Мы продолжаем серию статей о новом КоАП, который находится на общественном обсуждении. Мы уже писали об ответственности за отказ от прививок по новому КоАП. Сегодня разберем тему об ответственности за утечку персональных данных.
Новое о персональных данных в КоАП
В проекте нового КоАП в главу об административных правонарушениях в области сбора, обработки, распространения и защиты информации вынесли в новую главу 33. В действующем КоАП аналогичные статьи содержаться в главе 13 - административные нарушения в области связи и информации.
В статью «Нарушение законодательства Российской Федерации в области персональных данных» (в проекте нового КоАП это статья 33.1) внесен новый пункт 6, который гласит, что невыполнение обязанности по соблюдению конфиденциальности персональных данных влечет наложение административного штрафа:
❌ на граждан в размере от 10 000 до 20 000 рублей;
❌ на должностных лиц - от 40 000 до 100 000 рублей;
❌ на ИП - от 100 000 до 300 000 рублей;
❌ на юридических лиц - от 300 000 до 500 000 рублей.
Такого положения в действующем КоАП нет.
Этот новый пункт в полной мере соответствует статье 7 Закона о персональных данных, которая установила, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Это и называется - конфиденциальность персональных данных. Ключевой аспект, что за нарушение конфиденциальности персональных данных отвечают не только операторы, но и иные лица, получившие в силу каких-либо причин доступ к персональным данным.
На наш взгляд, по новой норме КоАП можно будет привлечь к ответственности виновных в такой ситуации. Налоговый орган, который регистрирует юридические лица и ИП, часто после регистрации передает номер телефона учредителя фирмы банкам, которые чуть ли не в сам день регистрации начинают названивать и предлагать свои банковские услуги. Часто учредитель узнаёт о свершившемся факте регистрации именно по этому признаку. Теперь за нарушение конфиденциальности ответит не только инспекция (в лице руководителя), как оператор, но и конкретный служащий.
Часто также распространением данных грешат сами банки. В качестве примера Российская Газета приводит такой случай: банки отказываются удалять из дел граждан некоторые данные, в том числе номера телефонов, даже после многократных настойчивых требований. Человек много раз мог сменить номер, а в базе данных гражданина все равно будет значиться давно забытый телефон. Например, один из банков внес в досье телефон жены клиента и по собственной инициативе стал сбрасывать ей SMS о пришедшей на его карту зарплате. Это было сделано в рамках бесплатной акции по продвижению своих услуг. В ответ на претензии гражданина банкиры обещали исправить, но номер так и не удалили, продолжая время от времени радовать жену гражданина ценной информацией. Такие действия тоже попадают под КоАП, в том числе под понятие утечки данных.
Банки и крупные компании, оперирующие большими объемами персональных данных, выступают против нововведения. Они называют инициативу лишней, ведь сейчас и так обеспечивается высокий уровень безопасности и принимаются все меры по защите данных клиентов. (Ага. Ну почти. Не всегда, конечно. Ну, в общем, вы поняли.)
При этом увеличение штрафов, скорее всего, скажется в основном на малом бизнесе, поскольку размер штрафа по новой норме сопоставим с оборотами малых компаний, а для крупного бизнеса не станет ощутимым ударом.
Обезличивание персональных данных
Дополнительно отметим, что в новом КоАП пункт 8 статьи 33.1 соответствует пункту 7 статьи 13.11 действующего КоАП. Однако, по сравнению с действующим положением существует одно существенное отличие.
В действующем КоАП норма гласит, что невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 3 000 до 6 000 рублей.
Из нового КоАП исключили специального субъекта. Теперь эта норма распространяется на всех операторов персональных данных, то есть и на организации, и на ИП, и на государственные органы и т.д. Размер штрафа не изменили. Считаем, что эта норма будет актуальна, например, при готовящемся в Москве эксперименте по внедрению искусственного интеллекта, который как раз и, предполагается, будет работать с обезличенными данными. А обезличивать их будут участники эксперимента, среди которых и частные компании, и даже ИП. Об эксперименте подробнее можно почитать тут.
Подписывайтесь на нас, а также на наши социальные сети (ссылки в шапке профиля), делитесь комментариями.