Содержание
Развитие информационных технологий и постепенный переход всё большей части нашей жизни в «цифровой» формат несёт с собой не только преимущества, но и новые риски, на которые государство вынуждено обращать внимание. Одним из таких рисков является кража и/или разглашение персональных данных. Базы данных, состоящие из адресов и телефонов наших сограждан, свободно продаются в интернете, а спам-звонки стали, наверное, уже привычным раздражающим фактором. Но дело обстоит даже хуже – ворованные персональные данные могут быть использованы при подготовке преступлений – начиная от мошенничества (звонок от «товарища майора из управления экономической безопасности», предлагающего передать пароль от интернет-банка, кажется гораздо убедительнее, если собеседник эффектно перечисляет все ваши паспортные данные) и заканчивая террористическими актами.
Поэтому ужесточение ответственности за нарушения персональных данных, можно сказать, было исторически предопределено, и ФЗ № 589 от 12 декабря 2023 г., вносящий изменения в Кодекс об административных нарушения, не стал неожиданностью.
Размеры новых штрафов
Согласно этому закону, были повышены штрафы за обработку персональных данных без получения согласия и за случаи, когда текст согласия не соответствует требованиям ст. 9 ФЗ «О персональных данных»:
- для граждан до 10 000 – 15 000 р. (было 6 000 – 10 000 р.);
- для должностных лиц и ИП до 100 000 –300 000 р. (было 20 000 – 40 000р.);
- на юридических лиц 300 000 – 700 000 р. (было 30 000 – 150 000 р.).
Также были повышены штрафы за повторное нарушение:
- для граждан до 15 000 – 30 000 р. (было 10 000 – 20 000 р.);
- для должностных лиц до 300 000 – 500 000 р. (было 40 000 – 100 000 р.);
- для ИП до 500 000 – 1 000 000 р. (было 100 000 – 300 000 р.);
- для юридических лиц до 1 000 000 – 1 500 000 р. (было 300 000 – 500 000 р.).
Штрафы можно получить даже при наличии согласий на обработку ПД
Таким образом, штрафы более чем солидные. Обращаю особое внимание на то, что штраф взимается не только в случае отсутствия письменного согласия, но и в случае, если согласие есть, но его текст не соответствует требованиям ФЗ «О персональных данных» (например, неправильно указана цель обработки персональных данных, перечислены не все виды персональных данных, которые обрабатываются, не указан срок действия согласия, не предусмотрен порядок отзыва согласия и т.д.).
Кстати, замечу, что львиная доля «Образцов согласия на обработку персональных данных», которые встречаются в сети, не соответствуют всем требованиям ФЗ «О персональных данных». Соответственно, их использование может привести к штрафам.
Кроме того, при составлении формы согласия на обработку персональных данных необходимо учитывать специфику деятельности организации. Для медицинских организаций следует помнить, что согласия должны давать не только работники, но и пациенты, а сами персональные данные – это не только телефон, адрес и номер паспорта, но и показатели веса и роста пациента, его зубная формула и т.д.
О «соразмерности» увеличенных размеров штрафов
В целом, размеры штрафов, предусмотренные новым законом, кажутся мне непомерно высокими и нарушающими принцип соразмерности административного проступка и наказания. Ведь абсолютно понятно, что совсем не ИП (да и не мелкий бизнес, пусть даже и в форме юридического лица) являются основным источником утечек персональных данных.
А штраф в 300 000 р., назначенный индивидуальному предпринимателю за то, что он забыл взять согласие на обработку персональных данных у своей уборщицы тети Глаши, способен завершить путь начинающего предпринимателя – особенно в регионах, где доходы не столь высоки как в столицах. Для только-только образованного ООО штраф в миллион рублей за несколько пропущенных слов в согласии на обработку (например, потому что директор скачал непроверенную форму согласия из интернета) – по моему мнению, тоже излишне суровое наказание.
Малообоснованный размер новых штрафов легко проиллюстрировать на таком примере. Статья 13.11 КоАП (нарушение законодательства РФ в области персональных данных) не применяется в случае персональных данных «государевых людей» – прокурорских работников, следователей, судей, сотрудников ФСБ и т.д. В этом случае сбор или распространение персональных данных квалифицируется по ст. 17.13 КоАП (незаконное распространение сведений о защищаемых лицах). Эта статься считается более «тяжелой» и штрафы по не всегда превосходили, предусмотренные статьей 13.11. Но после декабрьского повышения штрафов всё изменилось.
Например, штраф для юридических лиц за разглашение персональных данных обычных людей (ст. 13.11 КоАП) повысили до 300 000 – 700 000 р., но в случае, если разглашены данные судьи или прокурора, он продолжает оставаться в размере 200 000 – 300 000 р. Таким образом, ФЗ № 589 от 12 декабря 2023 г. сделал возможной ситуацию, когда штраф за разглашение персональных данных прокурора, следователя или судьи вдвое меньше чем штраф за разглашение данных обычного человека (!). Это, свидетельствует о том, что законопроект о повышении штрафов разрабатывался в спешке и имеет заметные дефекты нормопроектирования.
Новый состав преступления — нарушение требований по биометрическим персональным данным
Кроме повышения штрафов, ФЗ № 589 от 12 декабря 2023 г. ввел новый состав административного правонарушения — нарушение требований в области размещения биометрических персональных данных (абсолютно новая статья 13.11.3. КоАП). Санкции за это нарушение предполагают штраф от 100 000 до 300 000 р. для должностных лиц и от 500 000 до 1 000 000 р. для юридических лиц. Особенную пикантность этой статье придает то, что определение биометрических персональных данных в отечественном законодательстве довольно-таки туманное (это не только ДНК, отпечатки пальцев и голос, как думают многие).
В соответствии с ч.1 ст. 11 ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Поэтому существует точка зрения, согласно которой к биометрическим персональным данным относятся изображения человека (родинки, шрамы и т.д. – это всё биологические особенности), рентгеновские снимки и результаты КТ и т.д.
К счастью, законодатели проявили непривычную умеренность и статья о нарушениях размещения биометрических персональных данных распространяется на:
- банки;
- МФЦ;
- иные организации, в случаях определенных федеральными законами.
На врачей и медицинские организации статья 13.11.3. КоАП (о нарушениях размещения биометрических персональных данных) не распространяется. Во всяком случае, пока что. Тем не менее, это не отменяет того, что проблема с безопасностью персональных данных существует и решить её одним лишь увеличением штрафов, без применения комплексного подхода, вряд ли получится.
Выводы.
По моему скромному мнению общественная опасность от ИП-шника, который забыл взять у согласие на обработку персональных данных у своего единственного работника, и от корпорации, допустившей утечку данных нескольких сотен тысяч клиентов. Практика обобщать множество совершенно различных случаев под названием «нарушение законодательства о персональных данных», штрафуя всех «под одну гребенку» не способствует развитию доверительных отношений между государством и обществом.
Поэтому наиболее перспективным путем дальнейшего развития законодательства о персональных данных я считаю разграничение наказаний и штрафов в зависимости от таких факторов: 1) количество лиц, персональные данные которых были разглашены; 2) характер разглашенных персональных данных; 3) последствия разглашения персональных данных. При этом такое разграничение должно проводиться законодательно, а не отдаваться на откуп судебной практике.
Автор статьи – Орленко Василий Васильевич, кандидат юридических наук, доцент
Статья написана 29.12.2023