Опыт проверок Роскомнадзором операторов персональных данных за последний год
Указанное в заголовке ведомство в последнее время все чаще фигурирует на хабре в новостях, связанных какими-нибудь очередными черными списками и смешными блокировками, но в этой статье я хотел бы вспомнить об одной из не менее важных функций Роскомнадзора — надзор за выполнением законодательства в сфере защиты персональных данных.Так получилось, что в 2013–2014 годах в планы проверок Роскомнадзора попало немало наших клиентов, но мы особо этого не боялись, потому что проверки у наших клиентов проходили и ранее, опыт есть и весьма позитивный. Мы знали, что у новых клиентов тоже все приведено в порядок и ждали очередной проверки только чтобы поставить новую галочку в разделе портфолио «Успешно проведенные проверки регуляторов». Но эта статья не появилась бы на свет, если бы все соответствовало нашим оптимистичным ожиданиям…
В начале прошлого года я написал статью, в которой пошагово попытался рассказать об этапах подготовки к подобным проверкам. И этот алгоритм четко работал до середины 2013 года. Что же случилось? Ниже я расскажу более подробно о некоторых случаях самодурства РКН на проверках по персональным данным, но если кратко — в ведомстве в отношении таких проверок введена палочная система. Проверяющие теперь будут искать любое самое мелкое нарушение, лишь бы выдать предписание и заставить заплатить хоть маленький, но неприятный штраф. Вполне возможно, что палки считают только в нашем регионе, но общение с коллегами из других субъектов РФ говорит об обратном.
Перед тем как рассказывать конкретные случаи, попрошу при дальнейшем прочтении помнить о нескольких фактах:
состав проверяющих не менялся, то есть во всех рассмотренных случаях проверяющими были одни и те же люди; комплекс мер и качество подготовки к проверке у всех проверяемых ранее и со второй половины 2013 года находился на одинаковом уровне; на каждой следующей проверке в процессе подготовки учитывались предыдущие капризы проверяющих. В своей старой статье я писал, что большинство предписаний выносятся в связи с несоответствием данных, предоставленных в уведомлении оператора, настоящему положению дел, то есть, если вы указали, что вы обрабатываете ФИО, адрес и контактный телефон субъекта персональных данных, а на самом деле обрабатываете еще пол и дату рождения, то получите предписание. Первая история связана именно с этим.Первое предписание у одного из наших клиентов было связано с тем, что в уведомлении оператора в категориях персональных данных сотрудников не было указано, что они обрабатывают номера доверенностей, которые выдают тем или иным сотрудникам с той или иной целью. Сколько не пытались апеллировать к здравому смыслу и объяснять, что доверенность это самостоятельный документ и это именно человек является реквизитом доверенности (кому и для чего доверенность выдана), а не номер доверенности является реквизитом человека — не помогло. И этому способствовало весьма размытое определение понятия «персональные данные» в 152-ФЗ (любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу). У нас законодатели вообще очень любят размытые формулировки. Для чего в таком случае проводятся антикоррупционные экспертизы законопроектов в Минюсте не особо понятно.
Окей, с номерами доверенности момент учли, стали ждать следующей проверки. И тут нас опять ждал сюрприз.В этот раз проверяющие из Роскомнадзора, видимо, не нашли несоответствий по категориям персональных данных и они решили сделать финт ушами — найти несоответствие в категориях субъектов персональных данных. Тут ситуация такая же как и с категориями самих ПДн — если вы указали в уведомлении, что обрабатываете персональные данные сотрудников и клиентов, а на деле обрабатываете дополнительно ПДн каких-нибудь волонтеров, то получи предписание. И в данном случае представителям РКН ничего в голову не пришло как сказать, что действующие и уволенные сотрудники организации это на самом деле разные категории субъектов персональных данных (а мы помним, что проверяющие — те же лица и раньше они на это не обращали внимания). Здесь также какие-либо воззвания к здравому смыслу не помогли.
У одного из клиентов докопались к содержанию публичной политики в отношении персональных данных. Это такой документ, который должен публиковаться в открытом доступе (если есть веб-сайт, то на нем). Естественно, в этом документе мы никогда не пишем никакой конкретики, как, что и от кого мы защищаем. А почему мы должны собственно публиковать полезную информацию для потенциально нарушителя у себя на портале? Так вот, роскомнадзоровцы захотели, чтобы в публичном документе мы подробно расписали принятые меры защиты персональных данных. Зачем — не понятно. В целом, аномальная тяга к эксгибиционизму у Роскомнадзора уже давно вызывает беспокойство. Чего только стоит реестр государственных информационных систем, в котором мы можем узнать рабочий и МОБИЛЬНЫЙ (например здесь) номер ответственного за эту систему, его e-mail, а также сведения о серверных и клиентских ОС, используемых в системе, прикладном ПО системы, сведения о финансировании и многое другое. Просто рай для социальных инженеров, спамеров, и прочих черношляпов.
Но вернемся к проверкам. Последний случай был несколько отличающимся от остальных. Клиент обратился к нам за помощью буквально за неделю до проверки. В процессе предварительного разговора и проверки реестра операторов ПДн было выяснено, что организацией не было подано уведомление об обработке персональных данных ранее. То есть в реестре операторов клиент отсутствовал. Здесь нужно понимать, что даже если бы мы подготовили уведомление в день обращения, 152-ФЗ предоставляет Роскомнадзору срок до 30 дней для внесения оператора в реестр с момента подачи уведомления, и практика показывает, что запись в реестре появляется через 20–25 дней со дня подачи уведомления (хотя, опять же, это относится непосредственно к нашему региону, где-то ребята из РКН могут быть порасторопнее). В общем, действовать решили с той позиции, что в 152-ФЗ предусмотрены случаи, когда уведомления подавать не требуется, это, в частности, когда обработка ПДн производится при осуществлении трудовых взаимоотношений и при заключении договора, одной из сторон которого является субъект ПДн. В принципе, это могло бы сработать, если бы у РКН не было бы цели наказать организацию, так как клиент был небольшой коммерческой фирмой, которая как раз и обрабатывает ПДн сотрудников по ТК РФ и заключает договора с клиентами. Предписание, выданное по итогам проверки, гласило, что данная фирма должна была подать уведомление, а так как не подала, то нарушила 152-ФЗ, ай-яй-яй! Причем в самом предписании не было никакого обоснования, просто «нет уведомления, а под исключения не попадает, поэтому нарушает…». На словах проверяющими было сказано, что к договорным отношениям с клиентами придраться трудно, поэтому уведомление они должны подавать, потому что (ВНИМАНИЕ!) организация передает персональные данные сотрудников третьим лицам — в ФНС и ПФР! Вот так-то! Здесь конечно сразу становится непонятно — зачем тогда в Федеральном законе все эти исключения, позволяющие не подавать уведомление оператора ПДн? Не проще ли написать — «все юридические лица должны подать уведомление» и на этом закончить?
Что же делать? Честно говоря, мне уже даже интересно, что же придумают и до чего докопаются представители РКН при следующих проверках, ведь палочная система налицо. Но иногда появляется мысль –, а может специально оставлять на видном месте явный недочет? Ведь штрафы пока небольшие, а увидев нарушение на видном месте, с большой долей вероятности проверяющие внесут его в предписание, мы заплатим небольшой штраф, устраним нарушение в установленные сроки и будем спокойно жить дальше, а проверяющие не станут копать глубже. Есть и другой вариант — оспаривать предписание Роскомнадзора в суде, именно так решил сделать наш последний клиент. К сожалению, развязкой этой истории я поделиться не могу, потому что история собственно еще и не закончилась. В любом случае, каждый выберет свой путь сам, хотя возможно до вашего региона палочная система еще не добралась.