Самый популярный вопрос, с которым обращаются в наше агентство в последние месяцы по поводу ФЗ-152: «А что нам будет за то, что мы ничего по защите персональных данных делать не будем?». Этот же вопрос, прослушав курсы , задают слушатели, прикинувшие на себя объем работы по выполнению закона. Он же чаще всего звучит и после публичных выступлений на различных конференциях, форумах, вебинарах и т.п. Просто эпидемия.
Похоже, в головах большинства сложилось четкое представление о мизерности штрафов по сравнению со стоимостью проектирования и технической реализации защитных мер, невозможности проверяющих хоть как-то повлиять на деятельность оператора персональных данных и привычное российское «Заплатим – и отстанут».
Это нередко действительно так, но не совсем.
Если мы полистаем разделы публичных докладов Роскомнадзора о деятельности в области персональных данных за последние пару лет, то увидим, что для привлечения операторов к ответственности применяются фактически всего две статьи КоАП: 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и 14.7 «Непредставление сведений (информации)». Максимальные наказания по ним действительно небольшие – для должностных лиц по 13.11 – 1 тысяча руб., для юридических лиц – 10 тысяч, по 19.7 и вовсе до 500 руб. для должностных лиц и до 5 тысяч руб. для юрлиц. Стоимость самого скромного проекта по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже. Да и постановление по делу об административном правонарушении должно быть вынесено в течение не более чем двух месяцев с момента выявления нарушения.
Но это взгляд поверхностный. А если копнуть поглубже, риски оператора уже не выглядят такими незначительными. И вытекают они из самой системы государственного контроля и надзора, установленной другим законом, ФЗ-294. Ст.17 данного закона предусматривает, что при выявлении проверяющими-надзирающими нарушений обязательных требований они обязаны выдать предписание об их устранении с указанием сроков и принять меры по контролю за устранением выявленных нарушений, их предупреждению, а также меры по привлечению виновных лиц к ответственности. Обязаны!
И если оператор требования предписания не выполнил, вступают в действие другие статьи КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор» (штраф уже до 20 тысяч), 19.6 «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения», 19.4 «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор». А выполнить предписание иногда не просто сложно, а фактически невозможно, тем более, что для его реализации предоставляется небольшой срок, как правило – не более 1 месяца.
В качестве примера – реальная ситуация. Оператор связи (несколько миллионов абонентов) передал работу по выставлению счетов за услуги клиентам и сбору платежей в дочерние организации-самостоятельные юрлица. Прокуратура совместно с Роскомнадзором выявили нарушение – предоставление персональных данных субъектов третьим лицам без их согласия и потребовали в месячный срок нарушение устранить. А теперь прикиньте, что это значит – либо свернуть сеть сервисных центров и вернуть бизнес в головную компанию (с ликвидацией юрлиц и передачей дел-прав), либо получить подтверждаемое согласие у миллионов людей на огромной территории. За месяц. Не удастся выполнить – оператора не можно, а надо снова штрафовать!
Для руководящего состава операторов-юрлиц предусмотрено и такое наказание, как дисквалификация, т.е. лишение права занимать должности в исполнительном органе управления юридического лица, входить в совет директоров (наблюдательный совет). Дисквалификация устанавливается на срок от шести месяцев до трех лет и может быть применена к лицам, осуществляющим организационно-распорядительные или административно-хозяйственные функции в органе юридического лица, к членам совета директоров (наблюдательного совета).
Реальная ситуация, имевшая место в жизни – дисквалификация по ст.5.27 «Нарушение законодательства о труде и об охране труда» должностного лица, ранее подвергнутого административному наказанию за аналогичное административное правонарушение. Не выполнено на предприятии требование п.8 ст.88 Трудового кодекса о наличии и доведении под роспись до работников документов, устанавливающих порядок обработки персональных данных работников, а также их правах и обязанностях в этой области – пожалуйста, штраф до 5 тысяч рублей на руководителя (можно и всего тысячу, чтобы не сильно пугались) и предписание устранить нарушение в месячный срок. А за месяц и разработать, и довести документ до большого трудового коллектива ой как сложно. Кто-то в отпуске, кто-то учится, кто-то болен. Внеплановая проверка через месяц в рамках надзора за устранением выявленных нарушений – дисквалификация первого лица, ранее оштрафованного за аналогичное нарушение.
Наконец, хотя никакой возможности административной приостановки деятельности оператора за нарушения, связанные с персональными данными, кодекс не предусматривает, за исключением случаев (внимание!) если оператор является лицензиатом ФСТЭК или ФСБ и при этом грубо нарушает лицензионные условия (ч.5 ст.13.12 «Нарушение правил защиты информации»). А вот за нарушение трудового законодательства (помним о главе 14 Трудового кодекса!) вполне можно, по упоминавшейся выше ч.1 ст.5.27 КоАП, на срок до 90 суток.
Отдельная проблема – выполнение требований по защите персональных данных, в том числе в части использования несертифицированных средств. Но об этом – как-нибудь в другой раз.
А на сегодня мой рецепт простой: просчитайте риски – для своей организации, для себя лично с учетом занимаемой позиции и степени ответственности и принимайте решения: ждать или действовать.
