Проверки Роскомнадзором операторов по обработке персональных данных (Е. Зобова, "Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", N 11, ноябрь 2010 г.)

Проверки Роскомнадзором операторов по обработке персональных данных

Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных имеет целью защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Основным правовым актом, регулирующим отношения в сфере защиты персональных данных, является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ). Уполномоченным органом, который контролирует соблюдение его норм, является Роскомнадзор. В статье рассмотрен порядок проведения контрольных мероприятий, а также выявляемые нарушения и ответственность за их совершение.

Что является объектом проверки?

Принимая сотрудника на работу, работодатель запрашивает у него следующую информацию: фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. В соответствии с Федеральным законом N 152-ФЗ такая информация является персональными данными физического лица, а государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки, - операторами.

В силу Федерального закона N 152-ФЗ оператор, получивший доступ к персональным данным, должен обеспечить их сохранность и предотвратить несанкционированный доступ к информации. Для этого он обязан принять необходимые организационные и технические меры защиты, используя шифровальные (криптографические) средства, исключающие уничтожение, изменение, блокировку, копирование и распространение персональных данных. Использование и хранение биометрических данных вне информационных систем могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают ее сохранность.

Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с законодательством РФ и Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение N 687).

Таким образом, поскольку законом установлены определенные обязанности оператора по обеспечению сохранности и предотвращению несанкционированного доступа к персональным данным, это и будет являться объектом проверки, проводимой уполномоченным органом - Роскомнадзором.

Какими правами наделен Роскомнадзор?

Права уполномоченного органа (Роскомнадзора) прописаны в ст. 23 Федерального закона N 152-ФЗ, в том числе право:

- осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона N 152-ФЗ;

- направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

- привлекать к административной ответственности лиц, виновных в нарушении Федерального закона N 152-ФЗ.

Кроме этого, Роскомнадзор ведет реестр операторов персональных данных.

Обратите внимание! В целях информационного обеспечения на официальном сайте Роскомнадзора (www.rsoc.ru) и портале "Персональные данные" (www.pd.rsoc.ru), официальных сайтах территориальных управлений размещены информация о структуре уполномоченного органа, реестр операторов, перечень законодательных и иных нормативных правовых актов в области персональных данных, новости и план проведения проверок.

Каков порядок проведения проверок Роскомнадзором?

Роскомнадзор строит свою работу в соответствии с Положением о федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства РФ от 16.03.2009 N 228.

Порядок проведения проверок Роскомнадзором установлен Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Роскомнадзора от 01.12.2009 N 630 (далее - Административный регламент N 630).

Обратите внимание! Проверки проводятся Роскомнадзором в соответствии с Федеральным законом от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Виды проверок. В соответствии с п. 17 Административного регламента N 630 контрольные мероприятия по соблюдению законодательства о персональных данных проводятся Роскомнадзором посредством плановых и внеплановых проверок.

Порядок проведения плановых проверок регламентирован п. 18-21 Административного регламента N 630. В соответствии с их нормами плановые проверки проводятся на основании ежегодного плана проведения плановых проверок на текущий календарный год. План утверждается руководителем Роскомнадзора после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок.

Информация о порядке проведения и план проведения проверок размещаются на официальном сайте Роскомнадзора (www.rsoc.ru) и непосредственно в центральном аппарате Роскомнадзора и его территориальных органах.

Плановые проверки проводятся в отношении операторов:

- включенных в реестр операторов, осуществляющих обработку персональных данных;

- не включенных в реестр, но осуществляющих обработку персональных данных.

Внеплановые проверки проводятся по следующим основаниям (п. 27 Административного регламента N 630):

- истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных;

- поступление в Роскомнадзор и его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: возникновение угрозы причинения вреда жизни и здоровью граждан, а также причинение вреда жизни и здоровью граждан.

Согласование проведения внеплановых выездных проверок Роскомнадзором производится по месту осуществления деятельности операторов, относящихся в соответствии с законодательством РФ к субъектам малого или среднего предпринимательства, с прокурорами (заместителями прокуроров) субъектов РФ по основаниям, предусматривающим причинение вреда жизни и здоровью граждан.

О проведении внеплановой выездной проверки оператор уведомляется Роскомнадзором не менее чем за 24 часа до начала ее проведения любым доступным способом. Если в результате деятельности оператора причинен или причиняется вред жизни и здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

Формы контрольных мероприятий приведены в п. 66 Административного регламента N 630. Плановые и внеплановые проверки проводятся должностными лицами Роскомнадзора в форме документарной или выездной проверки. Форма проведения проверки определяется Роскомнадзором самостоятельно.

Документарная проверка. Документарная проверка проводится по месту нахождения территориального органа Роскомнадзора (п. 67 Административного регламента N 630).

Предметом документарной проверки являются сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, с исполнением предписаний Роскомнадзора.

Уведомление о проведении документарной проверки направляется в адрес оператора не позднее чем за три рабочих дня до начала ее проведения (п. 67.3 Административного регламента N 630).

В случае если достоверность сведений, содержащихся в документах, имеющихся в распоряжении проверяющих, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение оператором установленных требований, в адрес оператора направляется мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы. К запросу прилагается заверенная печатью копия приказа руководителя, заместителя руководителя территориального органа о проведении документарной проверки.

В течение десяти рабочих дней со дня получения мотивированного запроса оператор обязан представить указанные в запросе документы в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора (п. 67.5 Административного регламента N 630).

Если в ходе документарной проверки выявлены ошибки или противоречия в представленных документах, проверяющие вправе затребовать пояснения в письменной форме. Срок представления - десять рабочих дней.

Порядок проведения выездной проверки изложен в п. 70 Административного регламента N 630. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения оператора или по месту фактического осуществления его деятельности в случае, если при документарной проверке не представляется возможным:

- удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных и иных имеющихся в распоряжении проверяющих документов оператора;

- оценить соответствие деятельности оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки.

Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней (п. 31 Административного регламента N 630).

В случае необходимости срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней (п. 32 Административного регламента N 630).

В соответствии с п. 71 Административного регламента N 630 при проведении проверки должностные лица органов Роскомнадзора не вправе:

- проверять выполнение обязательных требований, если они не относятся к полномочиям Роскомнадзора;

- осуществлять плановую или внеплановую выездную проверку в случае отсутствия руководителя, иного уполномоченного представителя оператора, за исключением случая причинения вреда жизни и здоровью граждан;

- требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов;

- распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством РФ;

- превышать установленные сроки проведения проверки;

- осуществлять выдачу операторам предписаний или предложений о проведении проверок за их счет.

О чем свидетельствует анализ предыдущих проверок?

По данным Роскомнадзора, в 2009 году было проведено 432 проверки в отношении операторов, осуществляющих обработку персональных данных, из них 284 плановых и 148 внеплановых*(1), то есть внеплановые проверки составили 33% от общего числа проверок.

По результатам проведенных в 2009 году проверок операторам выдано 557 предписаний об устранении выявленных нарушений законодательства РФ в области персональных данных, составлено и направлено в суды 54 протокола об административных правонарушениях. В 2009 году количество выданных предписаний по сравнению с 2008 годом увеличилось в 29,3 раза.

Выявленные правонарушения были квалифицированы по ст. 19.7 КоАП РФ, предусматривающей административную ответственность по следующим основаниям:

- непредставление или несвоевременное представление в уполномоченный орган уведомления об обработке персональных данных (п. 1 ст. 22 Федерального закона N 152-ФЗ);

- непредставление либо несвоевременное представление информации по запросу уполномоченного органа (п. 4 ст. 20 Федерального закона N 152-ФЗ);

- непредставление сведений об изменении информации, содержащейся в уведомлении (п. 7 ст. 22 Федерального закона N 152-ФЗ).

Для справки. Статья 19.7 "Непредставление сведений (информации)" КоАП РФ предусматривает за непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно за представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде предупреждение или наложение административного штрафа:

- на должностных лиц - от 300 до 500 руб.;

- на юридических лиц - от 3 000 до 5 000 руб.

Мировыми судьями по результатам рассмотрения направленных материалов вынесены постановления о привлечении операторов к административной ответственности в форме штрафа, в отдельных случаях - постановления о малозначительности совершенного правонарушения с вынесением устного замечания либо о прекращении производства в связи с истечением срока давности.

В 86 случаях материалы проверок были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ.

Для справки. Статья 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" КоАП РФ предусматривает за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предупреждение или наложение административного штрафа:

- на должностных лиц - от 500 до 1 000 руб.;

- на юридических лиц - от 5 000 до 10 000 руб.

Какие нарушения чаще всего выявляются в результате контрольных мероприятий?

Наиболее распространенными нарушениями в 2009 году были следующие:

- несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности (п. 3, 7 ст. 22 Федерального закона N 152-ФЗ);

- обработка персональных данных без согласия субъектов персональных данных (п. 1 ст. 6 Федерального закона N 152-ФЗ);

- несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ в области персональных данных (п. 7 Положения N 687).

В качестве примеров нарушений можно привести такие факты:

- без согласия посетителей сотрудником организации осуществлялось сканирование документов, удостоверяющих личность посетителей, с последующим внесением сведений, содержащихся в сканированной копии документа, в информационную базу данных организации;

- несоответствие типовых форм документов и содержания письменного согласия на обработку персональных данных установленным требованиям, а также избыточность обрабатываемых персональных данных субъекта персональных данных применительно к целям обработки выражалось конкретно в том, что в типовой форме согласия на обработку персональных данных отсутствовали цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий, связанных с обработкой персональных данных субъекта;

- в тексте письменного согласия на обработку персональных данных операторами зачастую допускались некорректные формулировки относительно сроков обработки персональных данных, устанавливающие право оператора обрабатывать персональные данные субъекта персональных данных в течение всей его жизни либо в течение неопределенного срока (только по данному нарушению государственными инспекторами Роскомнадзора было выдано 26 предписаний);

- проблема избыточности обрабатываемых персональных данных по отношению к цели обработки, как правило, выражалась в форме "навязывания" субъекту персональных данных необходимости представления какой-либо дополнительной информации, в том числе специальных категорий персональных данных и сведений о близких родственниках, при оказании определенного вида услуг.

Проверки, проводившиеся уполномоченным органом, показали, что во многих организациях существуют условия для нарушения требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к базам данных, внутренних документов, регламентирующих режим и порядок доступа к информационным системам. Среди нарушителей - органы государственной власти (территориальные органы ФНС, территориальные органы ГИБДД и др.).

В своих жалобах субъекты персональных данных обращались в уполномоченный орган по следующим нарушениям:

- отсутствие согласия на обработку их персональных данных;

- неправомерная передача информации третьим лицам;

- нарушение требований конфиденциальности персональных данных при их обработке (опубликование персональных данных в СМИ, размещение информации, содержащей персональные данные, в общественных местах, на интернет-сайтах и т.п.).

В каких случаях преступные деяния могут повлечь уголовную ответственность?

На практике чаще встречается привлечение должностных лиц учреждений (организаций) к административной ответственности, но не следует забывать, что в случае выявления грубых нарушений может последовать и уголовная ответственность.

Преступлением является, в частности, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Согласно ст. 137 УК РФ за это преступление устанавливается следующее наказание: штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок от 120 до 180 часов, либо исправительные работы на срок до года, либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения (то есть, например, директором бюджетного учреждения), наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от года до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо арестом на срок от 4 до 6 месяцев, либо лишением свободы на срок от года до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Незаконный отказ должностного лица в предоставлении гражданину информации также является основанием для привлечения к уголовной ответственности. В соответствии со ст. 140 УК РФ если должностное лицо неправомерно отказывает в предоставлении собранных в установленном порядке документов и материалов, затрагивающих права и свободы гражданина, либо предоставляет гражданину неполную или заведомо ложную информацию и такие действия причинили вред правам и законным интересам граждан, то должностное лицо наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.

Какие приоритетные направления контрольной деятельности Роскомнадзор планирует в ближайшей перспективе?

Принимая во внимание изменение дел в области защиты прав субъектов персональных данных в Российской Федерации, необходимо выделить такие первоочередные задачи уполномоченного органа на ближайшую перспективу, как:

- выполнение плана проведения плановых проверок с учетом снижения административного давления на операторов путем увеличения количества документарных проверок;

- активизация информационно-разъяснительной, профилактической работы;

- завершение в 2010 году процесса формирования реестра операторов.

Поскольку Роскомнадзор ставит своей задачей завершить формирование реестра операторов, особое внимание операторам надо уделить вопросам внесения своих данных в реестр. Решение о предоставлении уведомления оператор принимает самостоятельно, но важно учитывать, что при проведении проверок или в случае рассмотрения обращений граждан выявленная необоснованная обработка персональных данных без уведомления будет квалифицироваться как нарушение требований федерального законодательства. Например, оператор принимает решение не уведомлять уполномоченный орган об обработке персональных данных, ссылаясь на такое исключение, как обработка персональных данных субъектов, которых связывают с оператором трудовые отношения. Вместе с тем, кроме обработки персональных данных своих работников, оператором ведется обработка персональных данных своих клиентов, абонентов, пациентов, пользователей услуг и др. Многие операторы не учитывают осуществление такой обработки и зачастую принимают неверное решение по вопросу уведомления уполномоченного органа, что приводит к нарушению требований закона.

Существующее положение дел является недопустимым и связано с выжидательной позицией большинства таких организаций и мнением, что факт отсутствия в реестре операторов исключает возможность проведения в отношении их деятельности проверок в области персональных данных.

Согласно ст. 24 Федерального закона N 152-ФЗ лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Поэтому для обеспечения защиты конституционных прав и свобод граждан, соблюдения российского законодательства операторам выгоднее в рамках действующего законодательства своевременно подавать уведомления об обработке персональных данных, чем подвергать свой бизнес и репутацию возможным рискам со стороны граждан, тем более что уведомление об обработке персональных данных подается оператором единожды и вносится в Единую информационную систему России, которая формируется всеми территориальными управлениями Роскомнадзора.

В ближайшей перспективе Роскомнадзор планирует перейти от сложившейся практики информационно-разъяснительной, фактически "пригласительной" работы к принятию соответствующих мер реагирования в части привлечения операторов к административной ответственности за непредставление уведомлений об обработке персональных данных, а также информации об изменении сведений, содержащихся в уведомлении.

Е. Зобова,

эксперт журнала "Бюджетные учреждения:

ревизии и проверки финансово-хозяйственной деятельности"

"Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", N 11, ноябрь 2010 г.

-------------------------------------------------------------------------

*(1) Данные представлены на сайте Роскомнадзора (www.rsoc.ru).