Кодекс об административных правонарушениях (КоАП) планируется дополнить положениями, которые определят ответственность за несоблюдение конфиденциальности персональных данных граждан, рассказали «Известиям» федеральный чиновник и источник, близкий к одному из профильных ведомств.
Соблюдать конфиденциальность личной информации гражданина при ее обработке и не разглашать третьим лицам предписывает закон «О персональных данных». Но наказывать нарушителей сейчас непросто, поскольку в КоАПе не предусмотрены штрафы за подобные нарушения. В какой стадии находится эта законотворческая инициатива, источники комментировать не стали.
В Минцифры «Известиям» подтвердили отсутствие такой ответственности в КоАПе. Соответствующие предложения прорабатываются совместно Советом Федерации и заинтересованными ведомствами, в том числе Минцифры, отметил представитель ведомства.
— Существующие штрафные санкции не «побуждают» операторов к безусловному выполнению требований законодательства в области персональных данных, в связи с чем введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками персональных данных. Минцифры готово рассмотреть все поступившие предложения, — сказал представитель ведомства.
«Известия» также направили запрос в комитет Госдумы по информационной политике.
Примеры нарушений конфиденциальности персональных данных привели в созданном при участии Роскомнадзора Центре правовой помощи гражданам в цифровой среде.
— В центр обратился гражданин, который в своем личном кабинете в мобильном приложении крупного российского банка обнаружил информацию о двух кредитах, которые он не оформлял, — рассказали «Известиям» в организации. — Человек отправил запрос в службу поддержки, чтобы прояснить ситуацию. Банк заблокировал личный кабинет. После восстановления доступа гражданин нашел в нем переписку третьего лица с сотрудником банка. Неизвестный выражал недовольство блокировкой личного кабинета.
Изучив историю платежей, заявитель обратил внимание на незнакомый номер телефона, на который однажды был произведен платеж. Позвонив на этот номер, пострадавший выяснил, что тот принадлежит его полному тезке — тоже клиенту этого банка. У них были одинаковые фамилия, имя, отчество и дата рождения. В результате разбирательств техподдержка разъединила личные кабинеты двух клиентов.
— Эта история говорит о том, что сотрудники финансового учреждения изначально не провели надлежащим образом идентификацию физлиц и не обеспечили достаточную защиту персональных данных своих клиентов, в результате чего конфиденциальная информация о человеке стала доступна третьему лицу, — объяснила директор Центра правовой помощи Людмила Куровская.
Еще в центр обратился заявитель, которому на адрес электронной почты пришло письмо от крупного российского банка с чужим кредитным договором. Причем гражданин даже не был его клиентом, отметили в центре.
— В полученных документах были указаны все персональные данные незнакомого заемщика: фамилия, имя, отчество, паспортные данные, адрес места жительства, контактные данные, а также другие сведения, конфиденциальность которых банк обязан был обеспечить, — отмечает представитель Центра правовой помощи.
Ежегодно Роскомнадзор фиксирует несколько сотен случаев несоблюдения операторами требований конфиденциальности, количество их растет, отмечают в ведомстве. В 2019 году их было 361, в 2020-м — 427, в 2021-м — 475.
В ведомстве подчеркнули, что «включение в кодекс новых составов административных правонарушений, которые позволят в полной мере обеспечить реализацию принципа неотвратимости наказания за несоблюдение требований закона в части конфиденциальности персональных данных» поможет лучше защищать эту информацию.
О том, что структуры, оперирующие персональными данными, зачастую «любезно» передают информацию об одних клиентов другим без их ведома, известно и участникам digital-рынка.
— Есть такая проблема, — не скрывает директор Регионального общественного центра интернет-технологий (РОЦИТ) Рустам Сагдатулин. — Сейчас практически нет возможности привлечь к ответственности организации или должностных лиц. Поэтому для защиты прав граждан необходимо обязательно внести в КоАП новые составы административных правонарушений, которые приучат организации к культуре обращения с персональными данными.
К сожалению, данному требованию закона пока не корреспондируют нормы юридической ответственности, заметил декан факультета права Высшей школы экономики Вадим Виноградов. Это приводит к различным казусам в правоприменении вплоть до незаконной передачи медицинских сведений либо информации о финансовом положении граждан третьим лицам, при этом операторы персональных данных не несут ответственности, указывает он.
— Внесение отдельного состава по данному нарушению видится оправданным, поскольку существующие нормы КоАПа его не учитывают. Это может быть сделано посредством корректировки, дополнения ст. 13.11 КоАП, посвященной нарушению законодательства РФ в области персональных данных. Мы говорим о наличии правового пробела, который необходимо ликвидировать, — объяснил Вадим Виноградов.
По его словам, на протяжении 2021 года в Роскомнадзор поступило более 38 тыс. жалоб граждан на неправомерную обработку их персональных данных. По выявленным нарушениям на основании судебных решений в реестр нарушителей прав субъектов персональных данных включено 93 ресурса, составлено более 220 протоколов о привлечении к административной ответственности.
— Есть и обращения по поводу нарушения требований конфиденциальности, однако у уполномоченного органа здесь, к сожалению, пока связаны руки. Таким образом, есть консенсус как со стороны правоприменителя, так и экспертов из научного сообщества о необходимости корректировки ситуации. Уверен, что соответствующие предложения найдут законодательную поддержку, — надеется эксперт.
По словам управляющего партнера юридической компании «Иккерт и партнеры» Павла Иккерта, КоАП содержит достаточно много составов административных нарушений, которые могут быть совершены в связи с обработкой персональных данных. При этом штрафы за такие нарушения существенные, заметил юрист.
Так, по его словам, за обработку персональных данных, несовместимую с целями их сбора (то есть это как раз следствие утечек баз данных у тех же банков), установлены штрафы в размере от 2 тыс. до 6 тыс. рублей для физлиц, для должностных лиц — от 10 до 20 тыс. рублей, для юрлиц — от 60 до 100 тыс. рублей.
Обработка персональных данных без согласия в письменной форме влечет штрафы в размере от 6 до 10 тыс. рублей для физлиц, для должностных лиц — от 20 до 40 тыс. рублей, для юридических лиц — от 30 до 150 тыс. рублей, добавил Павел Иккерт. При повторном нарушении такого рода, а также ряде других штраф может доходить до 500 тыс. рублей.
Валерий Кодачигов