Роскомнадзор и его планы
Послепраздничные дни мая ознаменовались выходом огромного количества новых документов. Пока, как правило, в виде проектов, но все же. Как ни странно, но видимо привыкшие ко всему жители Хабра не обратили на это внимания. А между прочим, зря.За прошедший год интерес к вопросам защиты персональных данных существенно упал. Видимо, большинство компаний так или иначе оформили необходимые документы — с одной стороны. А с другой стороны, несмотря на большие ожидания, Роскомнадзор так и не развернул массовые проверки. Более того, не сумев решить проблемы с количеством экспертов, он сократил штат и зарплаты сотрудников. (http://www.vestifinance.ru/articles/54764)
Но вернемся к нормотворчеству. Если в прошлом году нас пугали ростом уровня штрафов, то в этом году Роскомнадзор решил зайти с иной стороны, разместив проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».
Думаю, большинство в курсе, что Роскомнадзор имеет так называемый Административный регламент, утвержденный Приказом Минкомсвязи России от 14.11.2011 N 312, в соответствии с которым, в частности, и должны проходить все проверки качества защиты персональных данных. На первый взгляд, проект Постановления Правительства очень напоминает этот регламент. Если бы не мелкие отличия.
Внимание! Публикация обсуждает элементы ужаса и мистики и не рекомендуется к чтению на ночь! Во-первых, обратим внимание на то, кого может контролировать Роскомнадзор:
2. Государственный контроль и надзор включает в себя деятельность Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, направленную на предупреждение, выявление и пресечение в пределах своей компетенции нарушений государственными органами, органами местного самоуправления, юридическими лицами и физическими лицами требований, установленных законодательством Российской Федерации, посредством организации и проведения проверок проверяемых лиц, принятия предусмотренных законодательством Российской Федерации мер по пресечению и (или) устранению последствий выявленных нарушений, проведения мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, а также анализа и оценки состояния исполнения требований законодательства Российской Федерации при осуществлении проверяемыми лицами деятельности по обработке персональных данных на основании представленных ими документов и локальных актов.
При этом проверяющие совсем не против, чтобы те же физлица предоставляли проверяющим необходимые для работы помещения. 47. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных. В случае, если у физического лица отсутствует возможность предоставить помещение для проведения выездной проверки, проверка проводится по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа.
Кстати, сама возможность проведения проверок физлиц не новость — Федеральный закон № 152-ФЗ распространяет свои требования и на них, но, тем не менее, физлица до сих пор в своей массе требования по защите своих данных, и не только персональных, не исполняли и не собираются это делать.Но вернемся к началу документа и почти сразу видим, что к ранее осуществлявшимся плановым и внеплановым проверкам добавляется еще и наблюдение. Что это такое? Вещь совершенно загадочная:
3. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения.72.… Предмет мероприятий систематического наблюдения в области персональных данных определяется Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
По результатам наблюдения может быть направлено «требование об устранении выявленного нарушения в срок, не превышающий десять календарных дней, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования».В отличие от достаточно логичной процедуры проверки, когда проверяемый знает о проверке и морально готов к замечаниям, в данном случае предписание может свалиться как снег на голову, а выполнить его нужно за 10 дней. При этом возможность выполнения (наличие тех же специалистов на месте) не учитывается. В случае невыполнения предписания:
76.… Информация… направляется в Генеральную прокуратуру Российской Федерации или прокуратуру субъекта Российской Федерации по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица для рассмотрения вопроса о принятии мер прокурорского реагирования.77.… проводится внеплановая проверка в порядке, установленным настоящим Положением.
Здесь и ниже все цитаты даны в соответствии с орфографией и пунктуацией документов, откуда они взятыСразу за разделом о мероприятиях систематического наблюдения в проекте Постановления имеется еще более фантастический раздел:
Анализ и оценка состояния исполнения требований законодательства Российской Федерации
78. Анализ и оценка состояния исполнения требований законодательства Российской Федерации… осуществляется… на основании представленных в инициативном порядке государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом документов, локальных актов и иной информации, подтверждающих выполнение требований законодательства Российской Федерации.
Вы можете представить, чтобы все, вплоть до физлиз, в инициативном порядке начали предоставлять доказательства выполнения ими требований закона? А если наложить это еще и на кадровый голод Роскомнадзора…При этом:
81. По итогам проведенного анализа и оценки состояния исполнения требований законодательства Российской Федерации… в адрес государственного органа, органа местного самоуправления, юридического лица, физического лица направляется письмо с итоговой информацией с заключением о соответствии деятельности… по обработке персональных данных законодательству Российской Федерации в области персональных данных либо в случае наличия фактов несоответствия представленных документов, локальных актов и информации законодательству Российской Федерации в области персональных данных, с требованием об устранении выявленных нарушений.
82. Требование об устранении выявленных нарушений подлежит исполнению в срок, не превышающий десять календарных дней…
83. В случае неисполнения… составляется протокол об административном правонарушении в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
Возможно, цель была и благая. Действительно, количество специалистов, особенно в мелких компаниях, способных самостоятельно разработать весь комплекс документов по защите персональных данных, не так уж и велико. И Роскомнадзор мог бы взять на себя роль помощника и консультанта в этом нелегком и важном деле. Но согласно нынешней редакции вместо консультации можно получить лишь предписание — я слабо представляю себе желающих пуститься в такое приключение.Еще раз вернемся к началу документа и посмотрим на цели деятельности Роскомнадзора:
5. Плановые и внеплановые мероприятия систематического наблюдения проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушений законодательства Российской Федерации без взаимодействия с государственными органами, органами местного самоуправления, юридическими и физическими лицами, осуществляющими обработку персональных данных, и их уполномоченными представителями.
Про само прогнозирование далее по тексту проекта ничего нет, поэтому мы можем лишь догадываться, как, кем и в чьих интересах будет проводиться прогнозирование, а также как оно будет сказываться на результатах тех же проверок или систематического наблюдения.В начале статьи было обещано немного ужаса. И проект дает нам его:
8. Проведение внеплановых проверок по основаниям, предусмотренным пунктом 7 настоящего Положения, за исключением пункта 7.2, не требует согласования с органами прокуратуры.
Пункт 7.2 — это внеплановые проверки по результатам обращения граждан.На данный момент действующий Административный регламент гласит:
55. Согласование проведения внеплановых выездных проверок Службы или ее территориальных органов производится по месту осуществления деятельности Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства с прокурорами (заместителями прокуроров) субъектов Российской Федерации по основаниям, предусмотренным подпунктами 38.2.1, 38.2.2 настоящего Регламента.
58. Решение уполномоченных должностных лиц органов прокуратуры о согласовании проведения внеплановой выездной проверки или об отказе в согласовании ее проведения может быть обжаловано вышестоящему прокурору или в суд.
84. После завершения внеплановой выездной проверки, согласованной ранее с органами прокуратуры, Служба или ее территориальный орган направляют в орган прокуратуры, принявший решение о согласовании проведения проверки, копию акта проверки в течение пяти рабочих дней со дня его составления.
То есть на данный момент вся деятельность Роскомнадзора должна проходить под контролем прокуратуры, что сильно снижает вероятность неадекватных действий (хотя, конечно, и не исключает), что будет твориться после того, как деятельность будет выведена из-под контроля? 9. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов при осуществлении государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации вправе:
9.3. выдавать обязательные для выполнения предписания об устранении выявленных нарушений.9.7. в пределах своей компетенции проверять и оценивать достаточность принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».9.8. выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона «О персональных данных».63. В случае выявления в ходе или по результатам проверки фактов обработки недостоверных или полученных незаконным путем персональных данных должностное лицо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа вправе требовать от государственного органа, органа местного самоуправления, юридического лица, физического лица принятия мер по блокированию или уничтожению указанных персональных данных.69. В случае, если неисполнение предписания нарушает права и законные интересы субъекта (субъектов) персональных данных государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушения, ранее выявленного в ходе проведения проверки, указанного в предписании.
Или в варианте действующего Регламента: 6. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:6.1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.6.2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.6.3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.6.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.6.7. Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.6.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.
Административный регламент на данный момент четко определяет причины для плановой или внеплановой проверки: 33. Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:33.1. Государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя.33.2. Окончания проведения последней плановой проверки Оператора.34. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.
38. Внеплановые проверки проводятся по следующим основаниям:38.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.38.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах:38.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.38.2.2. Причинение вреда жизни, здоровью граждан.38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.38.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.38.5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.40. О проведении внеплановой выездной проверки Оператор уведомляется Службой или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.
41. Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление Оператора о начале проведения внеплановой выездной проверки не требуется.
Проект постановления расширяет список. Несколько пунктов из проекта 13. Формирование плана плановых проверок осуществляется, в том числе, исходя из следующих критериев:13.1. трехлетний период с момента окончания проведения последней плановой проверки.13.2. информация от органов государственной власти, органов местного самоуправления и средств массовой информации о фактах, содержащих признаки нарушения законодательства Российской Федерации, допущенных при обработке персональных данных, а также выявленных по результатам мероприятий систематического наблюдения.
Инициировать статью в местном СМИ на основе жареных фактов? 13.3. обработка персональных данных значительного числа субъектов персональных данных, а равно обработка биометрических и специальных категорий персональных данных.
Обрабатывать большое число данных в условиях современной экономики как раз могут совсем небольшие фирмы — туристические, аутсорсинговые и т. д. 13.4. непредставление информации, в том числе уведомительного характера, предоставление которой предусмотрено Федеральным законом «О персональных данных».14. Периодичность проведения плановых проверок в отношении государственного органа, органа местного самоуправления, юридического лица составляет не чаще одного раза в два года, в отношении физического лица — не чаще одного раза в три года.
7. Внеплановые проверки проводятся…:7.1. в случае истечения срока исполнения… выданного… предписания об устранении выявленного нарушения;7.2. по результатам рассмотрения обращений граждан… при условии:7.2.1. наличия материалов, подтверждающих факт нарушение их прав…Обращения и заявления, не позволяющие установить лицо, обратившееся в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы, а также обращения и заявления, не содержащие сведений о фактах, указанных в пункте 7.2 настоящего Положения, не могут служить основанием для принятия решения о проведении внеплановой проверки.7.3. поступления… информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушения законодательства Российской Федерации, допущенных при обработке персональных данных.7.4. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.7.5. в случае нарушения государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.7.6. на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица.7.7. в случае неисполнения требования… об устранении выявленного нарушения требований в области персональных данных.7.8. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.
Не ждете проблем? 20. О проведении внеплановой выездной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.
С иными мнениями по поводу данного законопроекта можно ознакомиться тут, тут и тут.Напоминаю, что проект выложен, но пока еще не утвержден в свое финальном варианте. Ждем.