Порядок обработки персональных данных: кого и как привлекают к ответственности Порядок обработки персональных данных: кого и как привлекают к ответственности

Порядок обработки персональных данных: кого и как привлекают к ответственности

Эксперт «Суммы технологии» Ольга Шаповалова проанализировала правоприменительную практику в России в 2020–21 годах

Персональные данные (ПД) — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Иными словами, ПД — это информация о человеке, которую коммерческие и некоммерческие организации, индивидуальные предприниматели и физические лица (операторы ПД) собирают и используют в своих целях.

Кто контролирует обработку ПД? 

Государственный контроль и надзор за порядком обработки ПД в России поручен Роскомнадзору (РКН). Этот орган проводит плановые и внеплановые проверки операторов, рассматривает жалобы субъектов ПД, следит за соблюдением законодательства о ПД в интернете. Ряд нарушений порядка обработки ПД может повлечь ответственность по ст. 13.11 КоАП РФ, дела по этой статье рассматривают мировые судьи.

Правоприменительная практика: материал для анализа

Выбор между противоправным и правомерным поведением для многих операторов определяется соотношением затрат и рисков. Что проще и в конечном счете дешевле: соблюдать требования закона или оставить все как есть и заплатить штраф? Какова вероятность, что правонарушение будет обнаружено и повлечет ответственность? Ответы на эти вопросы во многом определяют вектор отношения операторов к исполнению требований законодательства. Следовательно, картина правоприменительной практики должна быть такой, чтобы стимулировать правомерное поведение, иначе смысл привлечения к ответственности (помимо наполнения бюджета) теряется. 

Рассмотреть реальную картину правоприменения непросто: она сильно искажена, прежде всего из-за недоступности судебных решений. Теоретически тексты решений должны публиковаться в интернете, однако судебный аппарат не справляется с этой задачей; публикуется далеко не все и с большими задержками.

Так, в информационной системе ГАС «Правосудие» и на портале единого информационного пространства мировых судей Москвы за 2021 г. опубликовано 67 текстов решений мировых судей о назначении наказания по ст. 13.11 КоАП РФ: из них 26 — по Москве, 41 — по 23 субъектам РФ. За 2020 г. в тех же источниках опубликовано 123 текста решений мировых судей: 22 — по Москве, 101 — по 29 субъектам РФ*.

В ГАС «Правосудие», таким образом, опубликованы дела менее чем из половины субъектов РФ. Трудно себе представить, что в остальных регионах таких дел просто не было. РКН проводит проверки везде, и какая-то их часть все же должна приводить к привлечению к ответственности по ст.13.11 КоАП РФ. Вероятно, проблема именно в отсутствии публикаций, а не в отсутствии дел.

Разрыв практически в два раза между 2020 и 2021 годами также говорит не о том, что количество правонарушений в сфере обработки ПД существенно снизилось, а только о том, что решения за 2021 г. еще «готовятся к публикации». В среднем чем ниже уровень суда, тем хуже публикуются решения. Зачастую решение апелляционной инстанции (районного суда) публикуется, а решение мирового судьи — нет. Ориентироваться исключительно на районные суды тоже невозможно, поскольку не все решения мировых судей в принципе обжалуются. И опять же, не все решения районных судов публикуются.

Источником сведений о правоприменительной практике мог бы стать сам РКН. Раз в год ведомство проводит публичные мероприятия для операторов, на которых рассказывает о проделанной работе и достигнутых результатах. Эти отчеты не слишком информативны, но все же на них вполне можно ориентироваться в том, что касается практики самого ведомства. 

Роскомнадзор и прокуратура: кого проверяют, за что и как наказывают

Однако существует конкурирующая практика, не попадающая в отчеты. Хотя в этой сфере есть специально уполномоченный орган, РКН, заведена еще и практика прокурорских проверок. Реальная правоприменительная практика в полном объеме не отражается в публичных источниках, но некоторые выводы все же можно сделать. 

Прежде всего в глаза бросается разрыв в правоприменительной практике Москвы и остальной России: за пределами Москвы основным инициатором привлечения операторов к административной ответственности являются именно органы прокуратуры — их деятельность отражена в большинстве решений мировых судей. В столице инициатором привлечения операторов к ответственности является Управление РКН по ЦФО. 

Должностные лица и физические лица редко интересуют надзорный орган. Он составляет протоколы об административных правонарушениях в отношении юридических лиц и ИП, причем внимание РКН обращено на банки, страховые компании, коллекторов, организации ЖКХ, а муниципальные и бюджетные учреждения привлекаются к ответственности довольно редко. Роскомнадзор возбуждает дела по большинству составов, предусмотренных ст. 13.11 КоАП РФ, с некоторым перевесом в пользу обработки персональных данных в отсутствие оснований (ч. 1 ст. 13.11 КоАП РФ), основная применяемая мера ответственности — штраф. 

Совсем иная ситуация в регионах. В 2020 г. 80% наказаний по ст. 13.11 КоАП РФ стали результатом прокурорских проверок. В решениях мировых судов за 2021 год прокуратура фигурирует пока в 40% случаев, но даже эта цифра очень велика, а с публикацией новых решений она может вырасти. 

При этом РКН в регионах действует примерно так же, как в Москве: интересуется преимущественно юридическими лицами, в большей степени бизнес-структурами, фокусируется на ч. 1 ст. 13.11 КоАП РФ, но обращает внимание и на другие правонарушения в контролируемой сфере, стремится к назначению штрафа в качестве наказания.

Привлечение к адм. ответственности по ст. 13.11 КоАП РФ, 2021

Подход прокуратуры разительно отличается. Во-первых, у прокуроров по всей стране явно выделяется «любимое» правонарушение — отсутствие политики обработки персональных данных (ч. 3 ст. 13.11 КоАП РФ). За 2020 г. 60% наказаний были назначены именно за него. Протоколы об административном правонарушении по ч. 3 ст. 13.11 КоАП РФ составляли почти исключительно прокурорские работники. Из всех предусмотренных ст. 13.11 КоАП РФ составов правонарушений отсутствие политики обработки персональных данных — самый очевидный и удобный для проверяющего. Чтобы открыть сайт организации и констатировать отсутствие искомого документа, не нужны никакие специальные знания в сфере персональных данных.

Объектами прокурорских проверок в подавляющем большинстве случаев становились в 2020-21 годах бюджетные учреждения: образования, культуры, здравоохранения и т. д. Кроме того, прокуратура проверяла и органы местного самоуправления. 

В отличие от инспекторов Роскомнадзора, прокуроры составляли протоколы об административных правонарушениях не в отношении операторов, а в отношении их должностных лиц — в основном руководителей организаций (директоров детских садов, школ).

Надзорная деятельность прокуратуры при этом чаще всего не приводила к пополнению бюджета, так как главной мерой ответственности, применявшейся к должностным лицам за отсутствие политики обработки ПД, было предупреждение. Разумеется, конкретный вид наказания выбирает мировой судья исходя из внутреннего убеждения, однако по делам, инициированным Роскомнадзором, назначались в основном штрафы. Таким образом, в части ответственности за нарушение порядка обработки персональных данных существуют две правовые реальности: одну создает и поддерживает РКН, другую — органы прокуратуры.

Разница в подходах и рост влияния прокуратуры

РКН, в соответствии с Постановлением Правительства РФ от 29.06.2021 № 1046, руководствуется риск-ориентированным подходом при проведении проверок: частота и виды контрольных мероприятий зависят от категории риска. Ведомство активно контактирует с операторами в публичном пространстве, в том числе озвучивает свои позиции по спорным вопросам и отчитывается о деятельности. Прокуратура же не связана риск-ориентированным подходом, как и позициями регулятора, за пределами непосредственно контрольных мероприятий отношения с операторами не поддерживает. При этом операторы не ждут прокурорских проверок в сфере персональных данных. Роскомнадзор интересуется в большей степени операторами из бизнес-среды, прокуратура — бюджетными учреждениями. Соответственно, операторам необходимо учитывать риски не только со стороны РКН, но и со стороны органов прокуратуры. 

В 2022 г. влияние прокуратуры на сферу обработки персональных данных может возрасти. В соответствии с Постановлением Правительства РФ от 10.03.2022 № 336, вводящим мораторий на плановые проверки в текущем году в целях поддержки бизнеса, Роскомнадзор не сможет проводить плановые контрольно-надзорные мероприятия. Однако введенные ограничения не распространяются на прокурорский надзор за соблюдением законодательства, который органы прокуратуры по своему усмотрению осуществляют в любых сферах, и не касаются рассмотрения обращений граждан. Прокуратура традиционно является одним из основных адресатов таких обращений практически на любые темы. Кроме того, Постановление Правительства РФ № 336 предусматривает возможность проведения в 2022 г. внеплановых проверок по требованию прокурора в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по поступившим в органы прокуратуры материалам и обращениям. Такие материалы и обращения могут поступать в прокуратуру как непосредственно от граждан, так и в порядке межведомственного взаимодействия от Роскомнадзора. 

* Рассматривались только решения мировых судей о привлечении к ответственности и назначении наказания; количество опубликованных судебных актов приведено по состоянию на январь 2022 г.