8 февраля 2017 г.

Закон об изменениях в КоАП об административных нарушениях в области персональных данных подписан: возможные последствия

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».
Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.
Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.
Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.
Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.
Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.  
Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016 прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».
Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.
Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.
Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.
Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.

4 комментария:

  1. "А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает."

    А что значит список контрагентов? Демократичный в Москве РКН :) У нас уже несколько лет не разрешают так баловаться. Требуют для каждого случая передачи показать все пункты из ч.4 статьи 9. При этом, вовсе необязательно делать несколько согласий. Если заранее известны все случаи передачи, то можно делать и одну бумажку. Просто нужно грамотно ее составлять. Она будет массивная, но одна.

    ОтветитьУдалить
  2. УРКН по ЦФО требует именно отдельного согласия в письменной форме для каждой цели и для каждой организации, которой передаются персональные данные. Большие и массивные бумажки с несколькими случаями передачи теперь не принимаются. Иникакой демократии. Это привлеченный к ответственности оператор вместо согласий в отношении конкретных организаций сделал на портале перечень, на который дана ссылка в согласии. Ни РКН, ни суды с таким подходом не согласились.

    ОтветитьУдалить
    Ответы
    1. "Большие и массивные бумажки с несколькими случаями передачи теперь не принимаются." Если в согласии написать данные субъекта (фио, паспорт и тд), данные оператора, а дальше через запятую перечислены случаи передачи и для каждого случая своя цель, свой перечень, третье лицо, способы обработки, отзыва и пр., потом внизу подпись и дату - то чем они обоснуют, что я нарушил часть 4 статьи 9? на какую они норму будут ссылаться, если в каждом случае будет отдельно все прописано? Фактически, общие будут только данные субъекта и его подпись... Я просто не вижу нормы, которую я нарушу...
      "Это привлеченный к ответственности оператор вместо согласий в отношении конкретных организаций сделал на портале перечень, на который дана ссылка в согласии." Если это в отношении работников, то РКН безусловно прав. А если нет, то можно поругаться...

      Почитал решение по "скартелу". В принципе, все по делу. Пункт 1 Предписания не совсем корректен. РКН требует на сайте сделать форму для галочки, а на их сайте в рубрике "Вопрос-Ответ" написано, что согласие в интернете может быть только подписано ЭЦП. Сами себе противоречат. И зачем там вообще согласие, если можно сделать оферту на сайте?!)
      Пункты 8 и 9 предписания тоже спорные. Суд требует ПИСЬМЕННОЕ согласие абонента на поручение третьему лицу, хотя ни часть 3 статьи 6, ни другие нормы ФЗ не требуют в этом случае согласия по форме части 4. Даже в ФЗ о связи говорится просто о согласии, но не о письменном.Это же не работники.
      Похоже на случай с БКИ, когда в законе "о кредитных историях" сказано что получать сведения можно с согласия субъекта истории, но не сказано, что с письменного. И сам РКН банки не трогает. Так что по 8 и 9 тоже спорно. Но тяжело говорить, не зная ситуации подробнее.

      Удалить
    2. Вообще, вся это вошкотня с формами согласий ужасна(
      Вроде же есть согласие. И даже не сильно размытое. Дайте людям спокойно работать... Но нет же..

      Удалить