На оператора персональных данных (ПД) государство возлагает ряд обязанностей, направленных на защиту тайны личной жизни граждан. Выполнение этих обязанностей предполагает принятие организационных мер, которые должны ограничить несанкционированный доступ (НСД) к конфиденциальным сведениям. Меры принимаются с использованием сертифицированных программных и аппаратных средств, решающих задачи безопасности информации. Контроль за соответствием обработки персональных данных требованиям законодательства производится на уровне государственных ведомств – Роскомнадзора и ФСТЭК России. Внутренний контроль на уровне организации поможет подготовиться к проверкам и избежать штрафов.

Государственный контроль

С того момента, как компания приступает к обработке ПД и уведомляет об этом в Роскомнадзор, она попадает в сферу интересов государственных ведомств, призванных контролировать соблюдение законодательства. Защита персональных данных – в национальном законодательстве, сформировалась как направление защиты прав на сохранность информации о личной жизни. 

В рамках этой концепции оператор персональных данных – юридическое лицо или индивидуальный предприниматель, который начал обрабатывать личную информацию лиц, не являющихся его сотрудниками, например, клиентов банков, абонентов мобильной связи, покупателей в интернет-магазинах. 

На него возлагается ответственность за:

• сохранность данных, исключение их утечки или разглашения;
• соответствие правил работы с ПДн заявленным целям этой процедуры.

Оператор отвечает за действия сотрудников и третьих лиц, которым он передает данные для обработки. 

Нормы ответственности в общем виде изложены в ст. 90 ТК РФ. Они разделяются на:

• дисциплинарную. На сотрудника, допустившего утечку или иное неосторожное обращение с персональными данными, например, уничтожение, могут быть наложены взыскание, замечание или выговор. В ряде случаев разглашение ПД становится поводом для увольнения;
• гражданско-правовую. Если действиями организации или сотрудника правообладателю был причинен ущерб, его компенсация будет возложена на виновника;
• административную. Привлечение к ответственности в рамках норм АПК РФ происходит по результатам проверок. Помимо штрафа, мерой ответственностью иногда является приостановление деятельности, связанной с использованием ПД;
• уголовную. УК РФ предусматривает ответственность за намеренное разглашение ПД, связанное с причинением существенного ущерба.

Административная ответственность предусмотрена ст. 13.11 КоАП РФ. На оператора персональных данных могут быть наложены штрафы за правонарушения в области работы с данными:

• за работу с персональными данными в целях, не предусмотренных законом, или в противоречии с ранее заявленными целями;
• за работу с данными без получения согласия правообладателя;
• за отказ от разработки или публикации в открытом доступе политики по работе с данными;
• за непредоставление правообладателю информации, касающейся судьбы его данных;
• за отказ от уточнения, блокировки или уничтожения данных по требованию субъектов;
• за невыполнение требований ФСТЭК РФ, касающихся использования сертифицированного программного обеспечения для защиты информации;
• за отказ от хранения персональных данных на серверах, находящихся на территории РФ.

Уровень ответственности различен: суммы штрафов варьируются от 1 тыс. рублей для физлиц в случае незначительного нарушения до 18 миллионов рублей, которые заплатит организация, не в первый раз нарушившая нормы закона, предусматривающие отказ от хранения данных граждан за рубежом.

Также действуют нормы ст. 13.14 КоАП РФ, которая контролирует случаи разглашения информации с ограниченным доступом, к которой относятся и персональные данные. Штрафы невысоки, но ответственность распространяется даже на специальных субъектов права – адвокатов, которые за раскрытие доверенных им сведений отвечают как должностные лица. 

Статья 5.39 КоАП РФ вводит дополнительную ответственность за отказ раскрыть гражданину, какие именно документы о нем собраны и какие сведения имеются в организации. Такие действия часто без оформления согласия соискателей совершают кадровые агентства или службы безопасности работодателей, и закон защищает права гражданина на понимание, какая информация о нем находится в распоряжении третьих лиц. 

Незаконный сбор и распространение информации, а именно так можно квалифицировать эти действия, попадают и под уголовно-правовое регулирование. Статьи 137 и 212 УК РФ предусматривают ответственность за получение информации о гражданине без его ведома и ее передачу третьим лицам. Интересно, что за сбор и распространении информации и персональных данных граждан могут наказывать даже если речь идет о данных умерших лиц, сведения о которых распространялись без согласия наследников. Так, в 2012 году к ответственности по ст. 137 УК РФ был привлечен гражданин, собравший в архивах и распространивший сведения о репрессированных этнических немцах Поволжья.

Организация и проведение проверок

Проверки как форма контроля за соответствием работы с персональными данными требованиям закона проводятся государственными ведомствами – Роскомнадзором и ФСТЭК РФ. А в случаях, связанных с использованием средств криптографической защиты, – ФСБ РФ. 

В обязанности Роскомнадзора входит проверка общих требований законодательства по защите персональных данных:

• соответствие целей работы с ПД заявленным при подаче уведомления о начале занятия деятельностью, связанной с использованием персональных данных;
• наличие политики по использованию ПД в общем доступе на сайте организации;
• сбор согласий на обработку данных;
• наличие приказов о назначении лиц, ответственных за работу с ПД;
• наличие иной организационно-распорядительной документации.

ФСТЭК проверяет наличие средств технической защиты информации, важно, чтобы это были рекомендованные и сертифицированные ведомством программные средства. Проверки могут быть плановыми и внеплановыми. Плановые проводятся не чаще чем раза в три года, и первая организовывается не ранее чем через три года после того, как организация направила в Роскомнадзор уведомление о начале деятельности, связанной с ПД. Внеплановая проверка проводится в любое время, в ситуации, не терпящей отлагательств, например, когда намеренное разглашение персональных данных привело к существенному ущербу для граждан. 

Для проведения внеплановой проверки необходимо соблюдение двух условий:

• наличие сигнала о существенном нарушении закона, заявление или истечение срока действия предписания об устранении ранее допущенных нарушений законодательства;
• согласие региональной прокуратуры на назначение контрольного мероприятия.

Внеплановая проверка может проводиться только в серьезных ситуациях:

• компания не выполнила предписание, выданное по результатам плановой проверки, его или не отчиталась о результатах его выполнения;
• поступил сигнал от гражданина, компании, правоохранительного органа, СМИ, муниципальных властей о критической ситуации, связанной с тем, что причинен ущерб жизни или здоровью граждан, или существует риск такого ущерба, нарушены иные права граждан, деятельность организации не соответствует тем позициям, которые были заявлены в уведомлении.

Заявление, на основании которого проводится внеплановая проверка, обязательно должно позволять идентифицировать личность заявителя.

Если о плановой проверке компания узнает за год, из графика, размещенного на сайтах Генпрокуратуры и Роскомнадзора, то о внеплановой ее предупреждают за сутки по каналам связи, указанным в уведомлении о начале деятельности, связанной с использованием персональных данных.

Порядок проведения проверок Роскомнадзором утвержден в виде регламента, доступного на сайте ведомства. Он описывает два типа проверок:

• документарная. Она проводится в виде истребования интересующих ведомство документов, их изучение происходит в территориальном офисе ведомства;
• выездная. При проведении выездной проверки сотрудники Роскомнадзора выезжают в офис организации и изучают документы и порядок работы с персональными данными на месте.

Состав группы проверяющих всегда не менее двух сотрудников территориального органа, при необходимости они вправе пригласить эксперта или иного уполномоченного представителя. Срок каждого типа проверок ограничен 20 днями, на основании мотивированного постановления территориального подразделения ведомства он может быть продлен еще на 20 дней. Это усиление мер контроля за соответствием обработки персональных данных требованиям законодательства обычно обусловлено непредоставлением документов проверяемыми организациями или неясностями в документах. 

Результатами проверки становятся:

• составление акта проверки и направление его в адрес организации;
• выдача предписания об устранении нарушений закона;
• привлечение оператора к административной ответственности;
• выдача предписания о приостановлении деятельности;
• направление мотивированного заключения в правоохранительные органы с просьбой о привлечении сотрудников оператора к уголовной ответственности.

Акт проверки, в случае несогласия, обжалуется в вышестоящем подразделении федеральной службы, обжаловать протокол о привлечении к административной ответственности можно в суде.

Другие меры реагирования

Роскомнадзор выступает гарантом соблюдения оператором требований законодательства об обработке персональных данных. Если гражданин узнал о нарушении своих прав, он может обратиться в ведомство. 

Оно обязано своевременно отреагировать на следующие обращения:

• обработка персональных данных без согласия;
• незаконный запрос сведений о судимости, что разрешено только государственным и муниципальным органам;
• несоответствие целей использования ПД ранее заявленным;
• передача данных третьим лицам для обработки или в других целях без получения согласия гражданина;
• разглашение данных, например, в СМИ;
• неуничтожение персональных данных в случаях, предусмотренных законом. Так, банк обязан уничтожить все сведения о лицах, которым было отказано в кредите, в течение трех дней после отказа;
• отказ блокировать, уточнить или уничтожить ПД;
• отказ оператора ПД сообщить, какие документы и сведения о гражданине находятся в его распоряжении.

Одним из случаев, когда вмешательство Роскомнадзора помогло пресечь незаконный сбор и распространение персональных данных, стал сбор в 2019 году биометрических данных – отпечатков пальцев – в подмосковных школах представителями бизнес-школы «Синергия». Заявлялась цель выявления навыков и способностей школьников, но информация собиралась без оформления согласия родителей. Вмешательство ведомства и реализация им функций контроля за соответствием обработки персональных данных законодательству помогла пресечь незаконную практику.

Обращаться в ведомство по вопросам нарушения прав можно с жалобой не только на российских резидентов, но и на иностранные компании, работающие на территории России. На сайте ведомства следует зайти в раздел «Обращения граждан», выбрать подраздел «Обработка персональных данных», изложить суть обращения. Требуется оставить ФИО и адрес, на который будет направлен официальный ответ.

Внутренний контроль

Подготовиться к проверке можно, возложив обязанности по контролю за соответствием обработки персональных данных законодательству на службу внутреннего контроля. Указав в положении о службе функции по проверке, можно рассчитывать, что она будет проводиться в постоянном режиме и компания окажется готовой к визиту ревизоров.

Если таких полномочий у службы внутреннего аудита нет, проверка проводится специально созданной комиссией, при необходимости в ее состав включаются внешние эксперты. Это особенно актуально, если компании предстоит проверка ФСТЭК. 

Дополнительно к общим принципам проведения проверки защиты прав субъектов персональных данных в ее объем должны войти:

• контроль используемого программного обеспечения с точки зрения наличия сертификатов ФСТЭК РФ и сроков их действия, легитимности приобретения, наличия документов об оплате;
• наличие работающей системы разграничения прав доступа пользователей к информационным массивам, содержащим персональные данные;
• ведение журнала учета действий пользователей.

Результатом контрольных мероприятий должны стать рекомендации о порядке подготовки к проверке. Если бюджет организации не дает возможности внедрить рекомендуемые ведомством программные средства, в нормативных документах предусмотрены компенсирующие меры, и проверяющие должны порекомендовать, какие именно из них могут быть использованы.

Как внешний, так и внутренний контроль призван защитить права граждан на неприкосновенность персональных данных, тайны личной жизни, семейной тайны. Организации должны самостоятельно проверять, насколько их деятельность соответствует законодательству.

24.12.2019