В Новый год с опаской
Автор
Алексей Волков
Крайне необходимо принимать самое непосредственное участие во всех проверочных мероприятиях.
На дворе декабрь, вместе с морозами и снегом наступает один из самых любимых россиянами и долгожданных праздников – Новый год. Все вокруг в предвкушении подарков, длительных новогодних каникул и стараются не думать об обстоятельствах, способных подпортить праздничный настрой.
Одно из таких обстоятельств, дамокловым мечом нависая над головой руководителя и заставляя его либо порадоваться, либо взгрустнуть на новогоднем корпоративе, – сводный план проверок, выкладываемый прокуратурой на ее интернет-сайте аккурат под Новый год. Грусть, по понятным причинам, возникает, когда босс обнаруживает название собственной конторы в списке проверяемых. И вдвойне грустно бывает руководителю, если наряду с более-менее понятными проверками со стороны ФНС или МЧС он обнаруживает в документе слова вроде «персональные данные» (далее – ПДн) и «Роскомнадзор». Что делать в такой ситуации проверяемым? Как операторам ПДн снизить риски, связанные с претензиями регулирующих органов? Об этом мы и поговорим сегодня.
Разделение властей
Законодательством РФ в области ПДн (Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 г.) определены три ведомства, осуществляющих государственный надзор в этой области. Самый главный из них – орган по защите прав субъектов персональных данных, то бишь Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), который и предпринимает все надзорные мероприятия. Два других контролера – Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ) – осуществляют соответственно контроль соблюдения установленных законодательством и ведомственными НПА мер в области технической защиты информационных систем ПДн (далее – ИСПДн) и криптографических средств защиты информации. При этом законом предписывается, что два последних ведомства формируют требования по технической защите и криптографии для всех операторов, а контролируют их соблюдение только в государственных ИСПДн. Кто осуществляет контроль за соблюдение этих требований в остальных ИСПДн, законом не установлено, и этот «пробел» вызывает множество споров и противоречий. Роскомнадзор тем временем, пользуясь случаем, всеми силами стремится в эту область вклиниться и даже разработал соответствующий проект постановления правительства, наделяющий его указанными полномочиями. ФСТЭК же и ФСБ, в свою очередь, считая, что они не наделены правом такого контроля, не дают забрать этот лакомый кусок Роскомнадзору, поэтому названный документ пока так и остается проектом.
Но Роскомнадзор не сдается. Пользуясь положениями законодательства, регулирующего государственный и муниципальный контроль и надзор, а также определенными нюансами в собственных нормативных документах (об этом поговорим ниже) для проведения «технических» проверок, эта служба аккредитует экспертов-волонтеров. Кроме того, для осуществления проверки сведений, содержащихся в уведомлении оператора об обработке ПДн, закон позволяет Роскомнадзору привлекать «иные государственные органы в пределах их полномочий». С ФСБ и ФСТЭК ситуация аналогичная. Однако известны случаи, когда для таких проверок привлекались представители органов власти, к данной области не имеющих отношения и в качестве экспертных организаций не аккредитованных (например, сотрудники МВД).
Некоторые эксперты утверждают, что с выходом постановления Правительства РФ № 1119 от 01.11.2012 г. побит последний аргумент в пользу проверки Роскомнадзором технической защиты ИСПДн – его полномочия самостоятельно проверять сведения, указанные в уведомлении об обработке ПДн, в котором оператор, помимо прочего, приводит меры по соблюдению требований ст. 19 152-ФЗ. В пункте 17 упомянутого постановления значится, что контроль в данной области организуется и проводится «оператором или лицом, осуществляющим обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора, самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации». По мнению же других специалистов, ничего по сути не изменилось – ведь такая формулировка лишает прав контроля соблюдения требований ПП-1119 не только Роскомнадзор, но и ФСТЭК и ФСБ в государственных ИСПДн, чего не может быть в принципе, да и институт аккредитованных экспертов никто не отменял.
Кто из них прав – покажет время, но пока автор этих строк склоняется к позиции, что Роскомнадзор ни сам, ни с экспертами проверять техническую защиту ИСПДн не вправе, равно как и привлекать для этого органы, не имеющие отношения к проверяемой области. ФСТЭК и ФСБ выражают свою позицию ясно и четко: они проверяют исключительно государственные ИСПДн и потому «коммерсантов» проверять не придут.
Проверки бывают разные
Виды проверок, сроки и порядок их проведения, содержание приказов и сопутствующих документов, полномочия проверяющих и права проверяемых устанавливаются Федеральным законом № 294-ФЗ от 26.12.2008 г. «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора) и муниципального контроля», и соответствующими административными регламентами – эти документы любой проверяемый должен знать если не как «Отче наш», то очень хорошо. Польза от такого знания неоценима. Судебная практика показывает, что в большинстве случаев, когда проверяемый выигрывал суд у проверяющего, основными аргументами в пользу первого были зафиксированные факты нарушения процедуры проверки последним. Доказать свою правоту в суде, опираясь на глубокое знание предмета рассмотрения, удается гораздо реже. Именно поэтому знание всех процедур и правил, которым должны следовать проверяющие, – главное преимущество проверяемой стороны, ведь сами «хозяева» соблюдают их далеко не всегда.
Законом № 294-ФЗ устанавливаются два вида проверок: плановая и внеплановая, каждая из которых может быть документарной или выездной. Как правило, проверки в области ПДн выездные: проверяющие приезжают в гости к оператору, изучают его внутренние нормативные акты и сравнивают их с законодательством, смотрят и оценивают, насколько то, что они видят, соответствует тому, что у оператора на бумаге. И если с плановой проверкой все более-менее понятно, то в отношении внеплановых визитов есть один интересный нюанс, заслуживающий отдельного рассмотрения.
Итак, основания для проведения внеплановой проверки перечислены в ч. 2 ст. 10 ФЗ 294. Перечень этот закрытый и содержит три варианта: истечение срока исполнения ранее выданного предписания; поступление обращений и заявлений о нарушении прав потребителей; причинение вреда жизни, здоровью, вреда животным, растениям, окружающей среде, объектам культурного наследия народов Российской Федерации, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера или возникновение угрозы их причинения; приказ руководителя надзорного органа в соответствии с распоряжением Президента или председателя Правительства РФ.
Закон не наделяет надзорные органы полномочиями расширять этот список по своему усмотрению. Тем не менее п. 38 Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных от 14 ноября 2011 г. N 312 содержит перечень, отличный от приведенного в законе, дополняющий его следующими двумя основаниями: нарушение прав и законных интересов граждан действиями (бездействием) операторов; нарушение операторами требований законодательства, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
Это «несоответствие» известно давно, и есть судебные прецеденты, когда внеплановая проверка со стороны Роскомнадзора признается незаконной только потому, что ее основание, указанное, в соответствии с административным регламентом, в приказе, не соответствует 294-ФЗ. Но показательно другое: регулятор, зная об этом, не делает ничего для приведения своего ведомственного нормативного акта в соответствие с законодательством.
Поэтому первое, что должен сделать оператор, – внимательно изучить содержание всех граф строки плана проверок (особенно в части целей проверки и органов контроля, с которыми проверка проводится совместно), касающихся его самого, и определить, насколько оно соответствует законодательству. То же самое плюс проверка на соответствие плану прокуратуры (на ее сайте) крайне необходимо сделать и в отношении приказа и всех сопутствующих документов, присылаемых надзорным органом в установленный законом срок перед контрольным мероприятием. Любые несоответствия, обнаруженные в них, могут быть использованы при обжаловании результатов проверки, а документы, необоснованно затребованные контролером, с мотивированным отказом могут не предоставляться оператором.
Готовность номер один?
Изучение законодательства, планов и документов, поиск несоответствий одних документов другим – это, конечно, интересно и даже, может быть, результативно. Но если у оператора в проверяемой области, что называется, конь не валялся, никакие суды не помогут: «баланс интересов» и «принцип добросовестности», продекларированные в законе, требуют усилий и компромиссов от всех участников процесса обработки ПДн. Так что требования, предусмотренные законодательством, должны быть выполнены и проверяемый должен показать проверяющему, как именно он это делает.
Вопрос: где представлены эти требования? Помимо соответствующих статей, устанавливающих конкретные, обязательные для исполнения меры, законодательство делает отсылки к подзаконным актам – постановлениям Правительства (№ 211 от 21.03.2012 г., 687 от 15.09.2008 г., 512 от 06.07.2008 г., 1119 от 01.11.2012 г.,), которые, в свою очередь, ссылаются на ведомственные нормативные акты ФСТЭК и ФСБ (на момент написания этой статьи еще не разработаны, но обещают быть к концу 2012 года). Все, что нужно сделать оператору, – внимательно изучить эти документы и свести все требования (по одному на строку) в одну таблицу, в которой, помимо столбцов «порядковый номер» и «требования законодательства», предусмотреть еще два: «Сведения из локального акта оператора» и «Что будем показывать». Кстати, именно по такому пути идет Роскомнадзор: по сути программа проверки, присылаемая оператору вместе с приказом о ее проведении, есть не что иное, как расширенный вариант первых двух столбцов «операторской» таблицы.
Что нужно делать дальше, все, наверное, уже поняли: собрать нормативные документы, регламентирующие процессы обработки ПДн, проштудировать их и заполнить третий столбец. А затем самое главное – пройтись по всем офисам, где осуществляется обработка, и проверить, насколько то, что написано, соответствует действительности. Иными словами, провести внутренний аудит. Кстати, это одно из мероприятий, предписываемых ст. 18.1 ФЗ 152, поэтому выполнять его нужно как подобает: с приказом, комиссией, актом, планом корректирующих мероприятий и сроками устранения недостатков.
А что делать тем, кто в результате такого аудита вдруг выявит полное отсутствие не то что технических, но даже элементарных организационных мероприятий и каких-либо документов, а проверка приезжает через неделю? Главное – не паниковать. Первое, что необходимо, – разработать положение по обработке и защите ПДн в вашей организации и ряд других документов, отражающих исполнение ею требований законодательства. Подобного рода документы можно спокойно найти в Интернете (например, положение доступно на сайте того же Роскомнадзора) и за короткий срок адаптировать под себя.
Самое главное, что необходимо помнить оператору при разработке или корректировке собственных документов, – не нужно писать лишнего. Организационно-распорядительные документы должны отражать реальную картину, а именно как в данный конкретный момент оператор выполняет требования законодательства, – ни больше, ни меньше. Полномочиями же оценивать достаточность указанных оператором мер проверяющие не обладают. Поэтому если законодатель установил, например, требование ограничить доступ к материальным носителям ПДн – дело оператора, каким образом он будет выполнять это требование: то ли поставит СКУД на дверь в кабинет, то ли навесит на ручки шкафа с документами, содержащими ПДн, амбарный замок. Но если в документах оператора написано, что для ограничения доступа к материальным носителям используется автоматизированная система контроля и управления доступом (СКУД) в помещения, где обрабатываются ПДн, а на деле проверяющий обнаружит амбарный замок, в акте проверки это несоответствие обязательно будет зафиксировано, и оператору потом придется изрядно потрудиться, доказывая, что амбарный замок и есть та самая СКУД, которую он указал.
Старайтесь придерживаться правила «чем проще – тем лучше». Когда по «технической части» сделано мало - даже элементарный порядок в помещениях и на рабочих местах, политика «чистого стола и чистого экрана», приветливые, дружелюбные и знающие о важности защиты ПДн сотрудники «сработают» куда эффективнее, нежели оборудованные биометрическими сканерами копировальные аппараты, с которыми соседствуют коробки с черновиками сканов паспортов.
Знай свои права, уважай права других
Ваша организация может иметь какой угодно размер, какой угодно вид деятельности и степень соответствия законодательству в области ПДн, но для всех без исключения проверка, мягко говоря, головная боль. Корифеи контрольно-надзорных мероприятий считают, что проверку нужно уметь проходить – для этого совсем необязательно лично знать руководителя контрольного органа или обладать какими-то другими «связями».
Итак, законы изучили, аудит провели, документы откорректировали, что могли, сделали. Проверяющие приехали, показали служебные удостоверения и ступили на вашу территорию.
Проверка начинается тут же, с порога, и вам, как гостеприимным хозяевам, рекомендуется заранее определить отдельный кабинет, где вы сможете разместить гостей и рассказать им о житье-бытье своей компании. Очень хорошо, если после размещения вы организуете встречу с руководством (чем выше – тем лучше), в ходе которой постараетесь настроить проверяющих на конструктивный диалог. Пусть руководитель расскажет, что ваша организация – добросовестный и законопослушный оператор, что вы стремитесь к плодотворному общению и готовы в срочном порядке устранить все недостатки, которые обнаружит проверяющий. Так будет всем хорошо: и проверяющие в акте пометят «устранено в ходе проведения проверки», и у вас, как оператора, не будет предписаний.
Крайне необходимо принять самое непосредственное участие во всех проверочных мероприятиях. Если проверяющие изучают документы и не задают никаких вопросов – не стесняйтесь спрашивать сами: каков дальнейший план их работы, не нужна ли помощь. Если пошли делать осмотр – сопровождайте их на каждом шагу, акцентируя внимание на тех моментах, которые у вас организованы хорошо. Обстоятельно отвечайте на претензии и замечания, придумывайте на лету, как можно быстро устранить обнаруженные недостатки, и спешно организуйте эту работу. Те, что не можете устранить, оставляйте на потом, когда получите предписания, но сразу вас в любом случае никто не накажет.
Когда будете обсуждать результаты проверки – не лебезите и не набычивайтесь: спокойно и аргументировано излагайте свою позицию, обязательно подкрепляйте ее выкладками из законодательства. Если прийти к компромиссу не удается – дайте понять, что будете оспаривать принятое решение (в каждом акте проверки есть соответствующее поле, где можно изложить свою точку зрения, и воспользоваться этим – первое, что нужно сделать). Несмотря на то, что оператор де-факто сторона «защиты», помните: наличие и степень вины должны устанавливать не контролер и не прокуратура, а суд.
С искренними пожеланиями в Новом году удачи всем проверяемым и мурости проверяющим, автор статьи очень надеется, что эти нехитрые советы помогут операторам подготовиться к проверкам в области ПДн и мысли о них не омрачат ни новогодние, ни любые другие праздники и трудовые будни наступающего года.
Опубликовано 24.12.2012
Похожие статьи