Штрафы за утечку персональных данных для управляющих организаций могут быть снижены
07.02.2024
Как ранее мы уже писали, 23 января 2024 года в первом чтении Государственной Думой принят законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», усиливающий ответственность за нарушение порядка обработки персональных данных.
Так, поправки к КоАП РФ за утечку персональных данных устанавливают штрафы до 15 млн руб. При повторном правонарушении предлагается установить оборотный штраф в размере до 500 млн руб.
Минцифры России, обосновывая необходимость внесения соответствующих изменений в КоАП РФ, указало на участившиеся случаи утечек персональных данных клиентов из компаний телекоммуникационной сферы, агрегаторов доставки и компаний онлайн-ритейла, а также из сферы дистанционного образования и медицины.
Вместе с тем остается открытым вопрос соотношения «новых» размеров административной ответственности за указанные нарушения и специфики деятельности компаний сферы ЖКХ и энергетики с учетом ее некоторых существенных аспектов. Так, например, стоит отметить следующее:
– деятельность ресурсоснабжающих организаций (РСО) – регулируемая, т. е. цены (тарифы) на услуги устанавливаются органами госвласти и в отношении данного вида деятельности осуществляется контроль (надзор) со стороны различных ведомств, который включает в себя и контроль за правомерностью обработки персональных данных граждан-потребителей с одной стороны, и недопустимость свободного повышения цен на услуги в целях дополнительного исполнения разного рода обязательств;
– деятельность по управлению многоквартирными домами осложнена наличием долгов со стороны граждан - потребителей услуг, их систематичной динамикой роста. Данное обстоятельство и так приводит к проблеме несвоевременности оплаты услуг УК перед РСО, а ведение оборотных административных штрафов в размере до 3 % от годовой выручки (до 500 млн руб.) для организаций энергетики и сферы ЖКХ может привести к катастрофическим последствиям, вызванных нарушением текущей деятельности по снабжению граждан и организаций электрической энергией, тепловой энергией, водой и газом.
Также стоит отметить вопрос установления «вины» в совершении рассматриваемой категории правонарушений операторов персональных данных, в качестве которых выступают организации энергетики и сферы ЖКХ.
Вина – это неотъемлемая часть состава любого административного правонарушения. Статья 2.1 КоАП РФ вину юридического лица связывает с наличием у последнего возможности для соблюдения правил и норм и с фактом принятия юридическим лицом всех зависящих от него мер по соблюдению этих правил и норм.
В данном случае встает вопрос о формальности составов рассматриваемых правонарушений или необходимости при привлечении к административной ответственности учета действий оператора, направленных на выявление угроз утечек, их своевременного устранения и предпринятия в текущей деятельности всевозможных технических, организационных и правовых мер защиты информации, а также учета последствий совершения правонарушений.
В частности, принимая во внимание и указанное выше, Комитет Государственной Думы по строительству и ЖКХ направил в Комитет Государственной Думы по Государственному строительству и законодательству поправки в законопроект № 502104-8 (КоАП РФ), затрагивающие необходимость снижения размеров штрафов и исключения возможности применения оборотного штрафа в отношении управляющих организаций, товариществ собственников жилья и т. д., а также исключения наступления административной ответственности при утечке персональных данных, в отношении указанных лиц, предпринявших все необходимые и достаточные меры для обеспечения безопасности персональных данных.
Кроме того, на прошлой неделе Минцифры России заявило, что по отдельным «держателям» данных оно готово смягчить размеры штрафов.
Ассоциация «Новое качество» с первых шагов заявляла свои возражения против изначальной редакции законопроекта № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Полагаем, что уравнивание абсолютно всех субъектов предпринимательской деятельности в сфере обработки персональных данных без учета специфики их деятельности нецелесообразно. Размеры вводимых административных штрафных санкций явно несоразмерны с потенциальными рисками деятельности, осуществляемой в сфере ЖКХ, а их дальнейшее применение к управляющим организациям может привести к ряду существенных отрицательных последствий и для отрасли в целом.