 | Максим Иванов Автор статьи Практикующий юрист с 1990 года |
Без режима «он-лайн» современную жизнь представить сложно. Мы делаем покупки в интернет-магазинах, пользуемся мобильными банкингом, делимся планами в соцсетях, берем дистанционные консультации у врачей. Нас очень волнует, кто и как может воспользоваться оставленными в сети персональными данными… Что предусмотрено для тех, кто несанкционированно распространяет нашу личную информацию?
Единственная работающая в России норма в этом направлении – статья 13.11 КоАП “Нарушение законодательства РФ в области персональных данных”. В редакции 2019 года она включает аж 7 возможных нарушений в области персональных данных. Но является ли она эффективной и соразмерной совершенному проступку? Создает ли необходимый эффект?
Цена вопроса
До середины 2017 года максимум, что грозило нарушителю по статье 13.11 КоАП, - 500 р. штрафа. Это, конечно, мало мотивировало потенциальных нарушителей на соблюдение закона.
С 1 июля 2017 года вступила в силу новая редакция статьи. Список нарушений, подотчетных статье, расширили до 7 штук. А максимальный штраф увеличили в 10 раз. По современной логике закона, именно такое наказание можно считать соразмерным нанесенному ущербу от разглашения персональных данных.
Итоговая дифференциация наказаний и ответственности за них по 13.11 КоАП выглядит так:
| Норма | Состав | Санкция |
| ч. 1 ст. 13.11 КоАП | - обработка персональных данных в случаях, не предусмотренных законом; - обработка, несовместимая с целями сбора персональных данных | предупреждение или штраф: - на граждан – от 1 тыс. до 3 тыс. руб.; - на должлиц – от 5 тыс. до 10 тыс. руб. - на юрлиц – от 30 тыс. до 50 тыс. руб. |
| ч. 2 ст. 13.11 КоАП | - обработка персональных данных без письменного согласия субъекта, когда это необходимо; - обработка данных с нарушением требований к составу сведений, включаемых в такое согласие | штраф: - на граждан – от 3 тыс. до 5 тыс. руб.; - на должлиц – от 10 тыс. до 20 тыс. руб.; - на юрлиц – от 15 тыс. до 75 тыс. руб. |
| ч. 3 ст. 13.11 КоАП | - невыполнение оператором обязанности по опубликованию и иному обеспечению неограниченного доступа к политике обработки персональных данных | - предупреждение или штраф: - на граждан – от 700 до 1 тыс. руб.; - на должлиц – от 3 тыс. до 6 тыс. руб.; - на ИП – от 5 тыс. до 10 тыс. руб.; - на юрлиц – от 15 тыс. до 30 тыс. руб. |
| ч. 4 ст. 13.11 КоАП | - невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных | - предупреждение или штраф: - на граждан – от 1 тыс. до 2 тыс. руб.; - на должлиц – от 4 тыс. до 6 тыс. руб.; - на ИП – от 10 тыс. до 15 тыс. руб.; - на юрлиц – от 20 тыс. до 40 тыс. руб. |
| ч. 5 ст. 13.11 КоАП | - невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении | - предупреждение или штраф: - на граждан – от 1 тыс. до 2 тыс. руб.; - на должлиц – от 4 тыс. до 10 тыс. руб.; - на ИП – от 10 тыс. до 20 тыс. руб.; - на юрлиц – от 25 тыс. до 45 тыс. руб. |
| ч. 6 ст. 13.11 КоАП | - невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них | штраф: - на граждан – от 700 до 2 тыс. руб.; - на должлиц – от 4 тыс. до 10 тыс. руб.; - на ИП – от 10 тыс. до 20 тыс. руб.; - на юрлиц – от 25 тыс. до 50 тыс. руб. |
| ч. 7 ст. 13.11 КоАП | - невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов. | штраф: - на граждан – от 100 до 300 руб.; - на должлиц – от 300 до 500 руб.; - на юрлиц – от 3 тыс. до 5 тыс. руб. |
Спасение утопающих - дело рук...
Цифровые сервисы заполонили наш быт. Это заставляет россиян внимательнее относиться к безопасности личных сведений. Тенденцию заметил Роскомнадзор в отчете за I полугодие 2019 года.
За отчетный период в РКН поступило 25,7 тыс. обращений от граждан. 22,5 тыс. из которых – жалобы на действия операторов персональных данных. Это на 44% больше, чем количество обращений за аналогичный период 2018 года (17,8 тыс. обращений). Такая динамика наблюдается уже не первое время. Согласно докладу о деятельности РКН за 2018 год, количество обращений выросло на 12,8% в сравнении с показателями 2017 года.
Но вряд ли такая активность граждан вызвана только последними изменениями в статье 13.11 КоАП. Главная “боль” пользователей - это навязчивые звонки с предложениями от компаний, которым они никогда не оставляли личные номера. “Толкать” свои услуги по телефону может кто угодно: банки, телемагазины, бьюти-салоны, мошенники… Откуда у них контакты - вопрос риторический.
Вспомните, когда последний раз вы изучали политику конфиденциальности используемых сайтов и мобильных приложений? То-то же! А ведь именно они, наряду с кредитными организациями и коллекторами, сталкиваются с обработкой ваших персональных данных. На это в докладе обращает внимание и Роскомнадзор.
Но подтверждать опасения никто не спешит. Даже если вы выявите нарушение использования своей личной информации, с высокой долей вероятности Роскомнадзор посчитает опасения преувеличенными.
В РКН лишь 7,6% от общего числа поданных в 2019 году жалоб отмечаются как справедливые – по ним составлены протоколы, назначено наказание. В остальных случаях доводы заявителей признаны необоснованными. Дела об административных правонарушениях возбуждены лишь по 1,7 тыс. жалоб из почти 26 тысяч обращений. Составлено 2,7 тыс. протоколов. Общая сумма штрафов составила 1,4 млн руб.
Есть перспективы
На основе данных мы рассчитали средний размер штрафа за первые 6 месяцев 2019 года: 1362200 руб. ÷ 2691 протокол = 506 руб. Явная несоразмерность этой суммы с допущенными нарушениями объяснима.
В подавляющем большинстве случаев Роскомнадзор назначает наказание в виде предупреждения, отказываясь от применения денежных взысканий к нарушителям.
И даже если к оператору применяется штраф, лишь в редких случаях его сумма превышает минимальный размер санкции.
Даже в максимальном размере штраф по ст. 13.11 КоАП едва ли станет мотиватором для операторов-нарушителей. Прибыль от продажи персональных данных куда больше, чем наказание. А потому ст. 13.11 КоАП, даже в новой редакции, сложно рассматривать как действительно эффективную норму закону. Особенно на фоне вступившего в силу Европейского регламента по защите персональных данных (GDPR).
Европейский регламент декларирует общий подход к защите личной информации, отраженный в российском Законе № 152 от 27.07.2006 «О персональных данных». Но выявить какие-либо пересечения GDPR и статьи 13.11 КоАП сложно. Ключевое отличие – это санкция. Размер штрафа для нарушителя зависит от конкретного нанесенного субъектам ущерба, а «потолок», согласно п. 5 ст. 83 GDPR, составляет до €20 млн либо 4% от общего годового оборота предприятия. Согласитесь, куда более серьезный аргумент.
На фоне таких космических штрафов российские законодатели уже предприняли попытки внесения изменений и в наш КоАП. В июне 2019 года в Госдуму внесен законопроект № 729516-7, которым статью 13.11 КоАП предлагается дополнить новым составом – операторов данных предлагается штрафовать за несоблюдение порядка систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения информации с серверов, размещенных на территории РФ. Штраф существенный. Для юрлиц он составит от 2 до 6 млн руб., а при повторном нарушении – от 6 до 18 млн руб.
Резюме
Один лишь размер штрафа проблему не решает. В российских условиях куда более важной представляется неотвратимость наказания для нарушителей. А как раз ее чиновники обеспечивать не спешат.
Снисхождение распространителям личной информации со стороны Роскомнадзора в совокупности со смешными штрафами дают операторам персональных данных картбланш. Ничто в масштабе не мешает продолжать торговать данными пользователей. И решить этот вопрос посредством внесения очередных правок в КоАП уже невозможно - кардинальных изменений требует политика конфиденциальности и методика работы надзорных органов.
 | Людмила Разумова Редактор Практикующий юрист с 2006 года |
