Опыт проверок Роскомнадзором операторов персональных данных за последний год

    Указанное в заголовке ведомство в последнее время все чаще фигурирует на хабре в новостях, связанных какими-нибудь очередными черными списками и смешными блокировками, но в этой статье я хотел бы вспомнить об одной из не менее важных функций Роскомнадзора – надзор за выполнением законодательства в сфере защиты персональных данных.

    Так получилось, что в 2013-2014 годах в планы проверок Роскомнадзора попало немало наших клиентов, но мы особо этого не боялись, потому что проверки у наших клиентов проходили и ранее, опыт есть и весьма позитивный. Мы знали, что у новых клиентов тоже все приведено в порядок и ждали очередной проверки только чтобы поставить новую галочку в разделе портфолио «Успешно проведенные проверки регуляторов». Но эта статья не появилась бы на свет, если бы все соответствовало нашим оптимистичным ожиданиям…

    В начале прошлого года я написал статью, в которой пошагово попытался рассказать об этапах подготовки к подобным проверкам. И этот алгоритм четко работал до середины 2013 года. Что же случилось? Ниже я расскажу более подробно о некоторых случаях самодурства РКН на проверках по персональным данным, но если кратко – в ведомстве в отношении таких проверок введена палочная система. Проверяющие теперь будут искать любое самое мелкое нарушение, лишь бы выдать предписание и заставить заплатить хоть маленький, но неприятный штраф. Вполне возможно, что палки считают только в нашем регионе, но общение с коллегами из других субъектов РФ говорит об обратном.

    Перед тем как рассказывать конкретные случаи, попрошу при дальнейшем прочтении помнить о нескольких фактах:
    • состав проверяющих не менялся, то есть во всех рассмотренных случаях проверяющими были одни и те же люди;
    • комплекс мер и качество подготовки к проверке у всех проверяемых ранее и со второй половины 2013 года находился на одинаковом уровне;
    • на каждой следующей проверке в процессе подготовки учитывались предыдущие капризы проверяющих.

    В своей старой статье я писал, что большинство предписаний выносятся в связи с несоответствием данных, предоставленных в уведомлении оператора, настоящему положению дел, то есть, если вы указали, что вы обрабатываете ФИО, адрес и контактный телефон субъекта персональных данных, а на самом деле обрабатываете еще пол и дату рождения, то получите предписание. Первая история связана именно с этим.

    Первое предписание у одного из наших клиентов было связано с тем, что в уведомлении оператора в категориях персональных данных сотрудников не было указано, что они обрабатывают номера доверенностей, которые выдают тем или иным сотрудникам с той или иной целью. Сколько не пытались апеллировать к здравому смыслу и объяснять, что доверенность это самостоятельный документ и это именно человек является реквизитом доверенности (кому и для чего доверенность выдана), а не номер доверенности является реквизитом человека – не помогло. И этому способствовало весьма размытое определение понятия «персональные данные» в 152-ФЗ (любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу). У нас законодатели вообще очень любят размытые формулировки. Для чего в таком случае проводятся антикоррупционные экспертизы законопроектов в Минюсте не особо понятно.

    Окей, с номерами доверенности момент учли, стали ждать следующей проверки. И тут нас опять ждал сюрприз.
    В этот раз проверяющие из Роскомнадзора, видимо, не нашли несоответствий по категориям персональных данных и они решили сделать финт ушами – найти несоответствие в категориях субъектов персональных данных. Тут ситуация такая же как и с категориями самих ПДн – если вы указали в уведомлении, что обрабатываете персональные данные сотрудников и клиентов, а на деле обрабатываете дополнительно ПДн каких-нибудь волонтеров, то получи предписание. И в данном случае представителям РКН ничего в голову не пришло как сказать, что действующие и уволенные сотрудники организации это на самом деле разные категории субъектов персональных данных (а мы помним, что проверяющие — те же лица и раньше они на это не обращали внимания). Здесь также какие-либо воззвания к здравому смыслу не помогли.

    У одного из клиентов докопались к содержанию публичной политики в отношении персональных данных. Это такой документ, который должен публиковаться в открытом доступе (если есть веб-сайт, то на нем). Естественно, в этом документе мы никогда не пишем никакой конкретики, как, что и от кого мы защищаем. А почему мы должны собственно публиковать полезную информацию для потенциально нарушителя у себя на портале? Так вот, роскомнадзоровцы захотели, чтобы в публичном документе мы подробно расписали принятые меры защиты персональных данных. Зачем — не понятно. В целом, аномальная тяга к эксгибиционизму у Роскомнадзора уже давно вызывает беспокойство. Чего только стоит реестр государственных информационных систем, в котором мы можем узнать рабочий и МОБИЛЬНЫЙ (например здесь) номер ответственного за эту систему, его e-mail, а также сведения о серверных и клиентских ОС, используемых в системе, прикладном ПО системы, сведения о финансировании и многое другое. Просто рай для социальных инженеров, спамеров, и прочих черношляпов.

    Но вернемся к проверкам. Последний случай был несколько отличающимся от остальных. Клиент обратился к нам за помощью буквально за неделю до проверки. В процессе предварительного разговора и проверки реестра операторов ПДн было выяснено, что организацией не было подано уведомление об обработке персональных данных ранее. То есть в реестре операторов клиент отсутствовал. Здесь нужно понимать, что даже если бы мы подготовили уведомление в день обращения, 152-ФЗ предоставляет Роскомнадзору срок до 30 дней для внесения оператора в реестр с момента подачи уведомления, и практика показывает, что запись в реестре появляется через 20-25 дней со дня подачи уведомления (хотя, опять же, это относится непосредственно к нашему региону, где-то ребята из РКН могут быть порасторопнее). В общем, действовать решили с той позиции, что в 152-ФЗ предусмотрены случаи, когда уведомления подавать не требуется, это, в частности, когда обработка ПДн производится при осуществлении трудовых взаимоотношений и при заключении договора, одной из сторон которого является субъект ПДн. В принципе, это могло бы сработать, если бы у РКН не было бы цели наказать организацию, так как клиент был небольшой коммерческой фирмой, которая как раз и обрабатывает ПДн сотрудников по ТК РФ и заключает договора с клиентами. Предписание, выданное по итогам проверки, гласило, что данная фирма должна была подать уведомление, а так как не подала, то нарушила 152-ФЗ, ай-яй-яй! Причем в самом предписании не было никакого обоснования, просто «нет уведомления, а под исключения не попадает, поэтому нарушает…». На словах проверяющими было сказано, что к договорным отношениям с клиентами придраться трудно, поэтому уведомление они должны подавать, потому что (ВНИМАНИЕ!) организация передает персональные данные сотрудников третьим лицам – в ФНС и ПФР! Вот так-то! Здесь конечно сразу становится непонятно – зачем тогда в Федеральном законе все эти исключения, позволяющие не подавать уведомление оператора ПДн? Не проще ли написать — «все юридические лица должны подать уведомление» и на этом закончить?

    Что же делать?


    Честно говоря, мне уже даже интересно, что же придумают и до чего докопаются представители РКН при следующих проверках, ведь палочная система налицо. Но иногда появляется мысль – а может специально оставлять на видном месте явный недочет? Ведь штрафы пока небольшие, а увидев нарушение на видном месте, с большой долей вероятности проверяющие внесут его в предписание, мы заплатим небольшой штраф, устраним нарушение в установленные сроки и будем спокойно жить дальше, а проверяющие не станут копать глубже. Есть и другой вариант – оспаривать предписание Роскомнадзора в суде, именно так решил сделать наш последний клиент. К сожалению, развязкой этой истории я поделиться не могу, потому что история собственно еще и не закончилась. В любом случае, каждый выберет свой путь сам, хотя возможно до вашего региона палочная система еще не добралась.
    Поделиться публикацией
    Комментарии 16
      +3
      Так будет с каждым, отвернулся от хаоса, подумал на секунду, что он хороший и с ним можно иметь дело — получай энтропию.
      Количество теплоты, полученное системой, идёт на изменение её внутренней энергии и совершение работы против внешних сил
      Неминуемо.
        0
        Но иногда появляется мысль – а может специально оставлять на видном месте явный недочет?

        — Пиши один недостаток — нет лопаты !!!" (с)старый армейский анекдот
          0
          Это скорее про историю с желтой собачкой на картине.
          +4
          Мне кажется, подход принципиально неверный — понять придирки с помощью логики. Если стоит план делать палки — то палки будут делать и логика тут рядом не стояла. Но кому-то вероятно ваш опыт пригодится. Это как у нас с судами — прецедентного права нет, но правоприменение все усиленно читают.
            0
            Иногда остается только жалеть, что мы все придерживаемся правил этики и УК РФ (причем, думаю, что большинство хабражителей в первую очередь руководствуются этикой и моралью) и пытаемся играть в соответствии с этими правилами (суды, ухищрения).
            В параллельной вселенной (давайте просто представим) пофамильно сотрудники роскомнадзора ходят со сломанными руками и ребрами за каждую найденную чепуху. Или не работают в роскомнадзоре вовсе. Их никто не заставлял.
            Я понимаю, что скорее всего ошибаюсь, и не то чтобы накипело (впрочем, и накипело тоже), но лично для меня с каждым днем такая реализация защиты собственных прав от произвола российского чиновничества прельщает все больше. В данном случае я имею ввиду системную защиту, т.к. в единичном случае можно попытаться переехать (т.е. убрать камушек из собственного ботинка), но все-то не переедут, и строй целого государства менять тоже никто не будет. А вот на «местечковом» уровне…
              +6
              Сломанные руки это конечно весело, но рано или поздно сломают и тебе. Так или иначе. С бюрократами надо бороться их же методами. Не забывайте, что они тоже со всех сторон обложены правилами, которые сами и нарушают по разным причинам.
              Приведу два удачных примера «противостояния»:
              1. Через несколько месяцев после принятия закона о прививках, моим друзьям отказали в приёме ребёнка в детский сад, мотивируя внутренними инструкциями. Добрые люди посоветовали не париться и либо сделать ребёнку прививку, либо купить справку, делов-то. Но друзей эти выходы не устраивали. И ругаться им тоже не хотелось. Вместо это написали кучу писем в разные инстанции о грубом нарушении ФЗ. Результат — из детского сада заведущая чуть не домой прибежала со словами «ну что ж вы так сразу-то, мы бы с вами договорились...».
              2. У знакомых очень плохие отношения с соседями, вернее с одной соседкой. Бабулька старенькая, но энергичная. Своих детей нет, поэтому принимает плотное участие в воспитании остальных людей. В случае неповиновения — карает всякими кляузами. ТСЖ и милиция бабульку знают и на все её заявления привычно кладут. Но тут кто-то подсказал борцу за справедливость, что есть такая штука как ювенальная юстиция. Скоро заявление о плохом обращении с детьми уже отправилось куда следует. Об этой службе, кстати, у меня крайне отрицательное мнение. Наблюдал много случаев полного игнорирования ужасного положения детей (семьи наркоманов, алкоголиков и т.д.), но мгновенно «прилипают» к нормальным семьям. Ну это я отвлёкся. А знакомые, после того как их несколько раз посетили работники службы, написали несколько обращений (куда — не знаю, извините), о нарушениях в работе службы, о халатности, о несоответствии занимаемой должности и требования отстранить от работы. Сотрудники службы остались работать на местах, но их давно никто не видел )

              Я сам работал в большой компании. Любая жалоба на человека может быть использована против него, даже и «пустышка», а это всегда кому-то нужно — интриги же. Поэтому чем больше вы напишите жалоб и поднимете шуму тем быстрее найдётся человек, который использует вашу ситуацию с выгодой для себя. Заодно и ваша проблема решится.
                0
                Я вас понимаю, тем более, что изначально сам использую методы «острой палки» и использования бюрократии против бюрократии.
                Просто я не вижу вариантов РЕАЛЬНОЙ защиты от произвола. А метод «персональной ответственности» мотивирует. Понимаете, для вас достаточно что сотрудников «давно никто не видел», а ведь в РАБОТАЮЩЕЙ системе, они работать не должны. Потому что, очевидно, что свою функцию они ПРОСТО НЕ ВЫПОЛНЯЮТ, раз нашли время докопаться до людей. Но у нас «отстали и ладно». Вы видите способ «уйти» их оттуда?
                И вы простите, но я замечаю другую тенденцию: реальных бандитов никто не трогает. Не то, что годами, даже не садят всяких «в законе».
                Вот и выходит, что если меня прижал произвол бюрократии против меня будет и бюрократ и вы, а потом так же с вами. Только бюрократа внутри системы ничего не тронет, сделает себе карьеру и бай-бай.

                  +1
                  Я думаю проблема не только в персональной ответственности чиновников. Да, это действенный метод, но его реализация весьма проблематична по многим причинам. А вот что доступно уже сейчас — персональная ответственность граждан и осознание, что от наших действий зависит гораздо больше, чем кажется. Сейчас большинство людей идут по пути наименьшего противодействия — «закрывают глаза», дают взятки т.д. В результате система руководства остаётся без обратной связи и её начинает «заносить».
                  0
                  А вот за сведения куда и кому писали заявления ваши знакомые на ювенальщиков вам будут благодарны многие сотни, если не тысячи адекватных здравомыслящих родителей. Узнайте пожалуйста.
                +1
                Какой размер штрафа?
                  0
                  www.zakonrf.info/koap/13.11/

                  Сейчас максимальный штраф до 10 тысяч рублей для юрлиц. На практике — мировой судья назначает минимальный штраф или даже ограничивается предупреждением. Есть законопроект, который предусматривает повышение максимального штрафа за неправильную обработку ПДн до 700 тысяч рублей, но он еще не принят. Сейчас большие штрафы и серьезные санкции к руководителям касаются не обработки ПДн как таковых, а невыполнения требований контролирующих органов. Поэтому пока что главное — чтобы не было неустранимых нарушений в области обработки ПДн.
                  0
                  Так вот, роскомнадзоровцы захотели, чтобы в публичном документе мы подробно расписали принятые меры защиты персональных данных. Зачем — не понятно.


                  В законе так указано: оператор обязан опубликовать сведения о «реализуемых требованиях к защите персональных данных».
                    0
                    В том то и дело, мы как раз и перечисляем требования, которые мы реализовали в данном документе, но не детализируем КАК мы их реализовали. Мы не пишем какие у нас средства защиты, какие межсетевые экраны и уж тем более по каким политикам они настроены. Например, есть требование — должен быть назначен ответственный за организацию обработки ПДн. Мы пишем, что у нас такой человек назначен, но мы не публикуем его ФИО и уж тем более его мобильный телефон. Ну вы поняли.
                    0
                    Хм… Серверная операционная система Unix-like OS 16bit

                    Что бывает за размещенную недостоверную информацию? Отсюда:
                    Чего только стоит реестр государственных информационных систем, в котором мы можем узнать рабочий и МОБИЛЬНЫЙ (например здесь) номер ответственного за эту систему, его e-mail, а также сведения о серверных и клиентских ОС.

                    Кстати документ замечательный, по нему можно копипастом описание любой информационной системы сделать. :)
                      0
                      Вот ещё один отличный прецедент 30.rkn.gov.ru/news/news57301.htm
                      Больница получила предписание за то, что брала согласие с пациентов на обработку их персональных данных, а по закону могла не брать.
                        +1
                        У вас там на Дальнем Востоке похоже очень умные сотрудники в Роскомнадзоре работают :-)

                        image

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое