Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Новые правила проверок Роскомнадзора

Обнародован проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Он посвящён контролю Роскомнадзора над соблюдением требований законодательства в области персональных данных, а точнее – расширению прав Роскомнадзора, связанных с проведением проверок операторов ПДн. Общественное обсуждение проекта проводится до 6 июня.

Елена Республиканская, эксперт сервиса «Контур.Персональные данные» СКБ «Контур», так отзывается о проекте: «В нем расширены полномочия контролирующего органа. Роскомнадзор, как и раньше, будет публиковать планы проведения проверок, но теперь их не нужно будет согласовывать с прокуратурой. Кроме того, Роскомнадзор получает право самостоятельно решать, какие компании следует проверять. Помимо плановых и внеплановых проверок будет осуществляться систематическое наблюдение. В частности, это относится к компаниям, обрабатывающим ПДн с помощью Интернет-ресурсов, на которых обязательно должна публиковаться их политика обработки таких данных. Расширяется перечень оснований внеплановых проверок. Для компаний установлена новая периодичность проверок – раз в два года (сейчас – раз в три года), а для физических лиц и индивидуальных предпринимателей периодичность остается прежней. В результате изменений возникнет вероятность того, что проверки компаний будут проводиться чаще, и последним понадобится всегда быть к ним готовыми. Наконец, Роскомнадзор сможет привлекать к проверкам экспертов и экспертные организации».

Собственно, основные проблемы проекта связаны именно с экспертами и экспертными организациями. Алексей Волков, эксперт BISA, отмечает в своём блоге: «Изменятся состав и полномочия "дружины", выезжающей на проверки. Авторы проекта предлагают наделить ее полномочиями проверки мер, принятых оператором для выполнения предусмотренных законодательством требований, и оценки их достаточности. Проверяющий сможет проводить оценку самостоятельно или с привлечением аккредитованных экспертов – тех самых, о которых я писал три года назад и аккредитация которых на некоторое время была приостановлена. Для чего же аккредитованным экспертам понадобилось реанимация? Пункт 9.7 проекта говорит, что достаточность оценивается "дружиной" в пределах ее компетенции, определяемой, в свою очередь, пунктом 24. А в пункте 24.2 мы видим попытку авторов разграничить полномочия Роскомнадзора, ФСТЭК и ФСБ в отношении контроля над принятыми оператором мерами в соответствии со ст. 19 152-ФЗ. "Дружина" Роскомнадзора проверит все за вас, а то, что не сможет, проверят ее аккредитованные эксперты.

Теперь представьте такую ситуацию. Вы – добросовестный оператор, который решил создать у себя систему защиты персональных данных. Проводится тендер, который выигрывает некая компания. Она разрабатывает проект, подготавливает документы, налаживает процессы и строит систему защиты. Вроде, все хорошо, но приходит Роскомнадзор с аккредитованным экспертом, который говорит: нет, этих мер недостаточно, все нужно сделать по-другому. Вместо продуктов "Лаборатории Касперского" установите Dr. Web, а вместо решений Cisco – "Континент". Скажете, это нереально? К сожалению, вполне реально, поскольку нет формализованных критериев достаточности, кроме нанесения ущерба субъектам. И если у вас нет "своего" аккредитованного эксперта, способного грамотно изложить возражения в суде, то помимо штрафа вы получите приличную дыру в бюджете из-за необходимости устранения недостатков по выданному предписанию. И конечно, организация, в которой трудится приглашенный Роскомнадзором аккредитованный эксперт, с удовольствием поможет вам в освоении соответствующей суммы».

Михаил Емельянников, управляющий партнёр агентства «Емельянников, Попова и партнёры», продолжает тему в своём блоге: «в соответствии с п. 9.7 проекта к оценке и анализу мер, принятых государственным органом, органом местного самоуправления, юридическим или физическим лицом для обеспечения выполнения требований ФЗ «О персональных данных», могут привлекаться эксперты и/или экспертные организации, которые аккредитованы в порядке, установленном ФЗ от 28.12.2013 № 412-ФЗ «Об аккредитации в национальной системе аккредитации». Норма – не новая, она существовала и раньше, и в отношении контроля и надзора вводилась частью 2 ст. 7 ФЗ от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Однако с 1 сентября надзор в сфере персональных данных выводится из-под регулирования данным законом, а значит, и нормативные правовые акты, принятые в соответствии с ним, на такой вид надзорной деятельности не распространяются, если это не оговорено в их тексте.

В 2012 г. Роскомнадзор активно проводил работу по аккредитации экспертов и экспертных организаций, и в реестры, размещенные на сайте ведомства, были включены 30 экспертных организаций и 25 экспертов. Среди организаций преобладают интеграторы из Москвы, Санкт-Петербурга и регионов, активно продвигающие свои услуги на рынке обеспечения соответствия обработки и защиты персональных данных, известные и не очень. Среди экспертов – тоже есть знакомые лица, которые работают на этой ниве, а остальные, смею предположить, тоже трудятся в компаниях, имеющих отношение к данному направлению деятельности. При этом эксперты  и должностные лица надзорного органа, выполняющего проверку, в приказе о её проведении указываются поименно. А вот перечисление представителей экспертных организаций не предусмотрено, что создает возможность привлечения к проверке неограниченного числа работников таких организаций. На мой взгляд, участие в проверках экспертов и компаний, оказывающих услуги на том же рынке, создает, как минимум, три группы проблем».

Одной из таких проблем является возможность доступа коммерческих организаций  (тех самых экспертов и экспертных организаций) к персональным данным пользователей без их согласия. Вот как это объясняет Михаил Емельянников: «Выполнение возложенных на внешних экспертов задач предполагает глубокое погружение в ИС ПДн проверяемой организации, а значит, доступ к персональным данным. Если должностными лицами являются представители Роскомнадзора, то обосновать такой доступ еще как-то можно, тем более что в проекте Постановления есть п. 9.5: «…получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки». Но в любом случае обеспечивать представителям коммерческой организации доступ к персональным данным субъекта без его согласия оператор ИС ПДн не имеет права. И что тогда ему делать? «Препятствовать проверке», то есть совершать административное правонарушение? Ответа нет, а риск есть. А помимо персональных данных в ИС ПДн может храниться и другая информация о субъекте (например, при проверке учреждений здравоохранения – относящаяся к врачебной тайне, а при проверке операторов связи – к тайне связи), доступ к которой ограничен законом, поэтому эксперты его получать не должны».

Таким образом, в нынешнем виде Постановление позволит коммерческим компаниям получать доступ к защищаемым законом данным. Другими словами, этот документ  противоречит именно тому закону, во исполнение которого он принимается. Возможно, в окончательной редакции этой коллизии удастся избежать.

Оцените материал:
You voted 4. Total votes: 307
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.