Порой те, кто помогают своим клиентам строить информационные системы и реализовать требования регуляторов по соблюдению режима обработки персональных данных, сами забывают, что все юридические лица фактически являются операторами персональных данных и на общих основаниях могут попасть под проверку регуляторов. Причем не имеет значения, зарегистрирована компания как оператор ПД или нет. Так или иначе, все компании как минимум обрабатывают ПД своих сотрудников, имеют CRM-системы, регистрируют посетителей в бюро пропусков.
А тем временем...
Активность Роскомнадзора как уполномоченного органа по защите прав субъектов увеличивается с каждым годом. Вот о чем говорят официальные данные с сайта этой организации:
-
2008 г. Роскомнадзор провел 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых.
В отчете за 2008 г.* штрафные санкции упомянуты дважды: в первом случае сумма штрафа не указана, а во втором — по двум делам по ст. 13.11 КоАП начислен общей штраф в сумме 5,5 тыс. рублей. -
2009 г. Проведено 432 проверки в отношении операторов, осуществляющих обработку персональных данных, из них 284 плановых и 148 внеплановых. По результатам проверок выдано 557 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 54 протокола об административных правонарушениях. Общая сумма штрафов за 2009 г. составила 75 тыс. рублей**.
-
2010 г. Проведено 1253 проверки в отношении операторов, осуществляющих обработку персональных данных, из них 804 плановых и 449 внеплановых. Выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях.
Вынесены постановления суда о привлечении операторов к административной ответственности в форме штрафа на общую сумму 4 млн. 480 тыс. рублей.
На 2012 г. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций запланировано 4089 плановых проверок.
Возрастает и активность «субъектов персональных данных» (т. е. граждан) в отношении защиты своих прав. Это можно объяснить и ростом гражданского правосознания, и усталостью от постоянного потока рекламных звонков, и тем, что тематика персональных данных может стать одним из способов «насолить» конкуренту или работодателю.
Динамика роста числа обращений в Роскомнадзор впечатляет: ежегодное трехкратное увеличение! Следует отметить, что безусловными лидерами среди тех, на кого поступают жалобы, являются операторы связи, организации жилищно-коммунального хозяйства, средства массовой информации и кредитные организации, но активность граждан затрагивает и иных операторов, на долю которых приходится 65% общего числа жалоб.
К сожалению, на момент сдачи статьи в печать отчета за 2011 г. о деятельности Роскомнадзора опубликовано не было, но, скорее всего, тенденции сохранятся.
Стоит ли овчинка выделки?
Важный вопрос: насколько страшна сама проверка и ее результаты? Штрафы за «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» кажутся смешными: для должностных лиц — по 1 тыс. руб., для юридических лиц — 10 тыс. руб. Однако подход «заплатим и забудем» в ситуации с персональными данными неприменим. Дело в том, что по факту проверки уполномоченный орган выносит предписание об устранении выявленных недостатков, после чего оператор персональных данных обязан принять меры к их устранению в установленный проверяющим органом срок, который, впрочем, может оказаться просто недостаточным для проведения необходимых мероприятий. Когда же отведенный срок закончится, незадачливый оператор может попасть под действие сразу нескольких статей КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор», 19.6 «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения», где штрафы возрастают до 500 тыс. рублей, а менеджмент может быть дисквалифицирован на срок от одного года до трех лет. И не стоит забывать о правах, делегированных Роскомнадзору в п. 4 ч. 2 ст. 23 ФЗ № 152, согласно которым возможно «принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона». Как при этом работать организации, сказать сложно.
Так что заниматься защитой персональных данных все-таки стоит. Ну а если к проверке подготовились, то возникает вопрос — когда же она придет?
Она негаданно нагрянет?
Готовясь к проверкам, всегда полезно знать заранее, когда они начнутся. Так, например, Учебный центр «Информзащита» в июне 2011 г. прошел плановую проверку Роскомнадзора, и не последнюю роль в этом сыграло своевременное получение информации о времени ее проведения. В ходе проверки был получен ценный опыт, о котором преподаватели Учебного центра рассказывают в рамках курса «Регулирование отношений при осуществлении проверок операторов персональных данных».
Принципы, по которым проверяющие органы решают, кого включать в плановую проверку, не описаны, но, судя по фактам, — действительно случайны. Так, в планы на 2012 г. кроме банков, СМИ, кредитных организаций и иных серьезных операторов ПДн включены несколько детских садов, например, детский сад комбинированного вида «Золотой ключик» г. Певек, и школ, среди которых есть, для примера, средняя общеобразовательная школа с. Верхний Сеймчан, Магаданской области. Так что рассчитывать на то, что вашу компанию проверка не коснется в силу ее малости и «никомуненужности» не приходится.
Порядок согласования плановых проверок прописан четко. Статья 9 Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» устанавливает, что ежегодно в срок до 1 сентября органы государственного контроля (надзора) направляют проекты ежегодных планов в органы прокуратуры, в которых его должны рассмотреть и внести свои предложения до 1 октября, а затем вернуть руководителям органов контроля и надзора для рассмотрения внесенных предложений. По итогам рассмотрения в срок до 1 ноября планы проведения проверок вновь направляют в органы прокуратуры. Далее органы прокуратуры до 1 декабря обобщают ежегодные планы проведения проверок и направляют их в Генеральную прокуратуру, а к 31 декабря сводный план всех проверок в соответствии с ч. 5 ст. 9 ФЗ № 294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» появляется на сайте Генеральной прокуратуры***.
Узнать о том, включена ли ваша организация в планы проверок, можно и на сайтах ФСТЭК России, ФСБ России и Роскомнадзора.
На проверяющий орган возлагается обязанность уведомить юридическое лицо до начала проведения проверки. Формулировка закона, правда, немного запутанна: вы должны получить уведомление «не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии распоряжения или приказа руководителя» (ч. 12 ст. 9 ФЗ № 294). Но обычно это значит, что вас уведомят более чем за три рабочих дня до ее начала.
О внеплановой проверке вас также должны проинформировать заранее, а не в момент, когда проверяющий уже стучит в дверь. В случае проведения внеплановой выездной проверки вы получаете соответствующее уведомление не менее чем за 24 часа до ее начала (п. 16 ст. 10 ФЗ № 294). В законе есть и отсылка к тому, что если уполномоченный орган решит, что в результате деятельности юридического лица причинен или причиняется вред жизни или здоровью граждан, а также возникли или могут возникнуть чрезвычайные ситуации природного и техногенного характера, предварительное уведомление юридических лиц о начале проведения внеплановой выездной проверки не требуется (ч. 17 ст. 10 ФЗ № 294).
Главный вопрос: на каком основании вообще может быть организована такая проверка?
В ст. 10 ФЗ № 294 четко прописаны основания для прихода проверяющих, это либо проверка ранее выданного предписания, либо сообщение, которое может быть получено от граждан, юридических лиц или из СМИ о следующих фактах:
«а) возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера;
б) причинение вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, а также возникновение чрезвычайных ситуаций природного и техногенного характера;
в) нарушение прав потребителей (в случае обращения граждан, права которых нарушены)».
Согласитесь, не часто обработка ПДн связана с угрозой жизни и здоровью или причинением вреда жизни или здоровью граждан. В своем административном регламенте Роскомнадзор исключил для себя такое основание, как проверку в связи с нарушением прав потребителя, и не может ссылаться на данное основание для проведения внеплановой проверки.
Последним основанием для проведения внеплановой проверки в соответствии с ФЗ № 294 является приказ руководителя органа по контролю, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации и на основании требования прокурора о проведении внеплановой проверки, но чтобы получить такое основание, необходимо совершить крупное и резонансное правонарушение.
Однако в том же административном регламенте Роскомнадзора сказано, что основанием для внеплановой проверки может служить и
«38.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
38.5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности».
С одной стороны, это логично, т. к. на Роскомнадзор возложена обязанность (ст. 23. ч. 5. п. 2 ФЗ № 152) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений. Логично предположить, что по обращению гражданина целесообразно провести проверку.
Сложность ситуации заключается в том, что данные пункты административного регламента не предусмотрены ФЗ № 294 как основания для внеплановой проверки и по букве закона проверка по такому предписанию в соответствии с п. 2 ч. 2 ст. 20 ФЗ № 294 сама является грубым нарушением закона.
Особенно интересны последствия проведения проверки с грубыми нарушениями. Как сказано в ч. 1 ст. 20 ФЗ № 294, «результаты проверки, проведенной органом государственного контроля с грубым нарушением... не могут являться доказательствами нарушения юридическим лицом ...и подлежат отмене вышестоящим органом государственного контроля (надзора) или судом», то есть административный регламент или даже федеральный закон не может подменять собой «профильный закон», т. к. в итоге результатом такой проверки должно стать не предписание на устранение нарушений, а судебное решение об отмене выданного предписания.
В данном случае сотрудникам Роскомнадзора можно только посочувствовать, ведь они не могут как проверять, так и не проверять. Подтверждением того, что представители Роскомнадзора знают о своей беде, может служить отчет о деятельности за 2009 г.: «Во втором полугодии отчетного периода необходимо отметить динамику снижения (почти на 50%) количества внеплановых проверок по сравнению с первым полугодием 2009 г. Это напрямую связано с вступлением в силу ФЗ от 26.12.2008 г. № 294-ФЗ ...Очевидно, что отсутствие в указанном ФЗ такого основания для проведения внеплановых проверок в области персональных данных, как обращения или заявления граждан на действия (бездействие) Операторов, резко снизило эффективность защиты их прав и законных интересов».
Возможность широко трактовать такое основание для внеплановой проверки из 294-ФЗ, как «возникновение угрозы причинения вреда жизни, здоровью граждан», сильно затруднена. Например, прокуратура Краснодарского края в ходе проверки действий Управления Роскомнадзора по краю и Республике Адыгея подтвердила, что обращения и заявления, не содержащие сведений о фактах, указанных в ч. 2 ст. 10 ФЗ № 294 (т. е. свидетельствующих о возникновении угрозы либо причинении вреда жизни, здоровью граждан и т. д. — Прим. авт.), не могут служить основанием для проведения внеплановой проверки, а согласно п. 2 ч. 2 ст. 20 ФЗ № 294, управление допустило грубые нарушения закона, что делает недействительными результаты проверки****.
Сегодня мы убедились, что ФЗ № 294 дает достаточно прав юридическим лицам для отстаивания своих интересов, хотя бы в части неожиданных внеплановых проверок.
Об авторах: Михаил Савельев — директор Учебного центра «Информзащита», Владимир Журавлёв — преподаватель этого центра.
* http://www.rsoc.ru/docs/20090529113450vC.doc.
** «Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2010 год.», адрес страницы: http://www.rsoc.ru/docs/Otchet_Upolnomochennogo_organa_za_2010_g..rtf.
*** http://plan.genproc.gov.ru/.
***** http://prokrf.ru/33362.