Несмотря на то, что Федеральный закон от 27.07.2006 № 152-ФЗ
"О персональных данных" давно вступил в силу и его основные положения
действуют, компании — операторы персональных данных ждут приближающейся
даты — 1 июля 2011 г. Согласно п. 3 ст. 25 Закона, информационные
системы персональных данных, созданные до 1 января 2011 г., к этому
моменту должны быть приведены в соответствие
с его требованиями.
Существующие документы, содержащие требования по защите персональных
данных очень неоднозначны и вызывают много споров, ставящих под сомнение
возможность их исполнения в принципе. Однако сложности в выполнении
закона не являются основанием для его неисполнения.
Кто проверяет
В настоящий момент основные риски для операторов персональных данных связаны с проверками
их деятельности со стороны регуляторов: Федеральная служба безопасности
(ФСБ России), Федеральная служба по техническому и экспортному контролю
(ФСТЭК) и Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзор). В соответствии с
152-ФЗ Контрольные и надзорные полномочия в сфере защиты персональных
данных были возложены на них.
Каждое из этих ведомств выполняет свою задачу. Так, ФСБ России курирует
вопросы безопасности персональных данных при их обработке
в информационных системах, в том числе защиту информации
с использованием средств шифрования (криптографии).
Компетенции ФСТЭК России — защита информации с применением технических
средств, в том числе подтверждение отсутствия в средствах защиты
недекларируемых возможностей. Технические средства защиты персональных
данных необходимо сертифицировать.
Методики, разработанные ФСТЭК, должны быть положены в основу так
называемой Модели угроз для каждой информационной системы,
обрабатывающей персональные данные (такой документ предстоит разработать
каждому оператору). На выполнении этих аспектов, скорее всего, и будет
сфокусировано внимание сотрудников ФСТЭК, привлекаемых для проверок.
Роскомнадзор является основным регулятором в области защиты прав физических лиц,
чьи персональные данные обрабатываются. Сотрудники этого ведомства имеют право:
—?проверять сведения в уведомлении, поданном оператором;
—?привлекать для проверки другие госорганы (ФСБ, ФСТЭК);
—?принимать меры по приостановлению или прекращению обработки
персональных данных, осуществляемой с нарушением требований закона;
—?обращаться в суд с исковыми заявлениями в защиту прав субъектов
и представлять их интересы в суде. А также направлять заявления в орган,
осуществляющий лицензирование деятельности оператора, для рассмотрения
вопроса о принятии мер по приостановлению действия его лицензии;
—?направлять материалы в правоохранительные органы для решения вопроса
о возбуждении уголовного дела в связи с нарушением прав субъектов
персональных данных;
—?привлекать к административной ответственности лиц, виновных в нарушении закона.
Очевидно, список получается весьма внушительным, а, значит,
у Роскомнадзора есть достаточно возможностей воздействовать практически
на любую организацию. На практике регулирует данную сферу деятельности
именно Роскомнадзор, а ФСБ и ФСТЭК пока занимают выжидательную позицию
(до 1 июля 2011 г.), и привлекаются лишь для контроля за реализованными мерами защиты данных в качестве сторонних экспертов.
Кого проверяет Роскомнадзор
Если сравнить деятельность Роскомнадзора в 2009 и в 2010 гг., то
очевидно, что активизация работы в отношении защиты прав субъектов
персональных данных началась. По данным самого ведомства, в настоящий
момент реестр операторов, осуществляющих обработку персональных данных,
включает 185 000 операторов персональных данных. В реестре можно найти
промышленные предприятия, банки, страховые компании, торговые и
консалтинговые предприятия, юридические и туристические фирмы,
учреждения здравоохранения, образования и т. д.
Реестр ведется на основании уведомлений, которые присылают сами
организации-операторы. Случаи, когда уведомлять ведомство нет
необходимости, прописаны в п.?2 ч.?2 ст.?22 №?152-ФЗ. Сюда относятся:
обработка данных сотрудников, данных, полученныхв связи с заключением
договора, общедоступных персональных данных либо данных,
включающихтолько фамилии, имена и отчества субъектов персональных данных
либо необходимых в целях однократного пропуска на территорию.
Потенциальными кандидатами на проверку являются все компании, а не
только внесенные в реестр. Ведь закон не снимает с работодателя
обязанности обеспечивать сохранность данных своих сотрудников,
разрабатывать соответствующее положение о работе с персональными данными
независимо от количества служащих или вида деятельности.
Вместе с тем, учитывая немногочисленность проверяющих по сравнению
с числом организаций, риски претензий контролеров из Роскомнадзора можно
считать незначительными. Кроме того, контролеры надзора, как правило,
не стремятся применять максимально жесткую ответственность
к нарушителям.
В большинстве случаев по результатам проверки выдавались предписания
об устранении нарушений. Только в нескольких случаях суды назначили
штрафы по ст.?19.7 КоАП РФ на общую сумму в несколько сотен тысяч рублей
за непредставление уведомлений, а по ст.?13.11 КоАП РФ за нарушение
порядка сбора, хранения, использования или распространения персональных
данных граждан было наложено
и того меньше штрафов на общую сумму в несколько десятков тысяч рублей.
По данным Роскомнадзора чаще всего на нарушениях работы с персональными
данными попадаются жилищно-коммунальные предприятия, банки, операторы
мобильной связи и СМИ.
Что касается соотношения плановых и внеплановых мероприятий, то в 60%
случаев проверка является плановой. С вступлением в силу Федерального
закона от 26.12.08 №?294-ФЗ «О защите прав юридических лиц
и индивидуальных предпринимателей при осуществлении государственного
контроля» в части оснований для проведения внеплановых проверок
количество последних снизилось вдвое
(по сравнению с аналогичным периодом предыдущего года).
Кто несет ответственность
Ответственность за выполнение закона несет первое лицо организации. В
то же время перекладывание ответственности на должностных лиц или
подразделения возможно обычным внутренним приказом. Если провести
доработку существующих инструкций и регламентов, то переложить основную
меру ответственности на конкретного человека не составит труда. В таком
случае должностному лицу достаточно в форме докладных записок уведомить
руководство о масштабе работы и необходимых для ее выполнения ресурсах.
Бывали случаи, когда руководитель отдела информационной безопасности
инициировал десятки докладных записок на имя генерального директора
с целью минимизировать ответственность.
Типовые ситуации
Рассмотрим несколько однотипных ситуаций, которые могут возникнуть при
взаимодействии оператора персональных данных с Роскомнадзором.
Первая ситуация. Организация получает письмо
от субъекта персональных данных с просьбой предоставить ему информацию
о том, какие его данные используются, в каких целях, какими способами
обрабатываются и какой срок хранятся (право на получение такого рода
информации закреплено в Законе). Закон определяет срок 10 дней,
в течение которых необходимо дать исчерпывающий ответ на запрос ().
Сегодня далеко не в каждой компании есть возможность выполнить это
требование.
Если ответ, полученный от оператора, поступит не по существу, не
в полном объеме, позже установленного срока или не последует вовсе,
субъект имеет полное право обратиться в Роскомнадзор за защитой своих
прав.
Примерно каждое третье обращение в уполномоченный орган по защите прав
субъектов персональных данных заканчивается внеплановой проверкой с
перспективой привлечения к административной ответственности. Также
Роскомнадзор может направить обращение в прокуратуру с запросом
о возбуждении уголовного дела.
Очень часто это реализовывалось в отношении Сбербанка. В результате
был создан процесс обработки обращений граждан, и установленный законом
срок стал выполняться.
К слову, использование данного метода, например, со стороны конкурентов
способно парализовать ответственные службы оператора персональных
данных. Для этого достаточно лишь организовать несколько сотен запросов
субъектов, спровоцировав тем самым прямое нарушение закона
о персональных данных.
Вторая ситуация. Поспешная регистрация в качестве
оператора персональных данных. По закону до начала обработки необходимо
уведомить Уполномоченный орган о начале обработки через подачу
уведомления. Но практика показывает, что Роскомнадзор желает
воспользоваться своим правом
«по проверке сведений, содержащихся в уведомлении» сразу и высылает
уведомление о проверке (особенно это заметно в регионах). Очевидно, что
без соответствующей подготовки пройти проверку будет сложно. Со всеми
вытекающими последствиями. Например, некоторые компании структуры МТС,
одними из первых подали уведомление, соответственно первые проверки
проходили именно у них.
Третья ситуация. Отправка корреспонденции с явными
нарушениями 152-ФЗ. Эта проблема свойственна крупным предприятиям,
которые отправляют много корреспонденции, например счетов на оплату.
Явные нарушения видно невооруженным глазом. Так, например, большинство
предприятий ЖКХ отправляют счета на оплату услуг в незапечатанном виде с
широким перечнем персональных данных, которые совершенно не нужны для
проведения оплаты. В настоящий момент на рынке появились услуги по
аутсорсингу изготовления счетов с учетом требований 152-ФЗ. Такие услуги
оказывает, например, компания АККОРД ПОСТ.
Защита персональных данных превратилась в полноценную индустрию.
Сформировался целый рынок продуктов и услуг. Дело осталось за
объединением всего этого многообразия в решение, которое можно применить
для каждой конкретной организации.
Пресс-служба
ЗАО «АККОРД ПОСТ»
Т.: (495) 234-00-03
www.accordpost.ru