Желаю, чтобы мне за это ничего не было

Самый популярный вопрос, с которым обращаются в наше агентство в последние месяцы по поводу ФЗ-152: «А что нам будет за то, что мы ничего по защите персональных разрешённых делать не будем?». Этот же вопрос, прослушав курсы, задают слушатели, прикинувшие на себя объем работы по исполнению закона. Он же значительно чаще звучит и после публичных выступлений на разных конференциях, форумах, вебинарах и т.п. Просто эпидемия.
Похоже, в головах большинства сложилось четкое представление о мизерности штрафов по сравнению со ценой проектирования и технической реализации защитных мер, невозможности проверяющих хоть как-то воздействовать на деятельность оператора персональных данных и привычное российское «Заплатим – и отстанут».
Это часто вправду так, но не совсем.
В случае если мы полистаем разделы публичных докладов Роскомнадзора о деятельности в области персональных данных за последние пару лет, то заметим, что для привлечения операторов к ответственности используются практически всего две статьи КоАП: 13.11 «Нарушение установленного законом порядка сбора, хранения, применения либо распространения информации о гражданах (персональных данных)» и 14.7 «Непредставление сведений (информации)». Большие наказания по ним вправду маленькие – для чиновников по 13.11 – 1 тысяча руб., для юрлиц – 10 тысяч, по 19.7 и вовсе до 500 руб. для чиновников и до 5 тысяч руб. для юрлиц. Цена самого скромного проекта по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже. Да и распоряжение по делу об административном правонарушении должно быть вынесено в течение не более чем двух месяцев с момента обнаружения нарушения.
Но это взор поверхностный. А вдруг копнуть поглубже, риски оператора уже не выглядят такими малыми. И вытекают они из самой системы государственного контроля и надзора, установленной другим законом, ФЗ-294. Ст.17 данного закона предусматривает, что при выявлении проверяющими-надзирающими нарушений обязательных требований они обязаны выдать предписание об их устранении с указанием сроков и принять меры по контролю за устранением распознанных нарушений, их предупреждению, и меры по привлечению виновных лиц к ответственности. Обязаны!
И в случае если оператор требования предписания не выполнил, вступают в воздействие другие статьи КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор» (штраф уже до 20 тысяч), 19.6 «Непринятие мер по устранению причин и условий, содействовавших совершению административного правонарушения», 19.4 «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор». А выполнить предписание время от времени не просто сложно, а практически нереально, тем более, что для его реализации предоставляется небольшой срок, в большинстве случаев – не более 1 месяца.
Как пример – настоящая обстановка. Оператор связи (пару миллионов абонентов) передал работу по выставлению счетов за услуги клиентам и сбору платежей в дочерние организации-независимые юрлица. Прокуратура совместно с Роскомнадзором распознали нарушение – предоставление персональных данных субъектов третьим лицам без их согласия и «настойчиво попросили» в месячный срок нарушение устранить. А сейчас прикиньте, что это значит – или свернуть сеть сервисных центров и вернуть бизнес в головную компанию (с ликвидацией юрлиц и передачей дел-прав), или получить подтверждаемое согласие у миллионов людей на огромной территории. За месяц. Не удастся выполнить – оператора не возможно, а нужно опять штрафовать!
Для руководящего состава операторов-юрлиц предусмотрено и такое наказание, как дисквалификация, т.е. лишение права занимать должности в аккуратном органе управления юрлица, входить в совет директоров (наблюдательный совет). Дисквалификация устанавливается на срок от шести месяцев до трех лет и может быть применена к лицам, осуществляющим организационно-распорядительные либо административно-хозяйственные функции в органе юрлица, к членам правления (наблюдательного совета).
Настоящая обстановка, имевшая место в жизни – дисквалификация по ст.5.27 «Нарушение законодательства о труде и об охране труда» должностного лица, ранее подвергнутого административному наказанию за аналогичное административное правонарушение. Не выполнено на предприятии требование п.8 ст.88 Трудового кодекса о наличии и доведении под роспись до работников документов, устанавливающих порядок обработки персональных данных работников, и их правах и обязанностях в этой области – пожалуйста, штраф до 5 тысяч рублей на начальника (возможно и всего тысячу, чтобы не очень сильно пугались) и предписание устранить нарушение в месячный срок. А за месяц и создать, и довести документ до многочисленного трудового коллектива ой как сложно. Кто-то в отпуске, кто-то обучается, кто-то болен. Внеплановая проверка через месяц в рамках надзора за устранением распознанных нарушений – дисквалификация первого лица, ранее оштрафованного за аналогичное нарушение.
Наконец, не смотря на то, что никакой возможности административной приостановки деятельности оператора за нарушения, связанные с персональными данными, кодекс не предусматривает, за исключением случаев (внимание!) в случае если оператор является лицензиатом ФСТЭК либо ФСБ и наряду с этим грубо нарушает лицензионные условия (ч.5 ст.13.12 «Нарушение правил защиты информации»). А вот за нарушение трудового законодательства (не забываем о главе 14 Трудового кодекса!) в полной мере возможно, по упоминавшейся выше ч.1 ст.5.27 КоАП, на срок до 90 дней.
Отдельная неприятность – исполнение требований по защите персональных данных, в частности в части применения несертифицированных средств. Но об этом – как-нибудь в другой раз.
А на сегодня мой рецепт простой: просчитайте риски – для своей организации, для себя лично с учетом занимаемой позиции и степени ответственности и принимайте решения: ожидать либо функционировать.

Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *