30 января 2012 г.

Хочу, чтобы мне за это ничего не было

Самый популярный вопрос, с которым обращаются в наше агентство в последние месяцы по поводу ФЗ-152: «А что нам будет за то, что мы ничего по защите персональных данных делать не будем?». Этот же вопрос, прослушав курсы, задают слушатели, прикинувшие на себя объем работы по выполнению закона. Он же чаще всего звучит и после публичных выступлений на различных конференциях, форумах, вебинарах и т.п. Просто эпидемия.
Похоже, в головах большинства сложилось четкое представление о мизерности штрафов по сравнению со стоимостью проектирования и технической реализации защитных мер, невозможности проверяющих хоть как-то повлиять на деятельность оператора персональных данных и привычное российское «Заплатим – и отстанут».
Это нередко действительно так, но не совсем.
Если мы полистаем разделы публичных докладов Роскомнадзора о деятельности в области персональных данных за последние пару лет, то увидим, что для привлечения операторов к ответственности применяются фактически всего две статьи КоАП: 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и 14.7 «Непредставление сведений (информации)». Максимальные наказания по ним действительно небольшие – для должностных лиц по 13.11 – 1 тысяча руб., для юридических лиц – 10 тысяч, по 19.7 и вовсе до 500 руб. для должностных лиц и до 5 тысяч руб. для юрлиц. Стоимость самого скромного проекта по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже. Да и постановление по делу об административном правонарушении должно быть вынесено в течение не более чем двух месяцев с момента выявления нарушения.
Но это взгляд поверхностный. А если копнуть поглубже, риски оператора уже не выглядят такими незначительными. И вытекают они из самой системы государственного контроля и надзора, установленной другим законом, ФЗ-294. Ст.17 данного закона предусматривает, что при выявлении проверяющими-надзирающими нарушений обязательных требований они обязаны выдать предписание об их устранении с указанием сроков и принять меры по контролю за устранением выявленных нарушений, их предупреждению, а также меры по привлечению виновных лиц к ответственности. Обязаны!
И если оператор требования предписания не выполнил, вступают в действие другие статьи КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор» (штраф уже до 20 тысяч), 19.6 «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения», 19.4 «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор». А выполнить предписание иногда не просто сложно, а фактически невозможно, тем более, что для его реализации предоставляется небольшой срок, как правило – не более 1 месяца.
В качестве примера – реальная ситуация. Оператор связи (несколько миллионов абонентов) передал работу по выставлению счетов за услуги клиентам и сбору платежей в дочерние организации-самостоятельные юрлица. Прокуратура совместно с Роскомнадзором выявили нарушение – предоставление персональных данных субъектов третьим лицам без их согласия и потребовали в месячный срок нарушение устранить. А теперь прикиньте, что это значит – либо свернуть сеть сервисных центров и вернуть бизнес в головную компанию (с ликвидацией юрлиц и передачей дел-прав), либо получить подтверждаемое согласие у миллионов людей на огромной территории. За месяц. Не удастся выполнить – оператора не можно, а надо снова штрафовать!
Для руководящего состава операторов-юрлиц предусмотрено и такое наказание, как дисквалификация, т.е. лишение права занимать должности в исполнительном органе управления юридического лица, входить в совет директоров (наблюдательный совет). Дисквалификация устанавливается на срок от шести месяцев до трех лет и может быть применена к лицам, осуществляющим организационно-распорядительные или административно-хозяйственные функции в органе юридического лица, к членам совета директоров (наблюдательного совета).
Реальная ситуация, имевшая место в жизни – дисквалификация по ст.5.27 «Нарушение законодательства о труде и об охране труда» должностного лица, ранее подвергнутого административному наказанию за аналогичное административное правонарушение. Не выполнено на предприятии требование п.8 ст.88 Трудового кодекса о наличии и доведении под роспись до работников документов, устанавливающих порядок обработки персональных данных работников, а также их правах и обязанностях в этой области – пожалуйста, штраф до 5 тысяч рублей на руководителя (можно и всего тысячу, чтобы не сильно пугались) и предписание устранить нарушение в месячный срок. А за месяц и разработать, и довести документ до большого трудового коллектива ой как сложно. Кто-то в отпуске, кто-то учится, кто-то болен. Внеплановая проверка через месяц в рамках надзора за устранением выявленных нарушений – дисквалификация первого лица, ранее оштрафованного за аналогичное нарушение.
Наконец, хотя никакой возможности административной приостановки деятельности оператора за нарушения, связанные с персональными данными, кодекс не предусматривает, за исключением случаев (внимание!) если оператор является лицензиатом ФСТЭК или ФСБ и при этом грубо нарушает лицензионные условия (ч.5 ст.13.12 «Нарушение правил защиты информации»). А вот за нарушение трудового законодательства (помним о главе 14 Трудового кодекса!) вполне можно, по упоминавшейся выше ч.1 ст.5.27 КоАП, на срок до 90 суток.
Отдельная проблема – выполнение требований по защите персональных данных, в том числе в части использования несертифицированных средств. Но об этом – как-нибудь в другой раз.
А на сегодня мой рецепт простой: просчитайте риски – для своей организации, для себя лично с учетом занимаемой позиции и степени ответственности и принимайте решения: ждать или действовать.

15 комментариев:

  1. Видимо поэтому в перечне нормативных актов, соответствие которым проверяет Роскомнадзор, на первом месте стоит Трудовой кодекc, а потом уже 152-ФЗ.

    ОтветитьУдалить
  2. Сергей, это вообще песня. 294-ФЗ, ст.3 п.5, принципы защиты прав при проведении контроля (надзора): "недопустимость проводимых в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора), органами муниципального контроля проверок исполнения одних и тех же обязательных требований и требований, установленных муниципальными правовыми актами".
    Таким образом,выполнение гл.14 ТК РФ должны проверять ИЛИ Роскомнадзор, ИЛИ Роструд (Государственная инспекция труда). Проверяют и те, и те, что грубо нарушает основополагающий принцип ФЗ.

    ОтветитьУдалить
  3. 2 "Стоимость самого скромного проекта по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже."
    Это если заказывать на стороне. Эх лень матушка. Не нужно быть семи пядей, чтобы самостоятельно (гугл в помощь) закрыть требования РКН. Техзащита конечно значительно дороже, но тут уже риски: вероятность проверки со стороны ФСТЭК для 90% операторов стремится к нулю, те, кому утечка критична для бизнеса техзащиту организовали, а остальным кроме антивируса может особо ничего и не нужно.

    ОтветитьУдалить
  4. Сергей, не стал бы спорить, если бы на курсы ко мне не приходили слушатели, которые оказались на предприятии крайними по ФЗ-152, бесконечно далеки от этой темы.
    Кто должен решать эту проблему в больнице, вузе, ЗАГСе? Конкретно? Разобраться с согласиями и основаниями? Запросами субъектов? Провести классификацию (ее теперь требует РКН)?

    ОтветитьУдалить
  5. Михаил, забыли еще упомянуть про ч.2 ст.24 "моральный вред субъекту". Ибо экономия на защите ПДн может вылится в серьезные суммы выплат.

    Так же стоит сказать что феил в проверке РКН может привести к визиту ФСТЭК и ФСБ (п5.1 ч.3 ст.23). Тоже хороший аргумент чтобы задуматься хотя бы о документах.

    ОтветитьУдалить
  6. Артем, не забыл, просто не вижу реальной работы этой статьи, поскольку ее характер - больше декларативный. В качестве примера - решение суда по реальному иску субъекта к оператору персональных данных: "суд пришел к выводу, что истец не представил доказательств факта причинения ему нравственных и физических страданий действиями ответчика". И это - самый распространенный вариант. Моральный вред у нас отсуживают одни и те же, известные всем люди. ФСТЭК и ФСБ пока после проверки РКН не придут - ч.9 ст.19: "ФОИВ, уполномоченный в области обеспечения безопасности, и ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства РФ с учетом значимости и содержания обрабатываемых персональных данных МОГУТ БЫТЬ наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных"

    ОтветитьУдалить
  7. "у вас на стройке несчастные случаи были?" "Нет" "Будут".
    А ФСТЭКу и ФСБ от РКН придет уже информация о конкретных правонарушениях. Т.ч. визит ФСТЭК и ФСБ будет не с целью "государственного контроля" а с целью "пресечения правонарушений".

    ОтветитьУдалить
  8. Ну, когда будут, тогда и посмотрим. А что, ФСТЭК - правоохранительный орган? И в чем правонарушение?

    ОтветитьУдалить
  9. ФСБ - правоохранительный орган.
    Правонарушение - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (КоАП 13.11).. для начала..

    ОтветитьУдалить
  10. ФСБ - да. А для того, чтобы прийти для пресечения правонарушения, его надо сначала выявить, что, в части технической защиты, не в полномочиях Роскомнадзора. И техзащита, которая в полномочиях ФСТЭК и ФСБ - это не сбор, хранение и использование. И по ст.13.11 ни у РКН, ни у ФСБ, ни у ФСТЭК нет полномочий рассматривать административные дела (ст.23.46 КоАП)

    ОтветитьУдалить
  11. РКН имеет право (ч.4 ст.18.1) запросить информацию о технических мерах по обеспечению безопасности ПДн (п.3 ч.1 ст.18.1), а так же о средствах криптографической защиты информации (п.7 ч.3 ст.22).

    Т.о. выявить нарушение в технической защите РКН вполне в состоянии.

    Тех.защита - это ПОРЯДОК использования и хранения. Нет тех.защиты - значит ПОРЯДОК хранения ПДн не соблюдается.
    Материалы по ст.13.11 все трое могут направить для возбУжденья в прокуратуру.

    ОтветитьУдалить
  12. Артем, ИМХО, Вы очень широко и произвольно толкуете закон. Спорить с эти с не вижу смысла, поскольку речь идет о сугубо Вашем понимании. Техзащита - это порядок использования и хранения? Откуда Вы это взяли? Право собирать определенные в ст.22 сведения не означает права оценить достаточность мер, ну и т.д.
    Да и речь шла совсем о другом. О визите для пресечения правонарушения.

    ОтветитьУдалить
  13. думаю, спорить действительно смысла нет, т.к. в реальной жизни есть факты обмена информацией по операторам ПДн между службами и проверки ФСБ по материалам проверок РКН.

    ОтветитьУдалить
  14. Передача информации Роскомнадзором в ФСБ и ФСТЭК предусмотрена законом: "5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона"
    Проверки ФСБ, как я понимаю, были до ФЗ-262?

    ОтветитьУдалить
  15. А вообще реальная жизнь и положения ФЗ-152 коррелируют очень плохо.

    ОтветитьУдалить