Защита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 152-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

• Роскомнадзор;
• ФСТЭК;
• ФСБ.

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

• наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
• сообщение об этом правоохранительного органа;
• сообщение СМИ;
• неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
• истечение срока предписания и необходимость проверки его выполнения;
• нарушение законодательства, регулирующего сферу защиты персональных данных;
• несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

• требуется проведение экспертизы;
• вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.

Завершается проверка несколькими способами:

• составление акта по результатам проверки, направление его оператору;
• выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
• привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
• направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований. 

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Основываясь на законе о персональных данных, ведомство вправе:

• запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе;
• проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по обработке персональных данных. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений;
• при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом;
• в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься обработкой персональных данных;
• подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей персональных данных, представлять в суде интересы таких граждан;
• направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием персональных данных, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу персональных данных, не заручившись подписанным их носителем разрешением;
• писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с персональными данными;
• принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих персональные данные или совершающих иные правонарушения, к ответственности в рамках КоАП РФ.

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

• запрос у оператора отчета по контролируемым видам деятельности и его проверка;
• требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
• запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
• выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

• документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
• выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

• запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
• запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
• проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

• состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
• данные о проверяемом объекте;
• параметры проверки, ее цели и задачи, предмет;
• правовые нормы, на которые опиралось ведомство, назначая проверку;
• перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
• период проведения проверки.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

• проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
• проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
• требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
• распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
• затягивать проверку без вынесения мотивированного решения;
• проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

• наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
• выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

• наличие в организации модели угроз с указанием потенциальных нарушителей;
• релевантность этой модели, соответствие ее ранее представленным вводным;
• соответствие применяемых средств защиты угрозам, освещенным в модели;
• существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

• проверка существования лицензий, необходимых для использования СКЗИ;
• наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
• наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
• проверка соблюдения правил учета СКЗИ;
• выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

• наличие должностных инструкций;
• порядок кадрового учета;
• наличие сотрудников на всех предусмотренных штатным расписанием должностях;
• порядок проведения обучения персонала, работающего с СКЗИ.

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

• оценка технического состояния;
• правильность их ввода в эксплуатацию;
• оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

• наличие инструкций;
• наличие криптоключей;
• режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.