Заключение Комитета Государственной Думы Федерального Собрания РФ по конституционному законодательству и государственному строительству на проект федерального закона N 683952-6 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных), внесенный Правительством РФ (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ по конституционному законодательству и государственному строительству
на проект федерального закона N 683952-6 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
(в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных),
внесенный Правительством РФ

Досье на проект федерального закона

Комитетом Государственной Думы по конституционному законодательству и государственному строительству рассмотрен указанный проект федерального закона.

Законопроект предусматривает внесение комплексных изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, устанавливающую административную ответственность за нарушение законодательства Российской Федерации о персональных данных.

Диспозиция указанной статьи в действующей редакции охватывает любые нарушения установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Санкцией рассматриваемой статьи предусмотрено административное наказание в виде предупреждения или административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" детально регулирует отношения, связанные с обработкой персональных данных, в том числе устанавливает различные по содержанию обязанности оператора, а также закрепляет гарантии прав субъектов персональных данных в связи с обработкой их персональных данных.

Исполнение таких обязанностей нередко связано с необходимостью принятия операторами организационных, технических и иных мер, с необходимостью дополнительных затрат, а их неисполнение может причинить вред правам и охраняемым законом интересам субъектов персональных данных или третьих лиц, повлечь иные последствия.

Таким образом, диспозиция статьи 13.11 Кодекса Российской Федерации об административных правонарушениях в действующей редакции не позволяет осуществлять дифференцированное применение мер административного наказания, не обеспечивает необходимую индивидуализацию административного наказания.

При этом в ряде случаев имеющиеся санкции оказываются несопоставимыми с затратами, необходимыми для исполнения обязанностей, за неисполнение которых установлена административная ответственность, и не оказывающими необходимого стимулирующего воздействия.

Следует также отметить, что в настоящее время применение статьи 13.11 Кодекса на практике носит единичный характер, что явно не соответствует масштабам нарушения различными операторами законодательства о персональных данных.

В немалой степени это обусловлено тем, что должностные лица уполномоченного органа по защите прав субъектов персональных данных не наделены правом составлять протоколы об административных правонарушениях, предусмотренных данной статьей.

Рассматриваемый законопроект предусматривает обособление восьми самостоятельных составов административных правонарушений, за каждое из которых предлагается установить соответствующее характеру нарушения и степени вреда, причиняемого общественным отношениям, административное наказание. Одновременно предлагается передать полномочия по возбуждению дел об административных правонарушениях, предусмотренных статьей 13.11, от прокуроров (статья 28.4 Кодекса) должностным лицам органа, осуществляющего функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (пункт 58 части 2 статьи 28.3).

По мнению Комитета, реализованный в законопроекте подход позволяет обеспечить соответствие норм, устанавливающих административную ответственность, требованиям четкости, недвусмысленности и формальной определенности.

Принятие законопроекта позволит повысить эффективность мер административной ответственности за нарушение законодательства о персональных данных.

В то же время, по содержанию его отдельных положений имеются замечания.

Так, составы административных правонарушений, предусмотренных предлагаемыми частями 2 и 3 статьи 13.11, необходимо разграничить с преступлениями, предусмотренными статьями 137 (нарушение неприкосновенности частной жизни граждан), 272 (неправомерный доступ к компьютерной информации) и 274 (неправомерный доступ к компьютерной информации) Уголовного кодекса Российской Федерации.

Статья 18.1 Федерального закона "О персональных данных" возлагает обязанности, связанные с определением политики в отношении обработки персональных данных, а также с обеспечением доступности документов, определяющих такую политику, только на операторов - юридических лиц. Однако в диспозиции предлагаемой части 4 статьи 13.11 Кодекса операторы - юридические лица не указаны, а упоминание в санкции указанной нормы граждан создает возможность ее расширительного толкования на практике.

При дальнейшей доработке части 5 предлагаемой статьи 13.11 Кодекса представляется целесообразным выделить составы административных правонарушений, связанных с нарушением права субъектов персональных данных на доступ к своим персональным данным (статья 14 Федерального закона "О персональных данных"), а также с неисполнением оператором предоставить сведения при сборе персональных данных (статья 18 Федерального закона).

Законопроектом не предусмотрена административная ответственность за нарушение ряда положений Федерального закона "О персональных данных", в том числе устанавливающих особенности обработки персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (статья 15), а также обязанность оператора, связанные с уведомлением уполномоченного органа по защите персональных данных о начале обработки персональных данных (статья 22).

По мнению Комитета, отсутствие в законопроекте таких норм снижает эффективность предлагаемых мер административной ответственности.

Установление административной ответственности за правонарушение, предусмотренное предлагаемой частью 8 статьи 13.11 Кодекса, нуждается в дополнительном обосновании. Комитет полагает, что диспозиция нормы, устанавливающей административную ответственность за нарушение правил обработки персональных данных операторами, являющимися государственными и муниципальными органами, должна быть основана на положениях статьи 13 Федерального закона "О персональных данных".

Вместе с тем, высказанные замечания не носят концептуального характера и могут быть учтены в ходе подготовки законопроекта к рассмотрению Государственной Думой во втором чтении.

Комитет поддерживает концепцию рассматриваемого законопроекта и рекомендует Государственной Думе принять его в первом чтении.

Утверждено на заседании Комитета Государственной Думы по конституционному законодательству и государственному строительству 11 февраля 2015 года.

Заместитель Председателя Комитета

Д.Ф. Вяткин