Решить проблему с утечкой персональных данных законодатель решил с помощью ужесточения административных штрафов. На днях в Госдуму поступил законопроект № 502104-8 с дополнением ст. 13.11 КоАП РФ новыми составами административных правонарушений и пересмотром действующих размеров штрафов. Основной вопрос, который возникает у бизнеса, — несоразмерность оборотных штрафов нарушению. «ЭЖ-Юрист» попросил экспертов оценить предлагаемые изменения.
Ужесточить нельзя смягчить: новый законопроект об оборотных штрафах за утечку данных внесен в Госдуму
Комментарий эксперта
Основная проблема и опасность утечек заключается в неконтролируемом распространении данных, практической невозможности их удалить из интернета и потенциальном использовании таких данных злоумышленниками. В свою очередь, существующие штрафы не стимулируют компании инвестировать в защиту персональных данных. Предлагаемые штрафы призваны изменить ситуацию, оказать превентивное воздействие на операторов, чтобы уменьшить количество утечек.
Более года инициатива анализировалась регуляторами, депутатами и представителями бизнеса. После обсуждения и поиска компромиссов законопроект внесен в Госдуму РФ. Он предлагает дополнить ст. 13.11 КоАП РФ частями 10—17 (см. таблицу).
Несмотря на долгую работу над законопроектом, участники рынка и некоторые чиновники все еще отмечают отсутствие детальной его проработанности и смягчающих обстоятельств для операторов данных.
Между тем в законопроекте не учтен ряд обстоятельств:
-
безусловно, обстоятельства утечки должны быть одним из определяющих критериев для назначения штрафа, однако обеспечить 100%-ную безопасность инфраструктуры практически невозможно. Кроме того, все еще возможны утечки в связи с «физическими» действиями злоумышленников. Таким образом, необходимо дифференцировать ответственность в зависимости от вины оператора;
-
необходимо помнить, что операторами являются не только корпорации, банки, страховщики и иные компании, собирающие большие массивы данных, но и малый бизнес. Текущие нижние границы штрафов могут непропорционально влиять на малый бизнес;
-
предложенная версия проекта исключает для госорганов ответственность за утечки, хотя они могут иметь довольно чувствительные данные, а также часто являются целью кибератак;
-
необходима проработка смягчающих обстоятельств для определения штрафа. Это и степень вины за утечку, и действия оператора после утечки, например информирование субъектов персональных данных, активные действия по нейтрализации потенциальных рисков, открытость в действиях в связи с утечкой;
-
необходимо мотивировать операторов к максимальной прозрачности в случае утечек. В обратном случае будет популярной позиция по умалчиванию факта утечки до тех пор, пока информация не станет публичной.
По нашему мнению, законопроект нуждается в доработке. Однако, учитывая повышенный интерес государства к защите персональных данных, не исключаем, что он может быть принят в текущей редакции.
Нарушение |
Ответственность для компаний |
Неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных |
100—300 тыс. руб. |
Неуведомление или несвоевременное уведомление Роскомнадзора об утечке (неправомерной передаче) персональных данных, повлекшее нарушение прав субъектов |
1—3 млн руб. |
Утечка: персональных данных 1—10 тыс. субъектов; и/или 10—100 тыс. идентификаторов, необходимых для определения субъектов |
3—5 млн руб. |
Утечка: персональных данных 10—100 тыс. субъектов; и/или 100 тыс. — 1 млн идентификаторов, необходимых для определения субъектов |
5—10 млн руб. |
Утечка: персональных данных более 100 тыс. субъектов; и/или более 1 млн идентификаторов, необходимых для определения субъектов |
10—15 млн руб. |
Повторное нарушение ч. 12—14 (нарушения, связанные с утечкой данных, указанные выше) |
0,1—3% выручки за год, но не менее 15 млн руб. и не более 500 млн руб. |
Утечка специальных категорий персональных данных (например, сведения о состоянии здоровья) |
10—15 млн руб. |
Нарушение ч. 16 (утечка специальных категорий персональных данных), если лицо подвергнуто наказанию по ч. 12—14 или 16 |
0,1—3% выручки за год, но не менее 20 млн руб. и не более 500 млн руб. |
Комментарий эксперта
Поправки предполагают не только ужесточение ответственности по уже имеющимся административным составам, но и добавление новых. И это без учета еще одного законопроекта, касающегося биометрических данных (находится на подписании у президента).
Статья 13.11 КоАП дополнится сразу восемью новыми частями (с 10-й по 17-ю) с весьма чувствительными, если не сказать — болезненными, штрафами для юридических лиц и индивидуальных предпринимателей: нижняя граница ответственности за нарушения установлена на уровне 1 млн руб., а верхняя может достигать 500 млн.
Кроме того, могут появиться штрафы в размере нескольких миллионов рублей для должностных лиц — государственных или муниципальных служащих.
Предполагается введение нового понятия — «идентификатор», не предусмотренного в Законе о персональных данных, что может осложнить его применение на практике.
Проблемой предложенных санкций, особенно с учетом их размера, также является обширность категории «персональные данные» и отсутствие четких законодательных разграничений, по которым можно точно определить, какая именно информация о человеке относится к ПД.
Сомнения вызывают и соразмерность штрафов содеянному, и реальная возможность их оплаты субъектами предпринимательства.
Отдельно стоит остановиться на оборотных штрафах — тех, что представляют собой процент от размера годовой выручки. Под выручкой принято понимать совокупность всех полученных бизнесом денежных средств, без учета понесенных расходов. А значит, неизбежно возникает вопрос по компаниям, у которых расходы за предшествующий нарушению календарный год по каким-то причинам превышают доходы или равны им.
До сих пор бизнес не проявлял особой заинтересованности в усилении информационной безопасности, применении современных технологий и увеличении штата сотрудников, которые занимаются вопросами обработки персональных данных. Однако с введением новой жесткой системы штрафов предпринимателям, пожалуй, будет куда выгоднее вложить деньги в развитие собственной инфраструктуры, чем потратить их на уплату штрафа. В данном случае «кнут» может сработать как вполне эффективный стимул.
На сегодняшний день законопроект еще не прошел все необходимые законодательные фильтры. Но тенденция по усилению контроля и ужесточению административного законодательства, на наш взгляд, будет только набирать обороты.
Комментарий эксперта
Обратим внимание, что по рассмотренным составам правонарушений ИП несут ответственность как юридические лица. Законодатель ожидает, что столь суровые меры административного наказания простимулируют операторов персональных данных инвестировать в информационную безопасность и окажут превентивное воздействие на нарушителей законодательства о персональных данных.
Отметим, что бизнес-сообщество не поддержало рассмотренный подход к назначению штрафных санкций. Ранее представители Торгово-промышленной палаты РФ, Российского союза промышленников и предпринимателей, «Опоры России» и «Деловой России» обратились к Правительству РФ с предложением рассмотреть другой вариант привлечения к ответственности за утечку персональных данных1.
Предлагалось назначать размеры штрафов за повторную утечку, умножая размер предыдущего штрафа на количество правонарушений. Для компаний, постоянно допускающих утечки персональных данных, бизнес предложил ввести уголовную ответственность.
На необходимость доработки законопроекта указало и Правительство РФ, отметив, что проектируемые размеры штрафов необходимо уточнить на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к ответственности. Административную ответственность за утечку персональных данных специальной категории Правительство РФ предложило дифференцировать в зависимости от характера правонарушения и степени его общественной вредности2.
1 Деловые объединения РФ предлагают доработать законопроект об оборотных штрафах за утечку ПДн, отсрочить его вступление // https://deloros.ru/press-centr/publikacii/delovye-obedineniya-rf-predlagayut-dorabotat-zakonoproekt-....
Комментарий эксперта
Законопроект довольно жесткий и предусматривает довольно строгие административные штрафы. Так, предлагается внести правки в ст. 13.11 КоАП РФ и добавить новые составы административной ответственности за утечку персональных данных. Причем за первичное нарушение будет возлагаться штраф в фиксированном размере в зависимости от «тяжести» утечки, а вот за повторное нарушение — уже оборотные штрафы.
Ответственность за действия оператора, которые повлекли утечку, разграничивается в зависимости от количества потерпевших граждан, чьи персональные данные были незаконно разглашены, или от количества утекших уникальных обозначений («идентификаторов»), которые позволяют определить физическое лицо.
Стоит отметить, что принцип увеличения штрафов далеко не всегда в реальности приводит к снижению количества нарушений. Например, многомиллионные штрафы за неисполнение требований о локализации баз данных, которые накладываются на иностранные компании, зачастую не уплачиваются, и судебное решение длительное время остается на стадии исполнения. Аналогично государству будет затруднительно взыскать с операторов такие суммы штрафов — и вновь встает вопрос об эффективности такой ответственности.
Возможно, столь высокие штрафы (до 500 млн руб. в худшем исходе) должны «напугать» операторов, которые под страхом ответственности бросят все силы на усовершенствование защиты персональных данных (в том числе в техническом аспекте). На практике угроза штрафами не мотивирует к изменению отлаженных рабочих процессов.
Более эффективный способ — это создание инструментов для регулирования той или иной сферы, обучение субъектов необходимым догмам защиты информации, помощь в создании и разработке эффективных механизмов защиты данных. Ответственность за правонарушения может быть полезным механизмом, но меры должны быть адекватными и соотносимыми с реальностью.
Вызывает вопросы и то, каким образом будет рассчитываться количество реально утекших данных, чтобы определить тяжесть правонарушения. Так, Роскомнадзору потребуется либо найти «оригинал» утекшей базы данных (первоисточник), либо слепо руководствоваться сведениями, которые нарушитель сам указал в уведомлении о факте нарушения по итогам внутренней проверки. Очевидно, что в интересах нарушителя — умолчать о достоверном количестве разглашенных персональных данных.
Стоит обратить внимание на качество юридической техники законопроекта, в частности на терминологию. Например, понятие «уникальных обозначений о физических лицах, необходимых для определения таких лиц (идентификаторов)» обычно применяется к биометрическим персональным данным, в то время как в законопроекте они используются в ином значении, что может вызвать путаницу и вопросы о соотношении терминов.
Таким образом, законопроект нуждается в доработке, особенно в части «смягчения» и уточнения положений об административной ответственности.
Комментарий эксперта
Проблема утечек персональных данных является действительно актуальной и требует дальнейшего развития законодательства. В связи с этим законопроект впервые вводит специальную ответственность за действия (бездействие), повлекшие утечку - неправомерную передачу третьим лицам информации. Она, как правило, затрагивает персональные данные и уникальные обозначения сведений о физических лицах, необходимых для определения таких лиц (идентификаторы - серийный номер паспорта, диплома, СНИЛС, VIN номер автомобиля, IP адрес).
Текущее регулирование предполагает, что компании, допустившие утечки персональных данных, несут ответственность по ч. 1 ст. 13.11 КоАП РФ, которая предусматривает максимальный размер штрафа для юридических лиц до 100 тыс. руб. (при повторном нарушении – до 300 тыс. руб.). Вместе с этим, как отмечается в пояснительной записке к законопроекту, такая ответственность несоразмерна возможным последствиям от произошедших утечек.
Законопроектом отдельно предусмотрена ответственность за утечку специальных категорий персональных данных (касающихся национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, пр.). Штраф на юридическое лицо составит от 10 до 15 млн руб.
За повторную утечку специальных категорий персональных данных предусмотрен штраф в размере от 0,1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение компании. При этом минимальный размер штрафа составит 20 млн руб., а максимальный – 500 млн руб.
Текущая редакция законопроекта не предусматривает смягчающих обстоятельств для компаний, допустивших утечку, однако их включение в текст законопроекта не исключается.