На Едином портале для
размещения информации о разработке федеральными органами исполнительной власти
проектов нормативных правовых актов и результатов их общественного обсуждения
выложен проект Постановления Правительства «Об утверждении Положения о
государственном контроле и надзоре за соответствием обработки персональных
данных требованиям законодательства Российской Федерации» (далее – Положение).
Мнения по нему уже высказали два Алексея – Лукацкий и Волков. Но документ, на мой
взгляд, очень сложный и с несколькими скрытыми пластами, поэтому посчитал
нужным обратить внимание на некоторые нюансы, в комментариях коллег не
отраженные. Данный пост будет касаться исключительно одного вопроса –
привлечения к проверкам Роскомнадзора экспертов и экспертных организаций. Его
затрагивал в своем посте Алексей Волков, но я хотел бы посмотреть на эту
проблему с другой стороны.
У нее есть несколько
составляющих, каждая из которых требует тщательного анализа и осмысления.
Итак, в соответствии
с п.9.7 Положения, для оценки и анализа мер, принятых государственным органом,
органом местного самоуправления, юридическим лицом, физическим лицом для
обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных», могут привлекаться эксперты и (или) экспертные
организации, аккредитованные в порядке, установленном Федеральным законом от 28.12.2013
№ 412-ФЗ «Об аккредитации в национальной системе аккредитации» (далее – закон
об аккредитации). Норма не новая, она существовала и раньше, и в отношении
контроля и надзора вводилась частью 2 статьи 7 Федерального закона от
26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля (надзора) и
муниципального контроля». Отметим лишь пока только то, что с 1 сентября надзор
в сфере персональных данных из-под регулирования данным законом выводится,
значит, и нормативные правовые акты, принятые в соответствии с ним, на этот вид
надзорной деятельности не распространяются, если это не оговорено особо в их
тексте.
В 2012 году
Роскомнадзор активно проводил работу по аккредитации экспертов и экспертных
организаций, и в реестры, размещенные
на сайте ведомства,
включены 30 экспертных организаций и 25 экспертов. Среди организаций
преобладают интеграторы из Москвы, Питера и регионов, активно продвигающие свои
услуги на рынке обеспечения соответствия обработки и защиты персональных данных,
известные и не очень. Среди экспертов тоже знакомые лица, которые работают на
этой ниве, остальные, смею предположить, тоже из компаний, имеющих отношения к
данному направлению деятельности.
Что же предполагается
возможным поручить привлекаемым экспертам и экспертным организациям? Проект
Положения на этот вопрос ответа не дает, но он есть в упомянутых выше реестрах привлекаемых
к проверкам лиц:
·
обследование
и определение уровня защищенности негосударственных информационных систем
персональных данных, используемых оператором при осуществлении своей
непосредственной деятельности;
·
оценка
соответствия применяемых технических средств защиты информации;
·
оценка
достаточности и эффективности принимаемых оператором технических мер по
обеспечению безопасности персональных данных при их обработке в
негосударственных информационных системах персональных данных;
·
проведение
исследований, а также проведение экспертиз и расследований, направленных на
установление причинно-следственной связи выявленного нарушения обязательных
требований законодательства Российской Федерации в области персональных данных.
Полномочия, как мы
видим, связаны в основном непосредственно с анализом технической защищенности
ИСПДн, в то время, как в преамбуле проекта Положения прямо указано, что оно
устанавливает
порядок осуществления государственного контроля и надзора за соответствием
обработки персональных данных требованиям законодательства Российской
Федерации, за исключением деятельности по осуществлению контроля и надзора за
выполнением организационных и технических мер по обеспечению безопасности
персональных данных, обрабатываемых в ИСПДн, установленных в соответствии со
статьей 19 закона «О персональных данных». Но А. Волков уже обращал
внимание в своей публикации, что пунктом 24 проекта Положения
предусматривается, что должностными лицами, указанными в приказе о проверке, в
пределах своей компетенции проводится проверка документов, локальных актов, а
также принятия государственным органом, органом местного самоуправления,
юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1
Федерального закона «О персональных данных». А там, как мы помним, есть п.3 – «применение
правовых, организационных и технических мер по обеспечению безопасности
персональных данных в соответствии со статьей 19 настоящего Федерального закона».
Оставим пока в
стороне это несоответствие. Займемся непосредственно проблемой привлечения
экспертов и экспертных организаций. Для начала отметим, что должностные лица
надзорного органа, проводящего проверку, и эксперты в приказе о ее проведения
указываются поименно, а вот представителей экспертных организаций перечислять
не предусматривается, что создает возможность привлечения к проверке
неограниченного количества работников экспертной организации.
На мой взгляд, участие
в проверках компаний, оказывающих услуги на этом же рынке, и экспертов из них
создает, как минимум, три группы проблем.
Первая. Проблемы морально-этические. Интегратор А (для
простоты будем именовать всех, оказывающих услуги на этом рынке, интеграторами,
хотя там есть и другие игроки) привлекается к проверке в организации, где
проект по выполнению требований законодательства о персональных данных был
сделан интегратором Б. Сами понимаете, соблазн «мокнуть в воду» весьма велик,
конкурент, как-никак. Как уже много раз писали и говорили наши эксперты-блогеры
в сфере персональных данных, и я в том числе, закон и подзаконные акты написаны
так, что их исполнение целиком и полностью зависит от трактовки, поэтому поле
для «творчества» необъятное. Попутно порешать проблемы конкурентной борьбы, да
еще и склонить проверяемую организацию на последующее оказание услуг интегратором
Б, нарисовав ужасные картины перечня выявленных нарушений и недостатков в двух
вариантах – «вы нас не приглашаете» и «вы нас приглашаете» для их исправления.
Соблазны неприятны и
трудно преодолимы, особенно при отсутствии изначально соответствующей установки
руководства экспертной организации или эксперта о допустимости продвижения
своих услуг и соответствующих тормозов у конкретных участников процесса. Именно
поэтому я вынес в заголовок поста слова про испытание для отрасли и выпущенного
из бутылки джина. Загнать его обратно, в соответствии с восточными сказками,
будет очень трудно. Сказка, конечно, ложь, но намек очевиден. Разговоры типа
«Мы завтра начинаем работать в «Рогах и копытах» с Роскомнадзором, говорят, вы
там нормативку писали и частную модель угроз рисовали, систему защиты
проектировали. Что делать будем?» между топами и не очень топами интеграторов
на нашем маленьком и тесном базарчике могут существенно подорвать мир и
спокойствие.
Проблема вторая. Операторская. Выполнение
возложенных на внешних экспертов задач предполагает глубокое погружение в ИСПДн
проверяемой организации, а значит – и доступ к персональным данным. Если это
должностные лица Роскомнадзора, обосновать такой доступ как-то можно, тем более,
что в проекте Положения для них есть п.9.5: «получать доступ к информационным
системам персональных данных для оценки законности деятельности по обработке
персональных данных, в том числе, на предмет соответствия содержания, объема,
способов обработки, сроков хранения обрабатываемых персональных данных целям их
обработки». Хотя надо заметить, что постановление правительства – не закон, а
доступ к персональным данным без согласия субъекта на основании не закона, а
нормативного правового акта закон о персональных данных не допускает.
Это общая и серьезная
проблема, недавно один из наших клиентов разруливал ситуацию с субъектом, чьи
данные были переданы в орган исполнительной власти в ответе на его запрос, а
субъект с этим категорически не согласился. Но при любых вариантах давать
доступ без согласия субъекта к его персональным данным представителям
коммерческой организации оператор никак не может. И что ему делать?
«Препятствовать проверке», т.е. совершать административное правонарушение?
Ответа нет, а риск есть. Кроме персональных данных, в ИСПДн может быть и другая
информация о субъекте, доступ к которой ограничен законом, и эксперты его
получать не должны. Например, врачебная тайна (при проверке учреждений
здравоохранения), тайна связи (при проверке операторов связи) и т.п. Сцилла и
Харибда слишком близко, лодочка позиций оператора очень хлипкая, и все риски
только его. И прецедентов, когда суды признают доступ третьих лиц к
персональным данным и сведениям о частной жизни неправомерным их разглашением,
достаточно. Я тоже об этом писал. Здесь, например.
Проблема третья. Тоже операторская, но другая. Во многих случаях
сведения о клиентах-физических лицах относятся использующей их организацией к
коммерческой тайне. И российские суды охотно
соглашаются с правомерностью такого отнесения, привлекая к уголовной ответственности
за попытки продать или помимо воли обладателя каким-либо способом использовать
такие сведения работниками владельца секретов или соглашаясь с законностью
увольнения работников за разглашение баз данных клиентов. О последнем случае
стало известно несколько дней назад – работник страховой компании в очередной
раз реализовал на рынке
базу застрахованных лиц. Закон о коммерческой тайне четко определяет обязанность
безвозмездно предоставить информацию, составляющую коммерческую тайну, органу
государственной власти или заключить гражданско-правовой договор о ее передаче
с контрагентом. А вот про экспертные организации он ничего не знает и поэтому
не определяет. И опять выбор между препятствованием проверке и защитой своих
законных интересов и прав как обладателя коммерческой тайны.
Это проблемы, которые
мне показались самыми важными при анализе вопроса привлечения экспертов. На
самом деле их гораздо больше. Например, на сайте
Роскомнадзора
в качестве основания для создания реестров экспертов и экспертных организаций
указано Постановление Правительства от 20.08.2009 № 689 «Об утверждении правил
аккредитации граждан и организаций, привлекаемых органами государственного
контроля (надзора) и органами муниципального контроля к проведению мероприятий
по контролю». А оно уже год как утратило силу, и порядок совсем теперь другой,
и форма заявления тоже.
Времени на еще один
пост по проекту Постановления у меня уже не будет, работы много. Поэтому очень
коротко о том, что мне показалось в нем новым и крайне важным. Выводы делайте
сами:
·
Самое
важное, по моему мнению. У Роскомнадзора может появиться право выдавать
обязательные для исполнения требования о приостановлении или прекращении
обработки персональных данных, осуществляемой с нарушениями требований закона о
персональных данных. В случае неисполнения требования о приостановлении
деятельности по обработке персональных данных по месту нахождения нарушителя в
суд подается исковое заявление с требованием признания осуществляемой
деятельности по обработке персональных данных незаконной и мер по их удалению.
Информация о неисполнении требования направляется в Генеральную прокуратуру или
прокуратуру субъекта Российской Федерации для рассмотрения вопроса о принятии
мер прокурорского реагирования. Это может стать главным последствием принятия
документа.
·
Право
Роскомнадзора обращаться в правоохранительные органы, органы прокуратуры за
содействием в установлении лиц, виновных в нарушении требований
законодательства Российской Федерации, допущенных при обработке персональных
данных.
·
Периодичность
плановых проверок в отношении юридических лиц – не чаще одного раз в два года,
а не три, как в 294-ФЗ.
·
Узаконенные
внеплановые проверки по обращениям граждан, информации от органов
государственной власти, органов местного самоуправления и средств массовой
информации о подтвержденных фактах нарушений, по итогам мероприятий систематического
наблюдения, на основании подтвержденного факта несоответствия сведений,
содержащихся в уведомлении об обработке персональных данных, фактической
деятельности, в случае неисполнения требования Роскомнадзора или
территориального органа об устранении выявленного нарушения требований.
·
Срок
проведения документарной проверки - до 60 рабочих дней (в 294-ФЗ – 20) с
возможностью продления еще на 20.
·
Проведение
плановых и внеплановых проверок не требует согласования с органами прокуратуры,
за исключение внеплановых проверок по обращениям граждан.
·
Никакие
материалы, подготовленные привлекаемыми к проверке экспертами и экспертными
организациями, к акту не прилагаются, эксперты и представители экспертных
организаций акт проверки не подписывают.
·
Блокирование,
уничтожение недостоверных персональных данных или полученных незаконным путем
персональных данных осуществляется оператором в порядке, установленном Роскомнадзором.
·
Нарушение
требований, выявленных в результате проведения мероприятий систематического
наблюдения, а также анализа и оценки состояния исполнения требований
законодательства подлежит устранению в срок не более 10 календарных дней
(вспомним российские «длинные» праздники).
Рецептов не будет.
Будет предложение – активно поучаствовать в обсуждении и подготовить ответы на
12 вопросов, поставленных на Едином портале, где опубликован проект, как уже
сделал А. Волков. Вместо следующего поста на
эту тему я, в свою очередь, опубликую свои ответы.
И последнее. Проект
мы проанализируем 25-26 мая на курсе КП32 в Учебном центре
«Информзащита»
и 28 мая на семинаре «Изменения в законодательстве о персональных данных и
коммерческой тайне, их влияние на бизнес» в Бизнес Школе Консультант. Курс и семинар
получатся эксклюзивными, до сентября больше ничего подобного не будет. А в
сентябре оценим уже не проект, а Постановление. Сомнений, что оно будет
принято, у меня нет.
