5 сентября 2012 года
Телекомру, 04.09.12
Роскомнадзор опубликовал поправки в Кодекс об административных правонарушениях (КоАП), усиливающие ответственность за нарушение закона «О персональных данных», а также предполагающих передачу полномочия по возбуждению административных дел в соответствующих случаях Роскомнадзору. Из 278 материалов о нарушениях, выявленных службой в первом полугодии 2012 года, административные дела были возбуждены только в 22 случаях. Инициатива увеличения штрафов уже поддержана Минэкономразвития. Появление таких предложений мотивировано рядом причин, в частности не соблюдением закона со стороны операторов персональных данных, а также слишком долгой процедурой проверки прокуратурой собранных Роскомнадзором фактов нарушения, что является значительным препятствием для привлечение нарушителей к ответственности.
На сегодняшний день за использование персональных данных человека или компании без полученного согласия предусмотрен незначительный штраф в размере до 10000 руб. Согласно инициативе отраслевого регулятора размер штрафов будет увеличен до 1000-2000 руб. для физлиц, 5000-7000 руб. и 30 000-50000 руб. для должностных и юридических лиц. Кроме того штрафом 15000-20000 руб. будут облагаться индивидуальные предприниматели. Роскомнадзор предлагает ввести оборотные штрафы для предпринимателей и компаний, которые будут составлять 0,5-2% от совокупного дохода за прошлый год (но есть минимальные суммы) в зависимости от статьи. Применение оборотных штрафов сделает возможным учет уровня дохода конкретного оператора (к операторам персональных данных относятся почти все госорганы, компании и физлица) с учетом всех обстоятельств дела. В Европе введение оборотных штрафов планируется через 2 года.
Инициативы Роскомнадзора, по мнению экспертов, являются вполне закономерными и своевременными, особенно с учетом тенденции увеличения количества баз, содержащих персональные данные. Однако в экспертном сообществе присутствуют сомнения относительно эффективности предлагаемых мер. Штраф в размере 1,5-2% от дохода - не достаточный мотив для того, чтобы операторы задумались о необходимости сбора персональных данных, неправомочном доступе к ним и сроках их хранения. Увеличение штрафов, а также введение оборотных штрафов, по мнению экспертов, не сопоставимо с потенциальным ущербом, который может возникнуть в результате нарушений при обработке персональных данных, например, последствий нарушения работы оборудования или появления других причин, не зависящих от операторов персональных данных. Есть мнение, что целесообразно привязывать размер штрафа к тяжести последствий.
Эксперты констатируют, что ситуация с защитой персональных данных в России достаточно плачевна. Так, например, аналитики обращают внимание на наличие проблем с передачей персональных данных в другую страну. Закон требует наличие письменного разрешения человека, которое достаточно проблематично получить иностранной интернет-компании. В России до сих пор отсутствует список стран с адекватной защитой прав субъектов персональных данных, в которые данные могут предоставляться по облегченной процедуре. Наличие законодательной инициативы ни о чем не свидетельствует. Важно то, как она будет реализовываться.
Эксклюзивные комментарии:
Алексей Кондрашов, исполнительный директор аналитической компании
Direct INFO
«Сейчас ситуация с соблюдением закона о персональных данных плачевна. Поэтому предложения Роскомнадзора направлен на то что бы хоть как то навести порядок в этой сфере. Закон не соблюдают не только небольшие компании, но и крупные корпорации (в том числе и интернет-компании). Некоторым компаниям которые до сих по не позаботились о соблюдении закона придеться понести затраты на приведение своих БД в соответствии закону. Если они будут выполняться, то эффективны. Штраф с оборота величина крайне условна. Поэтому данные меры не эффективны для мелких предпринимателей и небольших компаний».
Эльдар Вагабов, аналитик
Фонд Благосостояние
«По сути, действия регулятора призваны упорядочить работу организаций, занимающихся обработкой персональной информации. Вопрос касается безопасности как физических, так и юридических лиц, поэтому оставлять его без решения нельзя. В то же время мне не совсем понятно, почему подобные инициативы появляются только сейчас, ведь проблема существует далеко не первый день: с завидной периодичностью в СМИ появляется информация об утечке информации и ее размещении в Сети. Как правило, в этой связи упоминаются паспортные данные, данные по банковским счетам и прочие типы информации, которые ни в коем разе не должны становиться достоянием широкой общественности. К сожалению, даже если поправки и будут приняты, серьезно ситуацию они изменить не смогут, поскольку штрафы, которые предполагается ввести, вряд ли способны напугать откровенно недобросовестных и нерадивых операторов данных, по чьей вине или при чьем попустительстве происходят подобные утечки. Действительно, предлагаемые штрафы по величине сравнимы со штрафами за нарушение антимонопольного законодательства в розничной торговле, хотя масштаб последствий, конечно, несоизмерим. Кроме того, не стоит забывать, что любая законодательная инициатива сама по себе еще ничего не значит. Конкретные меры ее реализации не менее важны, поэтому наличие продуманного плана их применения на практике - далеко не пустой звук. Пока же четкого понимания нет, инициатива рискует так и не быть реализованной».
Юлия Волкова, заместитель начальника
АНО «Центр анализа электромагнитной совместимости»
«Что такое персональные данные люди понимают еще не очень. Вот, например, каждый год в декабре нам звонят из ЕРЦ на домашний телефон с просьбой оплатить счет до конца года, а не как положено в январе. Откуда в ЕРЦ знают номер телефона, который мы им не сообщали? Услышав этот вопрос, пожилая женщина на том конце провода удивляется. По ее мнению, это – не важно, и слов «персональные данные» она не слышала никогда, как, похоже, и ее начальник. Другой пример - звонок от менеджера некоего ПИФа на мобильный. Причем тот не только правильно называет имя, фамилию и отчество, но и даже имеет представление о Ваших доходах. Создавая почтовый ящик на Яндексе, оформляя медицинскую страховку, прописываясь в гостинице, мы везде вынуждены сообщать о себе массу данных, которые кочуют из одной формы в другую, начиная еще со времен Очаковских. Заинтересованным людям и организациям ничего не стоит собрать на основании этих нами же честно заполненных «квиточков» полномасштабные базы данных. И до тех пор, пока будет спрос на такого рода информацию, будет и предложение. Чего добьются надзорные органы, штрафуя операторов связи? Почему бы не поинтересоваться, зачем, приехав в командировку на один день, я вынуждена указывать в гостиничном формуляре, сколько у меня детей, где и кем я работаю, где прописана, какова девичья фамилия моей бабушки и насколько велик среднемесячный доход моей семьи? Почему бы не решить вопрос иначе. Например, запретить собирать лишние данные и четко определить, какую информацию можно спрашивать у клиента, а какую – нет. В таком случае, компаниям просто нечего будет «незаконно обрабатывать». И проблема решится сама собой».
Анна Зайцева, аналитик
УК «Финам Менеджмент»
«Мы полагаем, что инициативы оптимизации законодательной базы в данной сфере, несомненно, весьма актуальны. Изменения в текущей ситуации необходимы, так как доступ к получению и обработке персональных данных сегодня имеет очень большое количество операторов рынка (особенно с учетом динамичного развития дистанционных форматов на потребительском рынке), а уровень контроля остается невысоким, что порождает различные недобросовестные практики и злоупотребления. Вместе с тем, мы склонны считать, что администрирование данной сферы – задача очень сложная. Необходимо тщательно разработать нормы и критерии контроля, а также определить оптимальную систему санкций. Оборотный штраф – суровое наказание, которое для ряда игроков рынка может обернуться многомиллионными потерями».
Никита Беллер, независимый инвестиционный аналитик
«Вряд ли Роскомнадзор действительно рассчитывает, что операторы ИСПДН будут платить такие штрафы. Новая мера станет стимулом для бизнеса всерьез оценить, так ли нужно собирать у клиентов персональные данные? Сейчас никаких весомых аргументов против необоснованного использования персональных данных Роскомнадзор предложить не может. Сами подумайте: максимальный штраф за нарушение ФЗ-152 для юрлица составляет 50 тысяч рублей. Что эти деньги для крупной розничной сети, которая собирает персональные данные покупателей для дальнейшей таргетированной рекламы (и, возможно, продажи рассылок по этой базе другим компаниям)? Штраф окупится с первой же рассылки. А вот 2% от оборота - это уже серьезный повод задуматься. И, кстати, у недобросовестных бизнесов появляется отличный способ саботировать работу конкурентов: организовать утечку ИСПДН хотя бы нескольких клиентов - и все, у компании проблемы. В наименее выгодном положении - операторы сотовой связи и банкиры: те, кто имеет как значительный оборот средств, так и не может отказаться от использования персональных данных. Существенной проблемой остаются относительно размытые формулировки 152 Федерального Закона: сам состав ИСПДН до сих пор остается не полностью ясным. Другой вопрос, что пересмотреть свою политику в отношении ИСПДН связистам все равно бы не помешало. Правда ли безопасно отдавать свои паспортные данные мальчику-таджику, который продает симки с фирменной стойки оператора у метро? И соответствует ли ФЗ-152 обмен персональными данными с контент-провайдерами? Ой, не факт».