(об установлении административной ответственности за невыполнение оператором при сборе персональных данных граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации)

Расширение сфер применения современных технологий и коммуникаций значительно изменяет степень общественной опасности совершаемых в данных областях правонарушений. Происходящие изменения требуют адекватной корректировки законодательства в целях профилактики и предупреждения противоправных действий.

Практика применения действующего законодательства свидетельствует о недостаточной эффективности существующих мер реагирования на правонарушения в сфере информационных технологий и распространения информации в информационно-телекоммуникационной сети «Интернет» (далее - Интернет, сеть «Интернет»).

Предусмотренные действующей редакцией Кодекса Российской Федерации об административных правонарушениях санкции за совершение административных проступков в указанной сфере не отвечают принципам соразмерности, не обеспечивают необходимого профилактического эффекта, создают условия для совершения повторных и неоднократных нарушений.

Соблюдение субъектами интернет-пространства, в том числе организаторами распространения информации в сети «Интернет», владельцами аудиовизуальных сервисов, операторами поисковых систем требованием и обязанностей, установленных законодательством в сфере информационных технологий, является приоритетом обеспечения информационной безопасности.

Разработанный законопроект направлен на усиление мер административной ответственности за нарушения в сфере обработки данных и распространения информации. Предлагается уточнить размеры санкций за правонарушения с учетом международного опыта, а также ввести административные штрафы за нарушение требований о локализации баз персональных данных граждан Российской Федерации на ее территории.

Общественная опасность нарушений информационного законодательства осознается в зарубежных странах. Об этом

свидетельствуют тенденция увеличивающихся размеров налагаемых на
ИТ-компаний и должностных лиц взысканий.

Например, в Германии за нарушение провайдерами телекоммуникационных услуг законного запроса на передачу запрошенной информации, в том числе о механизмах шифрования, уполномоченный орган может наложить штраф в размере до 500 000 евро (36,5 миллионов рублей), либо частично или полностью приостановить деятельность провайдера. В Великобритании штраф за нарушение требований уполномоченных органов составляет до 50 000 фунтов стерлингов (4,1 миллиона рублей), но также предусмотрена уголовная ответственность: до двух лет заключения по обычным делам или пять лет по делам, касающимся национальной безопасности. Во Франции владельцы сайтов должны собирать и хранить электронную информацию и о лицах, связанных с террористической деятельностью, и об относящихся к кругу общения подозреваемых, и передавать ее Комиссии по борьбе с терроризмом. В случае невыполнения этих требований – тюремное заключение 1 год и штраф 30 000 евро
(2,2 миллиона рублей).

В Турции установлен штраф за несоблюдение норм о хранении информации и организации доступа к ней до 100 тысяч турецких лир (1,1 миллиона рублей), за отказ ограничить доступ к информации - до 300 тысяч турецких лир (3,3 миллиона рублей).

Согласно части 5 статьи 18 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных», при сборе персональных данных, в том числе посредством сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Данная обязанность была установлена Федеральным законом от 21.07.2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» и начала действовать с 1 сентября 2015 года.

С момента вступления в силу указанного федерального закона прошел достаточный срок для выполнения операторами, осуществляющими обработку персональных данных граждан Российской Федерации, установленных требований.

Действующим законодательством отдельной ответственности за неисполнение требований по локализации баз данных предусмотрено не было. В результате корпорации были оштрафованы на три тысячи рублей по ст. 19.7 КоАП за непредставление информации. Столь незначительный для крупных интернет-организаций штраф явно несоразмерен характеру правонарушения и не способен побудить к соблюдению российского законодательства.

Неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционирования критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом, в связи с чем необходимо принятие стимулирующих соблюдение закона санкций за такие нарушения.

Исходя из этого, предлагается установить размер штрафа в случае первого нарушения для юридических лиц в размере от 2 до 6 млн рублей, а случае повторного выявления нарушения от 6 до 18 миллионов рублей, что сопоставимо с расходами, связанными с выполнением установленных законом требований.

В связи тем, что в рамках действующего законодательства неисполнение оператором персональных данных требования, установленного ч. 5 ст. 18 Федерального закона «О персональных данных», может повлечь за собой применение государством единственной меры воздействия - ограничения доступа к информационным ресурсам такого оператора в соответствии с Федеральным законом «Об информации, информационных технологиях и защите информации», - введение административных штрафов становится альтернативной мерой реагирования на нарушения, что позволит более гибко регулировать соответствующие общественные отношения.

Кроме этого, в целях повышения эффективности правоприменения законопроектом предусматривается возможность установления повышенных административных штрафов в случае совершения повторных нарушений по действующим составам правонарушений. Данный подход уже применяется в других статьях КоАП в области связи и информации, в частности в статьях 19.7.10-1 и 19.7.10-2 и показал свою эффективность.

В соответствии со статьей 4.3 КоАП РФ, повторное совершение однородного административного правонарушения, то есть совершение административного правонарушения в период, когда лицо считается подвергнутым административному наказанию в соответствии со статьей настоящего Кодекса за совершение однородного административного правонарушения, рассматривается как обстоятельство, отягчающее административную ответственность.

Повторность можно расценивать как возрастающую угрозу общественному порядку и общественной безопасности, что определяет необходимость применения более строгих мер административной ответственности.

Законопроектом предлагается дифференцировать размер повторных штрафов в зависимости от степени общественной опасности, и установить существенные размеры санкций за нарушения, связанные с распространением или непринятием мер по недопущению распространения экстремисткого контента, в том числе операторами поисковых систем.

Назначение административного наказания в виде наложения административных штрафов является действенной мерой воздействия на владельцев информационных ресурсов, неоднократно умышленно допускающих неисполнение возложенных законодательством обязанностей, так как помимо финансовых они налагают и репутационные издержки.

Принятие и реализация законопроекта не потребует дополнительных расходов бюджетов бюджетной системы Российской Федерации.