Ужесточение санкций за нарушение законодательства о персональных данных

Государственная дума Российской Федерации в третьем чтении одобрила законопроект об усилении ответственности за нарушение положений Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. По итогам заседания, которое состоялось 27 января 2017 года, за законопроект проголосовали 422 депутата. В случае одобрения проекта верхней палатой парламента и его подписания Президентом поправки вступят в силу через полгода, то есть 1 июля 2017 года.
В пояснительно записке к законопроекту его авторы указывают на то, что существующая редакция КоАП не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных, соблюдение принципа неотвратимости наказания за совершенное правонарушение в области персональных данных. Кроме того, ими отмечается необходимость учитывать интенсивное развитие информационно-коммуникационных технологий, из-за которого увеличивается объем и масштаб правонарушений в области персональных данных.
Одним из ключевых изменений, предусмотренных рассматриваемым законопроектом, стало значительное расширение статьи 13.11 КоАП. Так, проектом предусмотрено семь различных составов правонарушений. Каждый состав регламентирует ответственность за невыполнение оператором персональных данных отдельных обязанностей. Основой дифференциации составов, как указано в пояснительной записке, является ущерб, причиненный нарушением. Так, в соответствии с новой редакцией, выделяются следующие составы правонарушений:
- обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных;
- обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в письменное согласие субъекта персональных данных;
- невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
- невыполнение оператором предусмотренной законодательством Российской Федерации обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных;
- невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния;
- невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
Самая строгая ответственность установлена за обработку персональных данных без получения письменного согласия субъекта персональных данных или с нарушением требований к его содержанию. Максимальный штраф для должностных лиц может достигать 25 000 рублей, а для организаций – 75 000 рублей. Авторы проекта закона отмечают, что увеличение размера административных штрафов за совершение административных правонарушений по статье 13.11 КоАП РФ с учетом их последствий, является необходимым элементом приведения размера ответственности за нарушение в области защиты персональных данных к общеевропейским нормам.
Основные вопросы вызывает отсутствие в законопроекте общего состава административного правонарушения. Так, не совсем ясно, в рамках какого из составов будут привлекаться к ответственности лица, нарушающие правила защиты персональных данных при их автоматизированной обработке или не соблюдающие требования в рамках «локализации» персональных данных российских граждан.
Вряд ли надзорные органы будут готовы простить операторам персональных данных нарушения требований закона, прямо не указанные в новой редакции статьи 13.11 КоАП. В связи с этим события могут развиваться двумя путями: либо надзорные органы пойдут по пути расширительного толкования отдельных составов (например, вольно интерпретируя понятие «обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации»), либо в будущем статье 13.11 КоАП придется претерпеть дополнительные корректировки.