Кадровикам пригрозили сроком. За неправильную обработку персональных данных ввели карательные санкции

Фото: Кирилл Каллиников, фотохост-агентство РИА Новости

Охота на утечки

Федеральный закон, подписанный президентом России Владимиром Путиным 30 ноября, ужесточает ответственность за неправильную обработку персональных данных. Например, само по себе получение или хранение фамилии и имени гражданина без его письменного согласия или иного правового основания обернется для компании как минимум 300-тысячным штрафом. Раскрытие специальной категории (например – врачебной тайны) карается штрафом в 10 млн рублей, а биометрических – 15 млн. Новые административные меры будут применяются за правонарушения, совершенные после 30 мая.

Не менее карательные санкции вводятся за так называемые утечки, в первую очередь – клиентских баз данных. За неумышленное раскрытие персональных данных более тысячи граждан компанию могут оштрафовать на 5 млн рублей, ста тысяч лиц – 10 млн и так далее. За повторные проступки применяются оборотные штрафы – взыскание до 3% годовой выручки.

Кроме того, незаконное использование персональных данных, полученных путем неправомерного доступа к компьютерной информации, уже с 11 декабря будет считаться преступлением. Уголовное преследование грозит также создателям сайтов и иных ресурсов, «заведомо предназначенных для хранения ... полученных незаконным путем персональных данных».

Принятие этого закона лоббировали члены Совета по развитию гражданского общества и правам человека при президенте России (СПЧ). Действующие штрафы они считают несоразмерными последствиям: «Когда за утечку персональных данных 6 млн россиян с «Яндекса» взяли штраф в 60 тысяч рублей (то есть по копейки за гражданина) – это выглядело издевательством над обществом и здравым смыслом. Законодатели прислушались к боли общества, в котором за последние пару лет возник «страх звонка». Подождем, когда восторжествует законоприменение, и у цифровых гигантов возникнет страх играть в персональные данные», – заявил член СПЧ Игорь Ашманов.

По данным регулятора (Роскомнадзора) в этом году зафиксирована утечка более 600 млн записей, в том числе 510 млн – в результате одного инцидента (виновник не называется). По мнению заместителя председателя правления Сбербанка Станислава Кузнецова в открытом доступе находятся персональные данные 90% взрослого населения России, главным источником компрометации остаются интернет-магазины и медицинские учреждения.

А президент «Ростелекома» Михаил Осеевский убежден, что в даркнет утекли персональные данные уже всех россиян. По оценкам экспертов, используя такие базы данных, мошенники в прошлом году похитили у граждан 150 млрд рублей, еще 300 могут украсть в этом году (прогнозы «Сбера» и МВД).

СПРАВКА MASHNEWS

Любая обработка персональных данных предельно зарегулирована: каждая компания (именуемая оператором) обязана утвердить многочисленные внутренние правила и регламенты, опубликовать политику, соблюдать стандарты защиты информации, встать на специальный учет в Роскомнадзоре и так далее. Под угрозой санкций все эти требования должны соблюдать даже микропредприятия, ведущие кадровый учет нескольких сотрудников.

Сядем усе

Не отрицая необходимости противодействовать мошенникам и предупреждать утечки, эксперты опасаются, что новые санкции будут применяться к не совершившим ничего опасного добросовестным компаниям.

«За 17 лет действия закона многие вопросы остаются без ответа, неоднократно менялась и позиция регулятора. Это касается, в частности, отнесения данных к биометрии, получения согласий, обработки данных родственников и членов семей, сроков хранения информации и другие аспектов. Включенное в новые законы понятие утечки персональных данных в принятой формулировке позволяет признавать таковой даже отправку их в электронном письме ненадлежащему получателю, предоставление доступа не уполномоченному работнику и так далее», – говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

По мнению старшего консультанта по защите персональных данных консалтинговой компании «Б-152» Никиты Володина, ужесточение наказаний за утечки данных является логичной мерой: «Однако важно сохранять баланс между защитой данных и финансовыми возможностями бизнеса – чрезмерные штрафы могут привести к банкротству небольших компаний, что не способствует укреплению экономики и соблюдению требований. Более разумным подходом было бы создание стимулов для компаний усиливать защиту данных, а также поддержка малого бизнеса в выполнении новых требований».

С ним солидарна частнопрактикующий юрист Светлана Жукова: «Административные санкции применяются чаще всего за многочисленные формальные требования законодательства. Например, при поступлении на работку новый сотрудник заполняет унифицированную форму (Т-1), в которой должен указать сведения о родственниках. Вправе ли работодатель обрабатывать их персональные данные? В случае трудового спора недовольный подчиненный попросит, скажем, супругу написать кляузу в Роскомнадзор и добросовестную компанию оштрафуют на десятки тысяч. Или уже миллионы за фотографию на пропуске, которая может квалифицироваться как биометические персональные данные», – предупреждает эксперт.

Более того, поправки в Уголовный кодекс РФ не предусматривают какой-либо градации в отношении количества граждан, пострадавших от утечки их персональных данных.

«То есть преступлением могут оказаться единичные действия, в том числе случайные или неосторожные», – объясняет Михаил Емельянников.

В свою очередь управляющий партнер Адвокатского бюро «ТЕЗА» Андрей Тузов обращает внимание, что уголовная ответственность наступает только если обвиняемый получил персональные данные незаконным путем. «Например – с использованием шпионских программ, неправомерного доступа к базам данных и т.д. То есть должны совершаться заведомо противоправные действия. Покупатель пиратских баз данных также является субъектом уголовной ответственности. При этом объем (количество) незаконно распространяемых персональных данных, действительно, значения не имеет», – констатирует адвокат.

«Поправки в Уголовный кодекс РФ связывают тяжесть ответственности с категориями и чувствительностью данных, что улучшает регулирование. Они направлены на тех, кто незаконно получает доступ к базам данных (например, хакеры или инсайдеры) и тех, кто их использует», – убежден Никита Володин.

За все хорошее – штраф

Практика подтверждает сомнения экспертов – даже существующие санкции чаще всего применяются за не опасные и порой весьма спорные нарушения. Так, подмосковное ООО «Элемент» строго в соответствие с Налоговым кодексом РФ включило сведения о получивших доход гражданах в отправленную в налоговую инспекцию отчетность. Но поскольку эти лица не являлись сотрудниками компании (могли получать выплаты по судебному решению и в иных ситуациях), использовать их персональные данные было нельзя. Проступок обошелся компании в 300 тысяч рублей. 30-тысячный штраф наложили на кемеровское ООО «Он-Смарт», не опубликовавшее на сайте политику обработки персональных данных.

Немало нарушений связано с обработкой персональных данных сотрудников. Например, подведомственный самому Роскомнадзору (!) ФГУП «Главный радиочастотный центр» уличили в незаконном размещении на официальном сайте фамилий, внутренних телефонов и рабочих e-mail двух сотрудников. Суд пришел к выводу, что для этого требовалось получить их письменное согласие. Причем правонарушение квалифицировали как утечку, но ввиду смягчающих обстоятельств штраф снизили до 30 тысяч рублей.

Отдельное письменное согласие работников, по мнению Роскомнадзора, необходимо получать для оформления полиса ДМС (раскрытия информации страховой компании), пропуска и во многих других обыденных ситуациях. В частности, к дисциплинарной ответственности привлекли начальницу управления по международной и межрегиональной деятельности Астраханского государственного медицинского университета Азизу Ахминееву, которая разослала в деканаты данные трех иностранных студентов. Доводы о необходимости оперативного согласования списков в целях организации выезда и предупреждения санкций против вуза со стороны миграционного ведомства, суды проигнорировали.

СПРАВКА MASHNEWS

По данным Роскомнадзора, обработку персональных данных осуществляет почти 1,1 млн операторов. В первом квартале было выявлено 446 административных правонарушений, наложено 2,1 млн рублей штрафов.