Многие операторы персональных данных (ПДн) уже успели порядком устать от постоянных изменений в законодательстве и многочисленных разъяснений его положений, которые, как показывает практика, часто можно трактовать в противоположных смыслах. Простые и понятные ответы на многие злободневные вопросы практики получили на конференции CNews Conferences и CNews Analytics "Защита персональных данных: модернизация 152-ФЗ".
Елена Голованова: Операторы персональных данных будут отвечать за невыполнение 152-ФЗ в суде
На вопросы CNews ответила Елена Голованова, генеральный директор «ИнфоТехноПроект», член Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных.
CNews: Какие новации появились в новом законе о персональных данных?
Елена Голованова: В новой редакции закона круг обязанностей оператора расширен. Сформулированы требования к оператору по обработке персональных данных, а не только по их защите (статья 18.1.).
Таким образом, можно констатировать, что получило законодательное закрепление организационно-правовое направление деятельности оператора – принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом. Обязанности есть, направление деятельности есть.
CNews: Что вы, как представитель компании-интегратора, можете порекомендовать операторам ПД?
Елена Голованова: Операторам нужно внимательно отнестись к своим расширенным обязанностям и попытаться отразить это в своей деятельности. И сделать это путем закрепления деятельности по обработке персональных данных, включая их защиту, в качестве одного из бизнес-процессов компании. То есть сделать процессом, которым можно и нужно управлять.
Ведь законодательство о персональных данных направлено в первую очередь на защиту прав субъектов. В чем это выражается? Например, в расширении ответственности лиц, виновных в нарушении прав субъектов. Теперь субъект имеет право на возмещение имущественного и морального вреда и понесенных убытков. Фактически тройная компенсация за нарушение права. Институты возмещения имущественного и морального вреда для России не новы. Практика отлажена: виновен – плати.
Как это ни странно звучит, но обычно оператор не задумывается, а кто будет платить. Очень слабо понимание ответственности за нарушение права граждан за разглашение персональных данных. А если и задумается, то подход простой: до судебного решения далеко. Суд можно затянуть. Истечет срок исковой давности. И все.
CNews: Существуют ли механизмы, с помощью которых можно ограничить сроки рассмотрения судебных дел?
Елена Голованова: Да, судебная практика по Федеральному закону от 30.04.2010 № 68-ФЗ «О компенсации за нарушение права на судопроизводство в разумный срок или права на исполнение судебного акта в разумный срок» набирает обороты. Лица, полагающие, что их права на судопроизводство в разумный срок нарушены, могут обратиться в суд с заявлением о присуждении компенсации за такое нарушение. Размер компенсации определяется судом исходя из требований заявителя, обстоятельств дела, продолжительности нарушения и значимости его последствий для заявителя, и, что особенно важно, с учетом практики Европейского суда по правам человека. Это очевидное нововведение. Законодатель напрямую указывает на необходимость учитывать международную практику. А размеры компенсации за нарушение прав физических лиц Европейский суд использует совсем иные, чем предусмотрены нашим законодательством.
Таким образом, что имеет оператор. Если не управлять процессом обработки персональных данных, то такое бездействие может вылиться в долгую судебную тяжбу, в результате которой платить все равно придется, но возможно гораздо больше, чем размер штрафа за административное правонарушение. Кроме денег, тяжба – это еще и оторванное от основного вида деятельности время и значительные трудозатраты сотрудников компании, а возможно и привлеченных юристов, которым тоже, кстати, надо платить.
Антон Степанов / CNews