Мудрый Юрист

Квалификация административных правонарушений, предусмотренных статьей 13.11 КоАП РФ

Саранчук Юрий Михайлович, доцент кафедры финансового и административного права Российского государственного университета нефти и газа имени И.М. Губкина, кандидат юридических наук.

В статье анализируются особенности квалификации административных правонарушений в сфере обработки персональных данных. Автор рассматривает диспозицию ст. 13.11 КоАП исходя из определения понятия "обработка персональных данных", приведенном в Федеральном законе "О персональных данных". Нарушения порядка хранения, использования персональных данных рассмотрены как длящиеся правонарушения. Даются предложения по изменению формулировки диспозиции ст. 13.11 КоАП РФ.

Ключевые слова: состав административного правонарушения, длящееся административное правонарушение, бланкетная диспозиция, персональные данные, обработка персональных данных.

Qualification of administrative offences provided for by article 13.11 of the Code on Administrative-Law Offences of the RF

Y.M. Saranchuk

Saranchuk Yurij Mikhajlovich, assistant professor of the Chair of Financial and Administrative Law of Gubkin Russian State University of Oil and Gas, candidate of juridical.

The article analyses the features of qualification of administrative violations in the field of personal data processing. The author considers the disposition art. 13.11 of the code of administrative offences of the Russian Federation, on the basis of the definition of "personal data processing" contained in the Federal law "On personal data". Violations of rules of storage, use, personal data are considered as a continuing offence. Suggestions for wording change the disposition of art. 13.11 of the code of administrative offences of the Russian Federation.

Key words: the structure of an administrative offence, continuing an administrative offence, blanket disposition, personal data, personal data processing.

Проблема квалификации административных правонарушений является достаточно важной для науки административного права. Ошибки в квалификации противоправного действия (бездействия) приводят к низкой эффективности механизма административной ответственности, а в конечном итоге не реализуются правовые принципы законности и справедливости.

Квалификация административных правонарушений представляет собой установление соответствия состава виновного противоправного действия (бездействия) составу, предусмотренному Кодексом Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ <1> (далее - КоАП РФ).

<1> Российская газета. 2001. 31 декабря. N 256.

Значительное количество диспозиций КоАП РФ сформулировано в виде бланкетных норм, не является исключением и диспозиция ст. 13.11 КоАП, и это вполне оправданно, поскольку значительное количество законодательных актов в том или ином контексте использует понятия персональных данных, сведений о гражданах др. <2> Тем не менее представляется, что в подобной ситуации "бланкетизация" может повлечь ошибки в квалификации противоправных действий (бездействия), связанных с обработкой персональных данных. Данное мнение основано на следующем.

<2> См., напр.: глава 14 "Защита персональных данных работника" Трудового кодекса Российской Федерации от 30.12.2001 N 197-ФЗ // Российская газета. 2001. 31 декабря. N 256; ч. 2 ст. 25 Федерального закона от 25.04.2002 N 40-ФЗ "Об обязательном страховании гражданской ответственности владельцев транспортных средств" // Российская газета. 2002. 7 мая. N 80.

Статья 13.11 КоАП РФ "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" была сформулирована в начальной редакции КоАП РФ, на тот момент Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) <3> принят не был, действовал утративший на сегодняшний день силу Федеральный закон от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" <4>, который использовал понятие "информация о гражданах (персональные данные)" - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Исходная формулировка рассматриваемой статьи сохранилась, что на сегодняшний день, по нашему мнению, не соответствует положениям как Закона о персональных данных, так и иных законов, регламентирующих особенности обработки персональных данных различных субъектов и в различных сферах деятельности (работников, обучаемых, пассажиров воздушных судов, страхователей и потерпевших, государственных служащих, детей, оставшихся без попечения родителей, и т.д.).

<3> Российская газета. 2006. 29 июля. N 165.
<4> СЗ РФ. 1995. N 8. Ст. 609.

Статья 3 Закона о персональных данных под обработкой персональных данных понимает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Проводя сравнение определения обработки персональных данных, данного в ст. 3 Закона о персональных данных, и деяний, предусмотренных диспозицией ст. 13.11 КоАП РФ, приходим к выводу об отсутствии, например, административных санкций за нарушения правил блокировки, уничтожения информации, трансграничную передачу.

Обработка персональных данных представляет собой определенную последовательность процедур, для каждой из которых должен быть установлен определенный порядок. Например, порядок сбора персональных данных, который в соответствии с ч. 5 ст. 5 Закона о персональных данных содержат запрет на избыточность по отношению к заявленным целям их обработки, правила хранения, правила блокировки и уничтожения персональных и т.д. В рамках Закона о персональных данных диапазон законных целей обработки персональных данных может быть очень широким: продвижение на рынке товаров и услуг (прямой маркетинг), содействие в трудоустройстве, ведение учета пользователей информационным ресурсом, оказание образовательных услуг и т.д.

Ряд исследователей рассматриваемой сферы, например Н.И. Петрыкина, предлагает использовать другой термин - оборот персональных данных, считая, что данный термин позволяет "охватить весь спектр общественных отношений, складывающихся в исследуемой сфере" <5>. Обработка персональных данных включает в себя, на наш взгляд, ряд процедур, связанных с различными технологиями, в т.ч. и неавтоматизированными. И хотя российское законодательство использует термин "оборот" (например, Федеральный закон от 13.12.1996 N 150-ФЗ "Об оружии" <6>, Федеральный закон от 24.07.2002 N 101-ФЗ "Об обороте земель сельскохозяйственного назначения" <7>, Федеральный закон от 22.11.1995 N 171-ФЗ "О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции" <8> и др.), авторская позиция отличается от позиции, выраженной Н.И. Петрыкиной, как в части использования термина "оборот" вместо "обработка", так и в той части, что речь должна идти не столько о "спектре общественных отношений", сколько о спектре существующих в данный момент технологий, связанных с обработкой персональных данных. Думается, что термин обработка подчеркивает именно технологичность этих процессов. При этом обработка предполагает получение качественно иного результата (обработать - подвергнуть... изменениям, анализу, сделать готовым для чего-нибудь; получить - взять, приобрести вручаемое, предлагаемое, искомое) <9>. Отметим еще одну деталь: сбор (получение) персональных данных осуществляется именно с целью их дальнейшей обработки (использования), тем не менее законодатель включил их в состав обработки.

<5> Петрыкина Н.И. Правовое регулирование оборота персональных данных в России и странах ЕС: Автореф. дис. ... канд. юрид. наук. М., 2007. С. 7.
<6> СЗ РФ. 1996. N 51. Ст. 5681.
<7> СЗ РФ. 2002. N 30. Ст. 3018.
<8> СЗ РФ. 1995. N 48. Ст. 4553.
<9> Ожегов С.И. Словарь русского языка / Под ред. Н.Ю. Шведовой. М.: Рус. яз., 1990. С. 433, 556.

Рассмотрим достаточно критичную, на наш взгляд, стадию обработки персональных данных - уничтожение. Закон о персональных данных под уничтожением персональных данных понимает действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Это справедливо для таких материальных носителей, как бумага, оптические диски, но если персональные данные хранятся на жестком диске персонального компьютера, то уничтожается не сам диск, а используется технологическая процедура стирания информации, содержащей персональные данные. Заметим, что обычного стирания файла на компьютере недостаточно для гарантированной невозможности его восстановления.

Статья 21 Закона о персональных данных устанавливает основания и сроки для уничтожения персональных данных, а в случае невозможности уничтожения персональных данных в течение указанного срока требует осуществления блокирования таких персональных данных с последующим их уничтожением, как следствие, нарушение установленного порядка уничтожения и блокировки персональных данных должно предусматривать конкретную административную ответственность в диспозиции ст. 13.11 КоАП РФ.

Нарушение правил хранения, использования, накопления персональных данных может продолжаться длительное время, т.е. содержать признаки длящегося правонарушения.

По данным Отчета о деятельности Уполномоченного органа по защите прав субъектов персональных данных в 2012 г. Уполномоченным органом по выявленным фактам нарушения требований законодательства Российской Федерации в области персональных данных в органы прокуратуры в 710 случаях направлены соответствующие материалы. По итогам рассмотрения направленных материалов органами прокуратуры в 164 случаях были приняты решения о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ и вынесены постановления суда о привлечении операторов к административной ответственности, в 113 случаях принимались иные меры прокурорского реагирования (вносились представления, направлялись предостережения). В остальных случаях органами прокуратуры принимались решения об отказе в возбуждении административного производства в связи с истечением срока давности, что составляет 61% от общего числа направленных в прокуратуру материалов <10>. Процент отказа в возбуждении дел об административных правонарушениях за истечением срока давности представляется нам достаточно высоким.

<10> URL: http://rkn.gov.ru/personal-data/reports/.

Постановление Пленума Верховного Суда РФ от 24.03.2005 N 5 (ред. от 19.12.2013) "О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях" под длящимся административным правонарушением понимает такое правонарушение, которое выражается в длительном непрекращающемся невыполнении или ненадлежащем выполнении предусмотренных законом обязанностей <11>.

<11> Российская газета. 2005. 19 апреля. N 80.

П.П. Серков в своей работе очень правильно отмечает, что отнесение конкретного административного правонарушения к числу длящихся зависит от того, предусмотрена ли законодателем в качестве признака объективной стороны внутренняя продолжительность противоправных действий (бездействия). Это обстоятельство является единственным правовым и объективным критерием. При этом автор отмечает, что само существование такой длительности предстает в форме негативных последствий противоправных действий (бездействия) и тем самым увеличивает их опасность <12>. Исходя из этого, нарушение порядка хранения и использования персональных данных следует рассматривать в качестве длящихся правонарушений.

<12> Серков П.П. Административная ответственность в российском праве: современное осмысление и новые подходы: Монография. М.: "Норма", "Инфра-М", 2012. 480 с. // СПС "КонсультантПлюс".

Квалификация административного правонарушения, помимо установления противоправности действия или бездействия, предусматривает установление причинно-следственной связи между деянием и наступившими последствиями. К сожалению, диспозиция ст. 13.11 КоАП РФ не содержит указаний на размер причиненного ущерба. Думается, что нарушения порядка обработки персональных данных на различных стадиях (сбора, хранения, использования, уничтожения, передачи и т.д.) будут иметь различные последствия, поэтому предлагается переформулировать положения ст. 13.11 КоАП РФ, предусмотрев различную ответственность за нарушение разных правил обработки персональных данных, как это сделано, например, в ст. 20.8 КоАП РФ, предусматривающей различную ответственность за нарушение конкретных правил оборота оружия (хранение, ношение, транспортирование, учет, уничтожение).

Обратим внимание на то, что Закон о персональных данных рассматривает такие действия, как распространение, предоставление, доступ в качестве частных случаев передачи персональных данных, что приводит к выводу о формальном отсутствии в КоАП РФ санкции за нарушение порядка предоставления персональных данных и доступа к ним. Порядок обработки персональных данных регулируется не только "базовым" Законом о персональных данных, но и специальными законами, в которых предусматриваются особенности обработки персональных данных в различных сферах деятельности. В качестве примера можно привести положения ст. 88 ТК РФ "Передача персональных данных работника" <13>, которые содержат специальный для трудовых отношений порядок передачи персональных данных работника, что также не находит отражения в диспозиции ст. 13.11 КоАП РФ.

<13> Российская газета. 2001. 31 декабря. N 256.

Следствием нарушения правил обработки персональных данных может явиться их разглашение (на наш взгляд, если распространение информации может происходить самым различным способом, то разглашение может быть только вербальным). В ст. 13.11 КоАП РФ не содержится нормы об административной ответственности за разглашение персональных данных. В данном случае следует обратиться к ст. 13.14 КоАП РФ, которая предусматривает ответственность за разглашение информации с ограниченным доступом (в соответствии с Указом Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" <14> сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), относятся к категории информации с ограниченным доступом), при этом рассматриваемый состав содержит специальный субъект - лицо, получившего доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

<14> Российская газета. 1997. 14 марта. N 51.

В заключение предлагается сформулировать название и диспозицию ст. 13.11 КоАП в следующей редакции: "Нарушение установленного законом порядка обработки персональных данных" без указания конкретных этапов обработки, что, на наш взгляд, будет более точно отражать положения Федерального закона о персональных данных и повысит эффективность правоприменения.

Литература

  1. Ожегов С.И. Словарь русского языка / Под ред. Н.Ю. Шведовой. М.: Рус. яз., 1990. 921 с.
  2. Петрыкина Н.И. Правовое регулирование оборота персональных данных. М.: Статут, 2011. 134 с.
  3. Серков П.П. Административная ответственность в российском праве: современное осмысление и новые подходы: Монография. М.: "Норма", "Инфра-М", 2012. 480 с. // СПС "КонсультантПлюс".