На пороге инспектор Роскомнадзора: что будет проверено?
В государственных (муниципальных) учреждениях проводят проверки многочисленные контрольно-надзорные органы, в том числе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В статье рассмотрены основные направления проверки работы с персональными данными и типичные нарушения, выявляемые по результатам контрольных мероприятий.
Полномочия Роскомнадзора по осуществлению контрольных функций определены Положением о федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства РФ от 16.03.2009 N 228. В соответствии с п. 5.1.1 данного документа Роскомнадзор осуществляет контроль и надзор по трем направлениям:
- в сфере связи (исполнение требований федеральных законов от 07.07.2003 N 126-ФЗ "О связи" и от 17.07.1999 N 176-ФЗ "О почтовой связи");
- в сфере средств массовой информации (исполнение требований Закона РФ от 27.12.1991 N 2124-1 "О средствах массовой информации");
- в области защиты персональных данных (исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных)).
Исполнение регламентаций, предъявляемых Законом о персональных данных, касается всех организаций и учреждений, являющихся в первую очередь работодателями для граждан РФ. Поэтому рассмотрим более подробно контрольные мероприятия в рамках данного направления.
Объект проверки - персональные данные
Статья 85 ТК РФ определяет персональные данные как информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника. При этом трудовым законодательством не уточняется, какая конкретно информация о сотрудниках, работающих в учреждении, к ним относится.
Статья 2 Закона о персональных данных относит к персональным данным любую информацию, имеющую отношение к определенному физическому лицу (субъекту персональных данных), в том числе:
- его фамилию, имя, отчество;
- год, месяц, день и место рождения;
- адрес, семейное, социальное, имущественное положение;
- сведения об образовании, профессии, доходах и др.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять эти сведения без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных (ст. 7 закона).
Все персональные данные являются конфиденциальными и подлежат защите.
Требования законодательства по обеспечению безопасности персональных данных при их обработке и хранении установлены:
- Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 N 781 (далее - Положение N 781);
- Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение N 687).
Так, в соответствии с п. 11 Положения N 781 при обработке персональных данных в информационной системе должны быть обеспечены:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль над обеспечением уровня защищенности персональных данных.
В перечне мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах, приведенных в п. 12 Положения N 781, в том числе поименованы:
- установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- учет лиц, допущенных к работе с персональными данными в информационной системе;
- контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
Для их разработки и осуществления учреждение может назначить структурное подразделение или должностное лицо (работника), ответственное за обеспечение безопасности персональных данных.
Обратите внимание! Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом (п. 14 Положения N 781).
При обработке персональных данных без применения средств автоматизации должны быть приняты следующие меры безопасности (п. 13-14 Положения N 687):
Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения данных (материальных носителей) и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, должны быть установлены оператором.
Кроме того, операторы, являющиеся государственными или муниципальными органами, должны принимать следующие меры, предусмотренные Постановлением Правительства РФ от 21.03.2012 N 211, направленные на обеспечение выполнения обязанностей, установленных Законом о персональных данных.
1. Утвердить актом руководителя государственного или муниципального органа следующие документы:
- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом о персональных данных, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
- правила работы с обезличенными данными;
- перечень информационных систем персональных данных;
- перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
- перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
- перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает обработку либо доступ к персональным данным;
- должностную инструкцию ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
- типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
- типовую форму согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
2. В целях внутреннего контроля соответствия обработки персональных данных установленным требованиям организовать проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки должны осуществляться ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой его руководителем. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа должен докладывать ответственный за организацию обработки персональных данных либо председатель комиссии.
3. Проводить ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организовывать обучение указанных служащих.
4. Уведомлять уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Законом о персональных данных.
5. Согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществлять обезличивание персональных данных, обрабатываемых в информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
Порядок проведения Роскомнадзором контрольных мероприятий
Приказом Минкомсвязи РФ от 14.11.2011 N 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора) за правильностью обработки персональных данных (далее - Административный регламент). Предметом контроля являются:
- документы, характер информации в которых предполагает или допускает включение в них персональных данных;
- информационные системы персональных данных;
- деятельность по их обработке.
Проведение контрольных мероприятий осуществляется с соблюдением требований Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
Представим формы, места проведения и сроки проверок в таблице.
Основные положения по проведению проверки | Комментарий | Пункты Административного регламента |
Виды проверок | Контрольные мероприятия по соблюдению законодательства о персональных данных проводит Роскомнадзор посредством плановых и внеплановых проверок | |
Формы контрольных мероприятий | Плановые и внеплановые проверки проводят должностные лица Роскомнадзора в документарной или выездной форме. Форму проведения проверки Роскомнадзор определяет самостоятельно. | |
Документарная проверка проводится по месту нахождения территориального органа Роскомнадзора. Уведомление о проведении документарной проверки направляется в адрес оператора не позднее чем в течение трех рабочих дней до начала ее проведения. | ||
Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения оператора или по месту фактического осуществления его деятельности в случае, если при документарной проверке не представляется возможным: - удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных и иных имеющихся в распоряжении проверяющих документах оператора; - оценить соответствие деятельности оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки | ||
Срок проведения проверки | Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней. | |
В случае необходимости срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней | ||
Плановые проверки | Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок на текущий календарный год. План утверждает руководитель Роскомнадзора после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок. Информация о порядке проведения и план проведения проверок размещаются на официальном сайте Роскомнадзора (www.rsoc.ru) и непосредственно в центральном аппарате Роскомнадзора и его территориальных органах. Плановые проверки проводятся: - в отношении операторов, включенных в реестр операторов, осуществляющих обработку персональных данных; - в отношении операторов, не включенных в реестр, но осуществляющих обработку персональных данных | |
Внеплановые проверки | Внеплановые проверки проводятся по следующим основаниям: 1) истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения требований законодательства РФ в области персональных данных; 2) поступление в Роскомнадзор и его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: - возникновение угрозы причинения вреда жизни и здоровью граждан; - причинение вреда жизни и здоровью граждан; 3) приказ руководителя Роскомнадзора или руководителя территориального его органа, изданный в соответствии с поручениями Президента РФ, Правительства РФ; 4) нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных; 5) нарушение операторами требований законодательства РФ в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности |
Права Роскомнадзора в сфере защиты персональных данных
Каждый контрольный орган в соответствии с законодательством РФ наделен определенными правами при проведении контрольных мероприятий. В силу ст. 23 Закона о персональных данных и п. 6 Административного регламента Роскомнадзор имеет право:
- выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных;
- составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных;
- запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки;
- получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства РФ в области персональных данных;
- требовать от учреждения (оператора) уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
Нарушения, выявляемые в ходе проверок, и ответственность за их совершение
На официальном сайте Роскомнадзора представлены отчеты о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2009-2010 годы.
Как показывают проверки, проводимые Роскомнадзором, наиболее распространенными являются нарушения:
а) ч. 3, 7 ст. 22 Закона о персональных данных в части несоответствия сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности оператора;
б) ч. 1 ст. 6 Закона о персональных данных в части обработки оператором персональных данных без согласия субъектов персональных данных;
в) ч. 4 ст. 9 Закона о персональных данных в части несоответствия содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
г) п. 13 Положения N 687 в части, касающейся непринятия мер по исключению несанкционированного доступа к обрабатываемым персональным данным.
В ходе проведения уполномоченным органом проверок выявлено, что во многих организациях имеются условия для нарушений требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к базам данных, внутренним документам, регламентирующим режим и порядок доступа к информационным системам. Среди нарушителей - органы государственной власти (территориальные органы Федеральной налоговой службы, территориальные органы ГИБДД и др.).
Субъекты персональных данных обращались в уполномоченный орган с жалобами по следующим нарушениям:
- обработка их персональных данных без их согласия;
- неправомерная передача данных третьим лицам;
- нарушение требований конфиденциальности персональных данных при их обработке (опубликование в СМИ, размещение информации, содержащей их, в общественных местах, на интернет-сайтах и т.п.).
В соответствии со ст. 24 Закона о персональных данных за нарушение правил работы с персональными данными лица привлекаются к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности. При этом способ реагирования на выявленное правонарушение соответствующий контролирующий орган определяет самостоятельно в пределах имеющихся у него полномочий.
Так, на работников, ответственных за хранение персональных данных, могут быть наложены дисциплинарные взыскания, приведенные в ст. 192 ТК РФ, в том числе замечание, выговор или увольнение. К ответственности могут быть привлечены только те работники, которые в соответствии с условиями своих трудовых договоров и должностных инструкций обязаны соблюдать правила работы с персональными данными, указаны в перечне лиц, имеющих доступ к персональным данным. То же самое относится к работникам, ответственным за ведение, хранение, учет и выдачу трудовых книжек.
Ниже представим виды нарушений и размер штрафных санкций, которые предусмотрены КоАП РФ.
Виды нарушений | Размер штрафных санкций (наказание) |
Статья 13.11 КоАП РФ | |
Нарушение установленного порядка сбора, хранения и использования персональных данных граждан влечет наложение административного штрафа | - на должностных лиц - от 500 до 1 000 руб.; - на юридических лиц - от 5 000 до 10 000 руб. |
Статья 19.7 КоАП РФ | |
Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде влечет предупреждение или наложение административного штрафа | - на должностных лиц - от 300 до 500 руб.; - на юридических лиц - от 3 000 до 5 000 руб. |
Не стоит забывать, что в случае выявления грубых нарушений может последовать и уголовная ответственность.
Преступлением является, в частности, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации. Согласно ст. 137 УК РФ за данные деяния предусмотрено следующее наказание:
- штраф в сумме до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
- либо обязательные работы на срок от 120 до 180 часов;
- либо исправительные работы на срок до года;
- либо арест на срок до четырех месяцев;
- либо лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
При этом те же деяния, совершенные лицом с использованием своего служебного положения (например, директором бюджетного учреждения), наказываются:
- штрафом в сумме от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от года до двух лет;
- либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- либо арестом на срок от четырех до шести месяцев;
- либо лишением свободы на срок от года до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
С. Валова,
эксперт журнала "Ревизии и проверки финансово-хозяйственной
деятельности государственных (муниципальных) учреждений"
"Ревизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учреждений", N 6, июнь 2012 г.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журналы издательства "Аюдар Инфо"
На страницах журналов вы всегда найдете комментарии и рекомендации экспертов, ответы на актуальные вопросы, возникающие в процессе вашей работы. Авторы - это аудиторы-практики, налоговые консультанты и работники налоговых служб, они всегда подскажут вам, как правильно строить взаимоотношения с налоговой инспекцией, оптимизировать налоги законным путем, помогут разобраться в новом нормативном акте, применить его на практике и избежать ошибок в работе.
Издатель: ООО "Аюдар Инфо"
Почтовый адрес: 125124, г. Москва, 1-я улица Ямского поля, д. 15
Телефон редакции: (495) 925-11-73 (многоканальный)