Ну что ж, рассмотрим очередную попытку Роскомнадзора усилить ответственность операторов за нарушение обработки ПДн.
Новый разрабатывал сам Роскомнадзор. Сразу бросается в глаза неверная нумерация пунктов, но не суть, главное – это содержание
. Коротко содержание можно изложить следующим образом:Статья 13.11. Невыполнение оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
- За факт невыполнения обязанностей штраф до 30тыс. руб.
- За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия до 50 тыс. руб.
- За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка повлекла причинение вреда жизни/здоровью 1,5% совокупного дохода за год, но не менее 500 тыс. руб.
- За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка происходит с целью извлечения дохода 2% совокупного дохода за год, но не менее 600 тыс. руб.
- За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс нарушение совершено повторно 2% совокупного дохода за год, но не менее 700 тыс. руб.
- Обработка в случаях, не предусмотренных законом 1,5% совокупного дохода за год, но не менее 400 тыс. руб.
- Обработка в случаях, не предусмотренных законом, плюс обработка повлекла причинение вреда жизни/здоровью 2% совокупного дохода за год, но не менее 500 тыс. руб.
- Обработка в случаях, не предусмотренных законом, плюс нарушение совершено повторно 2% совокупного дохода за год, но не менее 700 тыс. руб.
- За факт несоблюдение условий трансграничной передач до 30тыс. руб.
- За факт несоблюдение условий трансграничной передачи, повлекший неправомерный доступ к ПДн 1,5% совокупного дохода за год, но не менее 500 тыс. руб.
- За факт несоблюдение условий трансграничной передачи, плюс нарушение совершено повторно 2% совокупного дохода за год, но не менее 700 тыс. руб.
1) Мы снова наказываем за факт нарушения требований. А зачем? Необходимо наказывать за ущерб. Каждый оператор должен иметь право самостоятельно решать, как и какие ПДн ему обрабатывать, НО если своими действиями/бездействием он нанесет ущерб конкретным субъектам, должен включиться регуляционный механизм, по которому оператору будет дана возможность решить конфликт напрямую с субъектом/субъектами еще до привлечения регулятора и судебных инстанций. В нашей же нормативке нет места пострадавшему субъекту, конфликт решает оператор и регулятор. А субъект не получает компенсации. Хотя именно его интересы должны стоять во главе угла.
2) Дальше, про штрафы. Почему 1,5-2% от дохода? Давайте сделаем 20%! Откуда вообще взялась эта сумма? Представим себе отделение Сбербанка в Нарьян-Маре, предположим Роскомнадзор смог доказать, что согласие с одного из местных жителей на обработку получено не было. И что, появилось основание штрафовать Сбербанк на 1,5% с дохода по ст.13.11.1? А это, между прочим, по группе Сбербанк 5,25 млрд.рублей. Понятно, что штраф будет считаться не по группе, а конкретному юр.лицу, но суть дела не меняется, это в любом случае фантастическая сумма. И что интересно, житель Нарьян-Мара ничего с этих денег не получит
.3) Теперь, про конфиденциальность. Давайте, наконец, введем ответственность за факт сокрытия инцидентов, связанных с утечками. Мы стремимся к «международному уровню», так что ж столь избирательно? Именно обязанность раскрытия информации об утечках и неотвратимость наказания за их сокрытие, обеспечивает конфиденциальность ПДн в мире.
Понятно, что текущие поправки проистекают от «пациента» под именем «Закон «О персональных данных»» и первым делом нужно «лечить» его. Но при любом раскладе мой отзыв о проекте – негативный, хотя идею об усилении ответственности за нарушение закона я полностью разделяю.
