Обращение с персональными данными граждан — очень тонкая сфера, которая таит в себе множество подводных камней. Действующим КоАП установлены целых 7 составов административных правонарушений за нарушения требований законодательства в этой области, но и их оказалось недостаточно. Минкомсвязи предложило установить штрафы в размере до 75 000 рублей за нарушение требований конфиденциальности персональных данных.
Что случилось?
Минкомсвязь России опубликовало на едином портале для размещения проектов нормативно-правовых актов законопроект с поправками в статью 13.11 КоАП РФ, которой установлены семь составов правонарушений в области персональных данных. Чиновники хотят дополнить их восьмым составом и установить административную ответственность
за невыполнение оператором или иным лицом, получившими доступ к персональным данным, обязанности по соблюдению требований конфиденциальности персональных данных, нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Кроме того, чиновники намерены усилить административную ответственность за нарушение нормы, установленной частью 5 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а именно невыполнение обязанности оператора при сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан с использованием баз данных, находящихся на территории Российской Федерации.
Персональные данные должны быть конфиденциальными
Хотя сейчас статьей 13.11 КоАП РФ предусмотрены значительные штрафы за нарушение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», некоторые его требования пока не охвачены административной ответственностью. Чиновники решили исправить этот пробел. В пояснительной записке к законопроекту, в частности, сказано:
Законопроектом также предусмотрено введение нового состава административного правонарушения за невыполнение оператором или иным лицом, получившими доступ к персональным данным, обязанности по соблюдению требований конфиденциальности персональных данных, нераскрытию третьим лицам и нераспространению персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Указанная обязанность оператора установлена статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Однако в действующей редакции статьи 13.11 КоАП РФ состав административного правонарушения за несоблюдение оператором и иным лицом, получившим доступ к персональным данным, требований конфиденциальности персональных данных не установлен.
В Минкомсвязи уверены, что введение нового состава даст возможность Роскомнадзору оперативно приостанавливать противоправную деятельность, связанную с незаконной обработкой персональных данных, а также повысить эффективность государственного контроля (надзора) в этой сфере. Авторы инициативы уверены, что необходимо вовремя предотвращать правонарушения, которые могут причинить значительный ущерб субъектам персональных данных.
Размер штрафов
За новый состав административных правонарушений чиновники предлагают установить ответственность в виде административных штрафов в размере:
- для граждан — от 3000 до 5000 рублей;
- для должностных лиц — от 10 000 до 20 000 рублей;
- для юридических лиц от — 15 000 до 75 000 рублей.
Кроме того, Роскомнадзор получит возможность блокировать ресурсы в сети интернет, которые нарушают требования законодательства.
Публичное обсуждение законопроекта продлится до 17 мая 2018 года, после чего инициатива будет передана на рассмотрение в Правительство РФ.
Что делать
Владельцам сайтов, на которых есть личные кабинеты и информационные рассылки, нужно (если этого до сих пор не сделано):
- разместить Политику обработки персональных данных (или Пользовательское соглашение);
- продумать техническое решение, благодаря которому пользователь явно выражает согласие на обработку его персданных;
- зарегистрироваться в качестве оператора персональных данных в реестре Роскомнадзора (не всем; кому нужно и как это сделать — читайте в статье).
Всем (в том числе работодателям, которые хранят у себя личные данные сотрудников) нужно подготовить пакет локальных нормативных актов, касающихся обработки персональных данных, как минимум:
- Положение о персональных данных;
- Согласие на обработку персональных данных;
- Приказ о защите персональных данных.