Menu Close

07.08.2024

Экспертиза проекта Федерального закона

в части усиления ответственности за нарушение порядка обработки персональных данных

 

В соответствии с действующим законодательством Российской Федерации и Кемеровской области — Кузбасса, членами и экспертами Общественной палаты Кемеровской области – Кузбасса проведен анализ проекта федерального закона № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в части усиления ответственности за нарушение порядка обработки персональных данных.

Так как в настоящее время актуальна проблема утечки персональных данных, причинами которых чаще всего является намеренное раскрытие информации третьим лицам, все рецензенты сошлись во мнении о необходимости и своевременности законопроекта.

Несмотря на актуальность законопроекта, эксперты Общественной палаты Кузбасса обратили внимание на следующие детали:

  1. Субъектом предлагаемых новых составов административных правонарушений в сфере обработки персональных данных является лишь оператор персональных данных.

В части 3 статьи 6 Федерального закона «О персональных данных» предусмотрено, что оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.

Частью 4 статьи 6 указанного федерального закона предусмотрено, что обработчик, действующий по поручению оператора, не обязан получать согласие субъекта персональных данных на обработку его персональных данных.

Кроме того, в части 5 статьи 6 Федерального закона №152 «О персональных данных» указано, что в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность только перед оператором.

В связи с изложенным, на практике будут возникать ситуации, когда обработчик, совершив деяние, которое расценивается как административное правонарушение, будет нести за него лишь гражданско-правовую ответственность перед оператором. В то же время в этих случаях будет возникать вопрос привлечения оператора к административной ответственности по ст. 13.11 КоАП РФ при отсутствии его виновного деяния.

В соответствии со ст. 2.1 КоАП РФ административным правонарушением признается не только противоправное, но и виновное действие (бездействие) физических или юридических лиц. То есть, наличие вины субъекта правонарушения является необходимым условием его привлечения к административной ответственности.

Таким образом, в предлагаемых частях 10 – 14 статьи 13.11 КоАП РФ в качестве субъекта правонарушения рецензенты предложили указывать не только оператора, но и лицо, обрабатывающее персональные данные на основании поручения оператора.

  1. Правовую неопределенность содержит предлагаемая формулировка в диспозициях вводимых законопроектом частях 12 – 14, 16 статьи 13.11 КоАП РФ – «Действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей персональные данные…».

Но какие действия, а особенно бездействие оператора можно расценивать как образующие состав данных административных правонарушений? Будет ли образовывать состав административного правонарушения, например, бездействие, которое не противоречит нормам, содержащимся в главе 4 Федерального закона «О персональных данных» (Обязанности оператора)?

В частности, утечка персональных данных может произойти в результате виновных действий отдельных работников оператора, вопреки разработанным оператором инструкциям.

В связи с изложенным, эксперты Общественной палаты предлагают для соблюдения последовательности и правовой корректности слова: «действия (бездействие) оператора» в предлагаемых диспозициях ст. 13.11 КоАП РФ заменить на слова: «неисполнение или ненадлежащее исполнение оператором предусмотренных законом обязанностей».

  1. В часть 11 ст. 13.11. КоАП РФ законопроектом устанавливается ответственность за невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа в случае установления факта неправомерной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных.

В указанной редакции норма содержит правовую неопределенность. При отсутствии конкретных критериев последствий в виде нарушения прав субъектов персональных данных применение данной нормы будет затруднительным и неоднозначным. Соответственно указанные критерии следует сформулировать в норме.

Права субъекта персональных данных перечислены в главе 3 Федерального закона «О персональных данных».

Эксперты также отметили, что в отраслевом законе сформулирован достаточно ограниченный круг прав субъекта персональных данных:

— право на доступ к персональным данным (ст. 14 Федерального закона «О персональных данных»);

— использование оператором персональных данных в целях продвижения товаров, работ, услуг на рынке лишь при наличии согласия на это субъекта персональных данных (ст. 15 Федерального закона «О персональных данных»);

— запрет принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных (ст. 16 Федерального закона «О персональных данных»);

Кроме того, по мнению экспертизы, статья 17 Федерального закона «О персональных данных» предусматривает право субъекта персональных данных обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке если субъект считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы.

Тем самым, законодательно сформулированный перечень прав субъекта персональных данных не является исчерпывающим и наличие нарушения того или иного права субъекта персональных данных зависит прежде всего от мнения самого субъекта.

В связи с этим актуальным остается вопрос – можно ли привлечение оператора к административной ответственности основывать лишь на мнении субъекта персональных данных?

Рецензенты выразили общее мнение о том, что формулирование в норме КоАП РФ четких критериев последствий в виде нарушения прав субъектов персональных данных устранит указанную правовую неопределенность.

  1. Диспозиция предлагаемой части 16 статьи 13.11 КоАП РФ предусматривает виновное деяние оператора, повлекшее неправомерную передачу (утечку) специальной категории персональных данных.

Однако, в отличие от проектируемых частей 12 – 14 указанной статьи КоАП РФ, предусмотренная частью 16 утечка специальной категории персональных данных, не предусматривает дифференцирования ответственности в зависимости от масштаба такой утечки.

В целях соблюдения единообразия норм, а также соблюдения принципов соразмерности и справедливости административного наказания, в части 16 статьи 13.11 КоАП РФ эксперты предложили предусмотреть дифференцирование ответственности в зависимости от масштабов утечки персональных данных, аналогично нормам проектируемых частей 12 – 14 указанной статьи КоАП РФ.

На основании изложенного, экспертиза пришла к выводу, что законопроект в предложенном варианте нуждается в доработке.

Яндекс.Метрика