Мудрый Экономист

Проверки Роскомнадзором операторов по обработке персональных данных

"Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", 2010, N 11

Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных имеет целью защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Основным правовым актом, регулирующим отношения в сфере защиты персональных данных, является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ). Уполномоченным органом, который контролирует соблюдение его норм, является Роскомнадзор. В статье рассмотрен порядок проведения контрольных мероприятий, а также выявляемые нарушения и ответственность за их совершение.

Что является объектом проверки?

Принимая сотрудника на работу, работодатель запрашивает у него следующую информацию: фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. В соответствии с Федеральным законом N 152-ФЗ такая информация является персональными данными физического лица, а государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки, - операторами.

В силу Федерального закона N 152-ФЗ оператор, получивший доступ к персональным данным, должен обеспечить их сохранность и предотвратить несанкционированный доступ к информации. Для этого он обязан принять необходимые организационные и технические меры защиты, используя шифровальные (криптографические) средства, исключающие уничтожение, изменение, блокировку, копирование и распространение персональных данных. Использование и хранение биометрических данных вне информационных систем могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают ее сохранность.

Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с законодательством РФ и Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение N 687).

Таким образом, поскольку Законом установлены определенные обязанности оператора по обеспечению сохранности и предотвращению несанкционированного доступа к персональным данным, это и будет являться объектом проверки, проводимой уполномоченным органом - Роскомнадзором.

Какими правами наделен Роскомнадзор?

Права уполномоченного органа (Роскомнадзора) прописаны в ст. 23 Федерального закона N 152-ФЗ, в том числе право:

Кроме этого, Роскомнадзор ведет реестр операторов персональных данных.

Обратите внимание! В целях информационного обеспечения на официальном сайте Роскомнадзора (www.rsoc.ru) и портале "Персональные данные" (www.pd.rsoc.ru), официальных сайтах территориальных управлений размещены информация о структуре уполномоченного органа, реестр операторов, перечень законодательных и иных нормативных правовых актов в области персональных данных, новости и план проведения проверок.

Каков порядок проведения проверок Роскомнадзором?

Роскомнадзор строит свою работу в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства РФ от 16.03.2009 N 228.

Порядок проведения проверок Роскомнадзором установлен Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Роскомнадзора от 01.12.2009 N 630 (далее - Административный регламент N 630).

Обратите внимание! Проверки проводятся Роскомнадзором в соответствии с Федеральным законом от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Виды проверок. В соответствии с п. 17 Административного регламента N 630 контрольные мероприятия по соблюдению законодательства о персональных данных проводятся Роскомнадзором посредством плановых и внеплановых проверок.

Порядок проведения плановых проверок регламентирован п. п. 18 - 21 Административного регламента N 630. В соответствии с их нормами плановые проверки проводятся на основании ежегодного плана проведения плановых проверок на текущий календарный год. План утверждается руководителем Роскомнадзора после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок.

Информация о порядке проведения и план проведения проверок размещаются на официальном сайте Роскомнадзора (www.rsoc.ru) и непосредственно в центральном аппарате Роскомнадзора и его территориальных органах.

Плановые проверки проводятся в отношении операторов:

Внеплановые проверки проводятся по следующим основаниям (п. 27 Административного регламента N 630):

Согласование проведения внеплановых выездных проверок Роскомнадзором производится по месту осуществления деятельности операторов, относящихся в соответствии с законодательством РФ к субъектам малого или среднего предпринимательства, с прокурорами (заместителями прокуроров) субъектов РФ по основаниям, предусматривающим причинение вреда жизни и здоровью граждан.

О проведении внеплановой выездной проверки оператор уведомляется Роскомнадзором не менее чем за 24 часа до начала ее проведения любым доступным способом. Если в результате деятельности оператора причинен или причиняется вред жизни и здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

Формы контрольных мероприятий приведены в п. 66 Административного регламента N 630. Плановые и внеплановые проверки проводятся должностными лицами Роскомнадзора в форме документарной или выездной проверки. Форма проведения проверки определяется Роскомнадзором самостоятельно.

Документарная проверка. Документарная проверка проводится по месту нахождения территориального органа Роскомнадзора (п. 67 Административного регламента N 630).

Предметом документарной проверки являются сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, с исполнением предписаний Роскомнадзора.

Уведомление о проведении документарной проверки направляется в адрес оператора не позднее чем за три рабочих дня до начала ее проведения (п. 67.3 Административного регламента N 630).

В случае, если достоверность сведений, содержащихся в документах, имеющихся в распоряжении проверяющих, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение оператором установленных требований, в адрес оператора направляется мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы. К запросу прилагается заверенная печатью копия приказа руководителя, заместителя руководителя территориального органа о проведении документарной проверки.

В течение десяти рабочих дней со дня получения мотивированного запроса оператор обязан представить указанные в запросе документы в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора (п. 67.5 Административного регламента N 630).

Если в ходе документарной проверки выявлены ошибки или противоречия в представленных документах, проверяющие вправе затребовать пояснения в письменной форме. Срок представления - десять рабочих дней.

Порядок проведения выездной проверки изложен в п. 70 Административного регламента N 630. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения оператора или по месту фактического осуществления его деятельности в случае, если при документарной проверке не представляется возможным:

Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней (п. 31 Административного регламента N 630).

В случае необходимости срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней (п. 32 Административного регламента N 630).

В соответствии с п. 71 Административного регламента N 630 при проведении проверки должностные лица органов Роскомнадзора не вправе:

О чем свидетельствует анализ предыдущих проверок?

По данным Роскомнадзора, в 2009 г. было проведено 432 проверки в отношении операторов, осуществляющих обработку персональных данных, из них 284 плановых и 148 внеплановых <1>, то есть внеплановые проверки составили 33% от общего числа проверок.

<1> Данные представлены на сайте Роскомнадзора (www.rsoc.ru).

По результатам проведенных в 2009 г. проверок операторам выдано 557 предписаний об устранении выявленных нарушений законодательства РФ в области персональных данных, составлено и направлено в суды 54 протокола об административных правонарушениях. В 2009 г. количество выданных предписаний по сравнению с 2008 г. увеличилось в 29,3 раза.

Выявленные правонарушения были квалифицированы по ст. 19.7 КоАП РФ, предусматривающей административную ответственность по следующим основаниям:

Для справки. Статья 19.7 "Непредставление сведений (информации)" КоАП РФ предусматривает за непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно за представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде предупреждение или наложение административного штрафа:

Мировыми судьями по результатам рассмотрения направленных материалов вынесены постановления о привлечении операторов к административной ответственности в форме штрафа, в отдельных случаях - постановления о малозначительности совершенного правонарушения с вынесением устного замечания либо о прекращении производства в связи с истечением срока давности.

В 86 случаях материалы проверок были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ.

Для справки. Статья 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" КоАП РФ предусматривает за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предупреждение или наложение административного штрафа:

Какие нарушения чаще всего выявляются в результате контрольных мероприятий?

Наиболее распространенными нарушениями в 2009 г. были следующие:

В качестве примеров нарушений можно привести такие факты:

Проверки, проводившиеся уполномоченным органом, показали, что во многих организациях существуют условия для нарушения требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к базам данных, внутренних документов, регламентирующих режим и порядок доступа к информационным системам. Среди нарушителей - органы государственной власти (территориальные органы ФНС, территориальные органы ГИБДД и др.).

В своих жалобах субъекты персональных данных обращались в уполномоченный орган по следующим нарушениям:

В каких случаях преступные деяния могут повлечь уголовную ответственность?

На практике чаще встречается привлечение должностных лиц учреждений (организаций) к административной ответственности, но не следует забывать, что в случае выявления грубых нарушений может последовать и уголовная ответственность.

Преступлением является, в частности, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Согласно ст. 137 УК РФ за это преступление устанавливается следующее наказание: штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок от 120 до 180 часов, либо исправительные работы на срок до года, либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения (то есть, например, директором бюджетного учреждения), наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от года до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арестом на срок от 4 до 6 месяцев, либо лишением свободы на срок от года до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Незаконный отказ должностного лица в предоставлении гражданину информации также является основанием для привлечения к уголовной ответственности. В соответствии со ст. 140 УК РФ если должностное лицо неправомерно отказывает в предоставлении собранных в установленном порядке документов и материалов, затрагивающих права и свободы гражданина, либо предоставляет гражданину неполную или заведомо ложную информацию и такие действия причинили вред правам и законным интересам граждан, то должностное лицо наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

Какие приоритетные направления контрольной деятельности Роскомнадзор планирует в ближайшей перспективе?

Принимая во внимание изменение дел в области защиты прав субъектов персональных данных в Российской Федерации, необходимо выделить такие первоочередные задачи уполномоченного органа на ближайшую перспективу, как:

Поскольку Роскомнадзор ставит своей задачей завершить формирование реестра операторов, особое внимание операторам надо уделить вопросам внесения своих данных в реестр. Решение о предоставлении уведомления оператор принимает самостоятельно, но важно учитывать, что при проведении проверок или в случае рассмотрения обращений граждан выявленная необоснованная обработка персональных данных без уведомления будет квалифицироваться как нарушение требований федерального законодательства. Например, оператор принимает решение не уведомлять уполномоченный орган об обработке персональных данных, ссылаясь на такое исключение, как обработка персональных данных субъектов, которых связывают с оператором трудовые отношения. Вместе с тем, кроме обработки персональных данных своих работников, оператором ведется обработка персональных данных своих клиентов, абонентов, пациентов, пользователей услуг и др. Многие операторы не учитывают осуществление такой обработки и зачастую принимают неверное решение по вопросу уведомления уполномоченного органа, что приводит к нарушению требований закона.

Существующее положение дел является недопустимым и связано с выжидательной позицией большинства таких организаций и мнением, что факт отсутствия в реестре операторов исключает возможность проведения в отношении их деятельности проверок в области персональных данных.

Согласно ст. 24 Федерального закона N 152-ФЗ лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Поэтому для обеспечения защиты конституционных прав и свобод граждан, соблюдения российского законодательства операторам выгоднее в рамках действующего законодательства своевременно подавать уведомления об обработке персональных данных, чем подвергать свой бизнес и репутацию возможным рискам со стороны граждан, тем более что уведомление об обработке персональных данных подается оператором единожды и вносится в Единую информационную систему России, которая формируется всеми территориальными управлениями Роскомнадзора.

В ближайшей перспективе Роскомнадзор планирует перейти от сложившейся практики информационно-разъяснительной, фактически "пригласительной" работы к принятию соответствующих мер реагирования в части привлечения операторов к административной ответственности за непредставление уведомлений об обработке персональных данных, а также информации об изменении сведений, содержащихся в уведомлении.

Е.Зобова

Эксперт журнала

"Бюджетные учреждения:

ревизии и проверки

финансово-хозяйственной деятельности"

Проверка исчисления и уплаты транспортного налога
 
Исчисление нормы рабочего времени