07.08.2009

Роскомнадзор: от ворот поворот

В Хабаровском крае опротестована проверка Роскомнадзора по линии персданных. Суть проста - Роскомнадзор без согласования с прокураторой (что требуется по новому ФЗ-294) провел внеплановую выездную проверку небольшой организации. Мотивация РКН была простая - защита прав потребителей. Прокуратора посчитала такой мотив некорректным. Тем самым в действиях Роскомнадзора было выявлено нарушение законодательства.

Интересен тот факт, что эта самая небольшая организация, которая обратилась в прокуратуру, действительно нарушила права субъекта ПДн. Вот такой парадокс ;-)

К слову сказать, я о таком сценарии развития событий рассказываю в курсе "Что скрывает законодательство о персональных данных?"А тут к нему еще и доказательство появилось.

ЗЫ. Приятно осознавать, что регуляторы у нас не всегда правы ;-)

Совет: Внимательно читайте ФЗ-294 - он является очень большим подспорьем в борьбе с незаконными (да и с законными тоже, если честно) проверками со стороны регуляторов.

11 коммент.:

Олег Винокуров комментирует...

Вчера на конференции RISSPA Вы упоминали этот факт. Уточняю свой вчерашний комментарий:
- защита прав потребителей, согласно исходному тексту, возникла из неправильной трактовки цели внеплановой проверки САМОЙ прокуратурой, чтобы подвязать проверку под Статью 10 п. 2.
- При такой трактовке естественно прокуратура права в своем обосновании;
- это только мнение одной стороны, обоснование РКН мы не видели.

Однако, согласно изменениям, внесенным 60-ФЗ в этот закон, действия РКН попадают под другую статью, а именно Статья 1 п. 4, в части:
"контроля в области обращения и защиты информации, контроля и надзора за обеспечением защиты государственной тайны..., контроля за соблюдением стандартов раскрытия информации субъектами естественных монополий, контроля за соблюдением стандартов раскрытия информации организациями коммунального комплекса".

Также 60-ФЗ внесены изменения в последний параграф 294-ФЗ, позволяющий до 1 января 2010 г. большому чмслу регуляторов, в которые я уверенно включаю РКН, ФСТЭК, ФСБ, проводить внеплановые проверки в старом режиме, что, собственно и происходит на деле.

Мне кажется, что заявлять о бессилии РКН в проведении проверок, без явных доказательств, да и радоваться этому - это необоснованно раслаблять некоторых доверчивых заказчиков. Не правда ли?

Алексей Лукацкий комментирует...

Олег, я не считаю, что внесенные изменения в ч.4 ст.1 имеют отношение к теме защиты прав субъектов персональных данных.

И я также не считаю, что последний пункт ФЗ-60, относится к РКН. К ФСТЭК да, но не к РКН, т.к. они занимаются защитой прав субъектов. А эта сфера выпадает из части 4 статьи 1.

Ну и наконец, я не заявляю о бессилии РКН. Я говорю о том, что проверки регуляторов подчиняются четкой процедуре, описанной в ФЗ. И никаких самовольных решений тут быть не может. Поэтому заказчик, прежде чем начать выполнять все, что от него требует регулятор, должен почитать ФЗ и уже обоснованно реагировать на запросы надзорных органов.

Олег Винокуров комментирует...

Про защиту прав субъектов...
Давайте все-таки опираться на законы, а не толкования:
Полномочия РКН регулируются 354-ПП от 6 июня 2007 г., с учетом 878-ПП от 15-12-2007, пункт 5.3.1.16:
"за соответствием обработки перс. данных требованиям законодательства РФ ..."
Это, по-Вашему, не относится к контролю в области обращения и защиты информации? А в конкретном случае, для ТСЖ, контроль за соблюдением стандартов раскрытия информации организациями коммунального комплекса РКН не проводило?

Я, как и Вы, предлагаю всем почитать ФЗ и юридически обоснованно реагировать как на "наезды" регуляторов, так и скептически принимать заявления всех сторон, будь то прокуратура, я или, извините, Вы.
Возможно, этот кейс тоже попадет в ваш перечень мифов, только с авторством Хабаровской прокуратуры.

Ригель комментирует...

Злые вы.

Олег Винокуров комментирует...

То Ригель:

Да ладно Вам...

Сейчас заказчики стали такие информированные, что сами классифицируют системы, начитавшись форумов, а не нормативных документов.

Это, конечно, здорово, но некоторые, на мой личный взгляд, ошибки стали массово тиражироваться, а к законам никто уже не обращается - слишком скучно и расстраивает.

Типичный пример таких "мифов": представители ФСТЭК [на конференции, в курилке, за бутылкой] сказали (признали, заявили,уточнили, согласились), что ...

Дальше идет длинный перечень о том, что можно аттестовать ИСПДн самим, что с моделью угроз можно не соблюдать почти все требования ФСТЭК, что трансграничная передача никак не регулируется, что ФСТЭК не будет проверять то или это, что они согласились-повинились-исправят документы, что вместо ФСТЭК и ФСБ (согласно 781-ПП) тех. требования будут ваять ЦБ РФ ...дальше продолжайте сами.

Пока мне не покажут нормативные документы, пусть даже не прошедшие Минюст - цена таким заявлениям грош, только сбивают честного заказчика с прямого пути.

Алексей Лукацкий комментирует...

Олег, вообще-то полномочия РКН регулируются ПП-228 от 16 марта 2009 года. Вы ссылаетесь на очень старую версию Положения. Но дело даже не в этом. Согласно этого положения РКН в части защиты прав субъектов (подчеркива - именно прав субъектов) выполняет то, что ему позволено ФЗ-152, а там закрытый список прав РКН. И именно в части ПДн. По линии связи у РКН не в пример больше прав и полномочий.

Во-вторых, обработка персданных и защита информации - суть разные вещи. Посмотрите трехглавый закон и сравните определение ЗИ с обработкой ПДн из ФЗ-152. Разница присутствует. Поэтому под исключения из 294-ФЗ (как и из ФЗ о техрегулировании) попадают только ФСТЭК и ФСБ, но никак не РСН (при текущих его полномочиях). Вот когда изменится ситуация с его правами в части не только защиты прав, но и защиты самих Пдн, то тогда и будем говорить.

Также хочу отметить, что контроль за соблюдением стандартов раскрытия информации организациями коммунального комплекса также не относится к сфере деятельности РКН. Если где-то встречатся слово "информация" - это еще не значит, что тут же должны придти ФСТЭК, ФСБ и РКН проверять, как эта информация защищается ;-)

Алексей Лукацкий комментирует...

Дальше, что касается мифов ;-) Если я буду следовать БУКВЕ закона, то ФСТЭК с их СТР-К, четверокнижием и т.п. вообще может идти в сад, ибо нелигитимные документы это в принципе. Я про них и знать-то не обязан ибо ДСПшные они. Но ФСТЭК не хочет быть законопослушным органом исполнительной власти и ищет пути обхода условий принятия и регистрации НПА. А чем я хуже? Даже лучше. Я под это ссылки на законы подвожу. А ФСТЭК просто говорит "Вы обязаны и все".

И пока нету официальных документов, я либо буду принимать слова высокопоставленных представителей ФСТЭК (все-таки эти слова отражабт позицию всей структуры), либо вообще делать ничего не обязан.

Олег Винокуров комментирует...

Про РКН открываем это постановление, читаем:
"...функции по
контролю и надзору за соответствием обработки персональных данных
требованиям законодательства Российской Федерации в области персональных
данных,
... является уполномоченным федеральным
органом исполнительной власти по защите прав субъектов персональных
данных."

Чувствуете разницу? Контроль и надзор - за обработкой перс. данных, а полномочия - по защите прав субъектов.

Про защиту ПДн и защиту информации - открываю 149-ФЗ (Вы правильно ссылаетесь, РКН тоже рукводствуется этим документом), видим Статью 9 п 9.
"Порядок доступа к перс. данным граждан (физ. лиц) устанавливается ФЗ о ПДн. Это разве не отсылка к 152-ФЗ. И где противоречие?

Если я вижу слово информация,а потом понимаю, что она относится к определенному или определямому ... физ. лицу (Статья 3 152-ФЗ), я жду РКН, ФСТЭК и ФСБ? Я не прав?

Олег Винокуров комментирует...

По последнему посту:

Это распространенная точка зрения, только здесь Вы точно употребляете местоимение "Я".
Как раз в этом вопросе мы на разной стороне. Вы - заказчик, я - консультант.
Если Вы - мой Заказчик, я как консультант должен идентифицировать правовые риски, а уже Вам решать, принимаете Вы их или нет.
Если я этого, как консультант, не сделаю, то Заказчик остается один на один с регулятором и нашим справедливым судом совершенно неподготовленным.

Обязан или не обязан - это вопрос юридический и требует очень хорошую подготовку, мы вряд ли в этом вопросе являемся экспертами.

Ну и извините за отвлеченный пример: где все те консультанты, которые эффективно оптимизировали налоги на бизнес ЮКОСа? Кто сидит вместе с известными господами? Только PwС отделалось сильным испугом.

swan комментирует...

Разрешите внести дилетантскую вкладку в столь глубокий спор...

Довольно трудно объяснять заказчику легитимность тех или иных положений, когда даже специалисты еще "по полочкам не разложили"...

Дело в том, что структура "окружения чтоли" ИСПДн как правило следующая...

Сверху ИСПДн Ген.Заказчик, как правило большие дядьки большинство из которых либо государственны полностью или окологосударственны.

Исполнителями ИСПДн как правило являются "все кому не лень"(зачеркнуто), извините...

Так вот Вы прекрасно знаете, что исполнители ИСПДн выполняют КОНТРАКТЫ для больших дядек и очень их бизнес от них зависит а в контрактах прописано с разной степенью юмора - что ИСПОЛНИТЕЛЬ обязан привести систему к требованиям ИСПДн и точка...

И бедолага ИСПОЛНИТЕЛЬ крутится как может привлекая консультантов и т.п. чтобы выполнить требования и получить деньги.

Это я все к тому, что Исполнителю проблематично "накачавшись" знаниями про ФЗ, требования и т.п. изменить контракт, переформулировать и т.п.

Исполнитель должен привести в соответствие ИСПДн например к классу К2 и подтвердить это для ГенЗаказчика аттестатом или сертификатом. И Исполнитель будет к этому стремиться порой не глядя на ФЗ и т.п.

Вывод примерно такой ИМХО - Исполнителю ИСПДн(системы) ГЕНЗАКАЗЧИК(кормилец) - указ а многое разное - не указ !!!

Олег Винокуров комментирует...

Всем:
Извиняюсь если баян.
Обнаружил на сайте РКН проект регламента по проверке ПДн http://www.rsoc.ru/main/directions/reglaments/505/

Буду внимательно читать в понедельник, благо документ июльский.

Теперь по теме:
Первое, что бросается в глаза в проекте регламента - следующий перечень:
"31. Внеплановые проверки проводятся по следующим основаниям:
31.1. истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
31.2. поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
31.2.1. возникновение угрозы причинения вреда жизни, здоровью граждан;
31.2.2. причинение вреда жизни, здоровью граждан;
31.2.3. нарушение прав потребителей (в случае поступления в адрес Службы или ее территориального органа обращений и заявлений граждан и (или) юридических лиц по вопросам, связанным с нарушением прав потребителей при предоставлении Оператором услуги, в рамках которой осуществляется обработка персональных данных)."

Получается, что они (РКН в проекте регламента) не относят себя к исключениям в 294-ФЗ.
С другой стороны,они трактуют по другому (чем хабаровская прокуратура) пункт о защите прав потребителей.
Т.е. получается, что согласно проекту, они были правы не по моим глубокомысленным :-) доводам, а потому, что ТСЖ оказывало услуги жителям дома, в рамках которых обрабатывало их ПДн с нарушениями.
Не спорно ли это?

Другой вопрос, что с прокуратурой наверное надо было все-таки согласовывать внеплановую проверку.