Минэкономики опубликовало данные по оценке регулирующего воздействия (ОРВ) проекта, предполагающего резкое ужесточение административной ответственности за нарушения при обработке персональных данных. Хотя формально Минэкономики за проект, ОРВ обнаружила резкое неприятие оборотных штрафов за такие нарушения, а бизнес через эту процедуру смог объявить свое главное предложение по обработке персональных данных — принцип "молчаливого согласия". Предлагается разрешить сбор данных по умолчанию, а несогласных граждан вносить в специальный госреестр.
ОРВ по поправкам в Кодекс по административным правонарушениям и другим законам, разработанным по инициативе Роскомнадзора, не обнаружила существенных претензий к грядущему ужесточению наказаний за нарушения при обработке персональных данных. Формально фраза о том, что существенной нагрузки на бизнес ОРВ не обнаружила, в документе, опубликованном Минэкономики, есть. Между тем документ снижает шансы на получение Роскомнадзором главного оружия в борьбе за фактическую госмонополию в сборе персональных данных — все участники процедуры высказываются против введения оборотных штрафов в КоАП за грубые нарушения. При этом по ряду нарушений штрафы могут возрасти до предельных 500 тыс. руб.
Весь вопрос имеет довольно большую предысторию. Сам по себе закон "О персональных данных", принятый летом 2006 года, в последний раз правился и снабжался "карательными" правками за его нарушения в КоАП в 2011 году. Сейчас за соблюдением правил обработки персональных данных по КоАП формально следит прокуратура, есть и уголовная ответственность за грубые нарушения. В первом полугодии 2012 года Роскомнадзор, представивший в Минэкономики анализ нарушений в этой сфере, потребовал передать право штрафовать нарушителей ему, а сами штрафы дифференцировать, в том числе ввести и штрафы, рассчитываемые от оборота оператора-нарушителя. В сентябре документ, вызвавший критику своей жесткостью, был переработан в нынешнюю версию, переданную на ОРВ. Роскомнадзор мотивировал необходимость ужесточения ростом числа операторов, работающих с персональными данными (7 млн организаций в РФ), утечками и открытой продажей баз данных.
Наибольшее число нарушений правил обработки конфиденциальной информации, констатировал Роскомнадзор, допускают сейчас не интернет-сайты (15% нарушений, второе место) и не банки (третье место, 14%), а организации ЖКХ (31%).
Утечка данных из коллекторских агентств, от операторов связи и СМИ менее масштабна. Впрочем, сама логика Роскомнадзора предполагала, что предметом защиты закона является, по сути, мягкая госмонополия на обработку персональных данных, вводимая законом 2006 года,— она разрушается мелкими операторами. Отметим, в обсуждении закона стала очевидна обыкновенная проблема современного российского законотворчества: правовая норма, создающаяся под решение одной проблемы, применяется на практике под другие. В случае с персональными данными, отметим, к моменту завершения ОРВ проблема стала даже частично политической: в нарушении закона "О персональных данных" подозревают организаторов выборов в координационный совет российской оппозиции 20-22 октября.
Первый результат ОРВ предсказуем: участники против оборотных штрафов — скорее всего, сыграли роль протесты сотовых компаний, для которых проблемы "утечки баз данных", за которыми сложно следить, могут обернуться многомиллионными штрафами. Отметим, резкое усиление контроля над оборотом персональной информации ставит в привилегированное положение на этом рынке бывшего монополиста — государство, которое в последние годы, в том числе в проекте универсальной электронной карты, уже предпринимает попытки сделать свою монополию абсолютной: ОРВ, во всяком случае, сильного ужесточения не поддерживает. Второй результат более интересен: в справке к ОРВ приводятся инициативы бизнеса, которые в случае реализации произведут революцию в этой сфере.
Главная идея бизнеса состоит в гармонизации российского закона с директивами ЕС, и введение в закон "О персональных данных" положения, согласно которому обработка персональных данных, не относящихся к специальным или биометрическим, ведется по умолчанию. Гражданин должен заявить о своем несогласии с запросом данных — в этом случае оператор обязан немедля прекратить их обрабатывать. Для несогласных предлагается создать специальный госреестр: при появлении записи в нем обработка персональных данных в коммерческих целях во всей стране в отношении этого гражданина должна быть запрещена под угрозой жестких санкций. Последствия такого решения сейчас сложно себе представить — очевидно, это зафиксирует госмонополию на несогласных и существенно либерализует оставшийся сегмент рынка. Минэкономики в тексте ОРВ не критикует эту идею, впрочем, прямых механизмов превращения идей ОРВ в законопроекты в РФ сейчас не существует.
"Ъ" продолжает следить за развитием событий.