдение принципа неотвратимости наказания за совершенное правонарушение, кроме того, ее состав не учитывает тяжесть негативных последствий совершенных правонарушений.
Принятый закон расширяет имеющуюся статью подробными составами административных правонарушений, которые предусматривают ответственность за невыполнение оператором конкретных обязанностей, предусмотренных законодательством России в области персональных данных.
Авторы отмечают, что увеличение штрафов за совершение правонарушений по указанной статье КоАП РФ с учетом их последствий является необходимым элементом приведения размера ответственности за нарушение в области защиты персональных данных к общеевропейским нормам.
Согласно принятым поправкам такие правонарушения будут влечь за собой предупреждение или наложение административного штрафа на граждан в размере от 700 руб. до 5 тыс. руб., на должностных лиц – от 3 тыс. руб. до 20 тыс. руб., на индивидуальных предпринимателей – от 5 тыс. руб. до 20 тыс. руб., на юридических лиц – от 15 тыс. руб. до 75 тыс. руб.
Ведущий советник Комитета Госдумы по государственному строительству и законодательству Андрей Федосенко в конце прошлого года отмечал, что до настоящего времени недостаточно эффективно применялись меры, предполагающие административную ответственность за нарушение законодательства в сфере защиты персональных данных. «Состав правонарушения был прописан ”вслепую” – была общая бланкетная норма, которая не делала различий между видами нарушений, и была [предусмотрена] далеко не самая чувствительная санкция», – указывал он.
Прокомментировать принятый Госдумой закон «АГ» попросила руководителя практики по интеллектуальной собственности и информационным технологиям АБ «Качкин и Партнеры» Екатерину Смирнову и адвоката Николая Гречкина.
Отвечая на вопрос о целесообразности установления дополнительных составов и усиления ответственности, Екатерина Смирнова высказала мнение, что установленные на сегодняшний день санкции в отношении нарушения порядка сбора, хранения, использования или распространения персональных данных являются явно заниженными и не выполняющими функции предупреждения нарушений. В этой связи многие участники отношений по обработке персональных данных игнорируют законодательные требования, в частности не получают письменного согласия лица в установленной форме в случаях, когда это требуется; не размещают политику по обработке персональных данных; используют персональные данные не в соответствии с целями их обработки.
«Установление в законопроекте дифференцированных составов правонарушений в области обработки персональных данных и соответствующих тяжести правонарушений размеров ответственности представляется вполне оправданным шагом, направленным на защиту личных неимущественных прав граждан в эпоху информационных технологий, – подчеркнула Екатерина Смирнова. – Так, например, логично, что за нарушение порядка обработки специальных категорий персональных данных, или, как их еще называют, sensitive data, (например, сведения о расовой принадлежности, политических взглядах), на которые требуется письменное согласие, предусмотрена большая ответственность, чем в отношении обычных персональных данных (например, имя и дата рождения)».
Она считает, что усиление ответственности за нарушение правил обработки персональных данных должно стать стимулом для того, чтобы операторы, игнорирующие требования законодательства, стали предпринимать меры, направленные на соблюдение порядка обработки персональных данных. С другой стороны, полагает эксперт, существующая в законе формулировка понятия «персональные данные» весьма расплывчата и позволяет отнести к таким данным любую информацию, с помощью которой прямо или косвенно возможно идентифицировать лицо. Соответственно, не всегда ясно, относятся ли те или иные обрабатываемые данные к категории персональных. «В связи с увеличением размера ответственности для многих операторов, ранее расценивающих риски привлечения к ответственности как малозначительные, ситуация может поменяться», – отметила Екатерина Смирнова.
Адвокат Николай Гречкин также считает целесообразным принятие нового закона, вводящего порядка восьми новых составов, за которые определенные субъекты могут быть привлечены к ответственности в рамках неправомерного использования информации, относящейся к персональным данным.
«На дворе ХXI век, технологии развиваются, а в КоАП РФ, который устанавливает ответственность за нарушение порядка хранения, сбора и использования персональных данных, на сегодня состав всего один, – отмечает адвокат. – С развитием информационных технологий увеличивается количество операторов, следовательно, разрастаются правоотношения, связанные с персональными данными. Таким образом, увеличение количества составов – актуальная и необходимая вещь, может быть, практически единственная мера воздействия на субъекты, которые нарушают требования защиты персональных данных».
Николай Гречкин сообщил, что на практике часто встречаются ситуации, когда персональные данные граждан, во-первых, получают незаконным образом, во-вторых, используют в коммерческих целях. «Операторы собирают данные с граждан (иногда законным способом, иногда нет) и объединяют их в базы данных, которые уже имеют коммерческую ценность», – объяснил он.
Актуальность усиления ответственности эксперт объясняет также тем, что действующая редакция КоАП РФ возлагает на юридических лиц ответственность до 10 тыс. руб., что для них, по сути, не является мерой воздействия. «Операторов таким образом не заставишь вводить меры по охране и обработке персональных данных», – считает эксперт.
Называя новый закон верным шагом законодателя, эксперт в то же время отмечает, что введенных им мер недостаточно. «Законодатель немного отстает от темпов развития информационных технологий. Людям трудно защищать свои права в споре с операторами, которые могут делать с персональными данными практически что угодно. А процедура обращения лица с заявлением о нарушении своих персональных данных довольно затянутая», – подчеркивает Николай Гречкин.
