Звериный оскал цифровой экономики: ударим штрафами по разгильдяйству в сфере оборота персональных данных
Цитата дня: «Законы – это паутина, сквозь которую проходят большие мухи и ловятся маленькие». - Оноре де Бальзак
Внутренняя кухня законодателя при определении размеров штрафов за различные нарушения норм законодательства для меня всегда была загадкой. Каким высшим смыслом и идеями руководствуется депутат какого-нибудь важного комитета, предполагая, что штраф от трёхсот тысяч рублей и выше может стать эффективным стимулом для соблюдения, например, цифрового законодательства в парикмахерской или шаурмичной? При этом у многих из них, возможно, даже компьютера на балансе нет.
По своей работе я хорошо знаком с малым бизнесом, да я и сам малый бизнес. Заботы и проблемы малого бизнеса мне хорошо знакомы, и отношение к бизнесу со стороны нашего чиновничества тоже. Из своего шикарного кабинета строгий чиновник на страже государевых интересов привык считать мелкого предпринимателя плутом и ловчилой, который о том и думает, как бы обмануть казну и обогатиться за ее счет. Увы, эту исторически сложившуюся традицию отношения государевых людей и тягловому народу не смогла искоренить даже социалистическая революция, не искоренила ее и революция цифровая.
В общем, пока лавочники, кто помельче, кто побогаче, морщит лоб над своими книгами амбарными, да думами как бы зарплату все раздать, да налоги уплатить, идет беда откуда и ожидалось. Новые штрафы от законодателя способны выгнать из бизнеса особо упертых «охотников за наживой».
При этом, хочу отметить, что с оборотом персональных данных у нас творится что-то совсем невообразимое и гуляют эти данные в просторах интернета без всяких санкций и разрешений своих владельцев на радость жуликов и мошенников всех мастей. Допустим, с этим надо бороться и немедленно. Ну вот и придумали как.
Кстати, если кто-то думает, что такая тонкая сфера общественной жизни, как оборот персональных данных, его не касается, то это первое заблуждение, которое необходимо немедленно развеять.
В соответствии со ст. 3 Закона «О персональных данных» - персональные данные - любая информация, относящаяся прямо или косвенно к конкретному физическому лицу (субъекту персональных данных).
Это могут быть фамилия, имя, отчество, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Другими словами, охранник, записывающий ваши паспортные данные, для пропуска вас, скажем в офисный центр, осуществляет вполне себе обработку персональных данных. Либо, когда вы заключаете договор на покраску забора с работником сельского фриланса, записываете его данные в договор или просто выдаёте ему оплату под расписку – вы тоже оператор обработки персональных данных, поздравляю. Ну и понятно, вы оператор, если вы формируете базу данных клиентов, нанимаете сотрудников и выполняете более сложные манипуляции. Так вот, теперь вы обязаны сообщить о своем интересном занятии в Роскомнадзор.
Если нет, то с 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных составят (ч.10 ст.13.11 КоАП РФ):
от 5 000 до 10 000 рублей – для физлиц
от 30 000 до 50 000 рублей – для должностных лиц организаций
от 100 000 до 300 000 рублей – для ИП
от 100 000 до 300 000 рублей – для организаций
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
Дальше больше. Теперь вы обязаны следить и охранять доверенные вам персональные данные, как зеницу ока. Утечка персональных данных, по дурости (например, несанкционированные предоставление ПД, содержащимся в договорах, третьим лицам) или по чьему-то умыслу злому, типа хакерского взлома, карается жестоко.
Устанавливается штраф - 3% от оборота компании, максимальная сумма до 500 млн. рублей.
При этом, вы конечно-же обязаны сразу уведомить об утечке Роскомнадзор. За несвоевременное уведомление Роскомнадзора об утечке персональных данных предусмотрена административная ответственность:
- для физических лиц - от 50 000 до 100 000 рублей,
- для должностных лиц организаций - от 400 000 до 800 000 рублей,
- для индивидуальных предпринимателей и компаний - от 1 до 3 миллионов рублей.
При этом уведомление о факте утечки необходимо направить в Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а затем в течение 72 часов предоставить повторное уведомление с результатами расследования.
Предусмотрены смягчающие обстоятельства, которые смогут снизить штраф, но реализовать их можно только в следующих случаях:
- если ранее и не менее трех лет компания вносила свой вклад в развитие сертифицированных проектов направленных на защиту конфиденциальных данных или по шифрованию, в размере не менее 0,1% от своего оборота;
- если компания способна доказать, что все требования направленные на защиту персональных данных соблюдались;
- если компания использует лишь сертифицированные решения.
Кто скажет, что у нас прибавится желающих создавать рабочие места и вступать на поистине самурайский путь российского предпринимателя – пусть первый бросит в меня камень. Не отрицая необходимость наводить порядок в данной сфере, на мой взгляд, штраф по административному делу, по заявлению, которое легко направить в Роскомнадзор, в размере от миллиона до трех, способен разорить 80 из 100 субъектов малого бизнеса. Разумеется, это сокращение рабочих мести и налогов в бюджет. А потом кто-то вспомнит слова уважаемого мною В.С. Черномырдина: «Хотели как лучше, получилось как всегда».
Думаю, что ужесточение внутренне санкционного законодательства — это суровая необходимость сегодняшнего дня, требующая тонкой настройки при правоприменении, когда конкурентный судья будет решать – казнить или помиловать стоящего перед ним предпринимателя.
В общем и целом, учитывая, что бизнес будет вынужден теперь потратиться на сертифицированные системы безопасности персональных данных и другие необходимые вещи, что скажется на рентабельности производства, ожидаем повышения цен и прекращения звонков от мошенников, алчущих нашего злата. Ну и надеемся на лучшее!