Штраф за нарушение закона о персональных данных увеличат в 30 раз

Минкомсвязи направило в правительство законопроект, в котором предлагает повысить штрафы за нарушение правил обработки персональных данных в 30 раз - с 10 тыс. до 300 тыс. рублей. При этом предполагается, что Роскомнадзор получит право самостоятельно, без привлечения прокуратуры, составлять акты по нарушениям, связанным с персональными данными россиян. Насколько эффективны будут предлагаемые нововведения?

Сегодня в Интернете легко можно найти предложения по продаже различных баз данных, например, финансово-кредитных учреждений, телекоммуникационных компаний, различных государственных органов, содержащих персональную информацию (ПДн) граждан России. Это могут быть адреса, номера телефонов, данные паспортов, водительских удостоверений и даже банковских реквизитов. Распространение подобной конфиденциальной информации зачастую связано с должностными нарушениями, которые допускают операторы персональных данных, что неизбежно ведет к незаконному использованию этих данных злоумышленниками. Подобные инциденты могут представлять собой серьезную угрозу безопасности как для самих граждан, так и для государства в целом.

До недавнего момента государство, к сожалению, было мало обеспокоено серьезной защитой ПДн своих граждан, об этом говорит низкий уровень профилактической работы, направленной на предупреждение подобных правонарушений. А статья ответственности виновных за совершенные действия чаще всего носила условный характер.

Однако с каждым днем количество злоупотреблений с использованием ПДн граждан РФ возрастает в геометрической прогрессии. Персональная информация в руках профессионального мошенника молниеносно превращается в орудие преступления, приносящего вполне материальные результаты. Например, в условиях популяризации использования гражданами электронных переводов и платежей участились случаи хищения финансовых средств с банковских карт как отдельных лиц, так и крупных компаний. Также известны и частные случаи, когда личные сведения знаменитостей и публичных людей могут стать приманкой для шантажистов или недоброжелателей, желающих нанести вред репутации. Проблемы и конфликты внутри организации запросто могут спровоцировать не только нарушения в области ПДн, но и нанести экономический или имиджевый вред. Уволенный сотрудник в отместку работодателю, используя контакты клиентов, способен распространить негативную информацию о компании или инсайдеры, имеющие доступ к внутренней информации, могут перепродать ее конкурентам.

Механизмов использования ПДн огромное количество, однако последствия таких действий предусмотреть крайне сложно. А опыт по возбуждению дел об административных правонарушениях по статье 13.11 КоАП красноречиво показывает: предусмотренный штраф (до 10 тыс. рублей для юрлиц) не мотивирует воздерживаться от подобного рода правонарушений, в связи с чем 30-кратное увеличение штрафов будет как никогда кстати. Кроме того, рассмотрением дел об административных правонарушениях в сфере защиты ПДн все еще занимается прокуратура. При всем уважении к надзирающему органу, чтобы качественно усилить меры реагирования и повысить эффективность раскрытия подобных преступлений, необходимо передать полномочия профильной структуре - Роскомнадзору.

Несмотря на очевидность правильных инициатив в сфере защиты ПДн, по-прежнему существует немалое количество изъянов и препон, мешающих оперативно привлекать к ответственности нарушителей и своевременно принимать превентивные меры реагирования. Предлагаемые поправки являются лишь первым шагом в повышении уровня правовой защищенности персональных данных граждан, однако на этом пути все еще достаточно большой простор для работы.

Так, например, согласно закону наказание выносится непосредственно за само нарушение порядка работы с ПДн. При этом факт умышленного сокрытия нарушений или допущенных утечек не является наказуемым и не влечет никаких последствий. Это приводит к тому, что зачастую операторам персональных данных выгоднее вообще не сообщать о факте потери информации, чтобы скрыть свои нарушения. Только за первое полугодие 2014 года в России зафиксировано (только по официальным данным) более 490 случаев утраты персональных данных, из которых 53% - это умышленные и корыстные действия конкретных должностных лиц.

Немаловажным элементом борьбы и предупреждения таких нарушений может стать внедрение практики независимого выяснения причин подобных инцидентов и установления злоумышленников. Оглядываясь на положительную практику зарубежного опыта в сфере ПДн, необходимо и в РФ вводить механизмы взаимодействия профильного бизнеса с государством (в лице Роскомнадзора). Одним из вариантов решения подобной задачи может стать практика развития государственно-частного партнерства.

Оптимальные рекомендации, потенциально позволяющие в будущем повысить уровень защищенности как прав отдельных людей и законопослушных операторов персональных данных, так и интересов государства выглядит следующим образом: в случае обнаружения факта инцидента с ПДн оператор, допустивший подобное нарушение, обязан сообщить об этом в Роскомнадзор. Для оптимизации подобной работы рекомендуется создать на базе ведомства Службу поддержки либо Службу работы с обращениями (такая структура может работать и на базе ГЧП-партнерства). При этом важно эффективнее внедрять процедуру независимого расследования причин нарушений хранения и использования ПДн. Также от лица Роскомнадзора необходимо предупреждать операторов не вносить никаких изменений в информационные системы после обнаружения утечки ПДн. Это повысит эффективность последующего расследования, по итогам которого Роскомнадзор сможет определить вину сотрудника, допустившего распространение конфиденциальной информации. В будущем этот опыт позволит выработать рекомендации по предотвращению подобных инцидентов.