Роскомнадзор заставит подать уведомление (с комментарием адвоката Титова А.С.)
На днях, 19 февраля, Роскомнадзор сообщил, что приступает к мерам реагирования в отношении тех операторов персональных данных, которые до сих пор не направили уведомление об обработке ПД. Пока что речь идет о проверках кредитных организаций, но вскоре это коснется всех операторов ПД.
Напомним, что согласно ФЗ «О персональных данных», операторы должны обеспечить соответствующий уровень защиты своих систем обработки персональных данных. Первоначально срок подачи уведомлений истекал 1 января 2010 года. Но многие операторы не успели вовремя подать уведомления, поэтому дедлайн перенесли на год вперед.
Однако и сегодня компании не торопятся подавать необходимые документы. По мнению замглавы Роскомнадзора Романа Шередина, существующее положение, при котором, например, количество кредитных организаций, зарегистрированных в реестре операторов персональных данных, не превышает 30% от их общей численности, является недопустимым и «связано с выжидательной позицией большинства указанных организаций и мнением, что факт отсутствия в реестре операторов исключает возможность проведения в отношении их деятельности проверок в области персональных данных».
В связи со сложившейся ситуацией ведомство решило перейти к активным действиям. Г-н Шередин заявил, что Роскомнадзор «планирует отойти от сложившейся практики информационно-разъяснительной, фактически «пригласительной», работы к принятию соответствующих мер реагирования в части привлечения операторов к административной ответственности за непредставление уведомлений об обработке персональных данных, а также информации об изменении сведений, содержащихся в уведомлении».
Как сообщили IP-News в Роскомнадзоре, мероприятия по привлечению операторов к ответственности будут проходить в форме составления протокола об административном правонарушении по ст. 19.7 КоАП РФ в порядке, установленном законодательством РФ, с последующим направлением материалов в суд.
Уже сейчас в большинстве случаев операторам рассылаются информационные письма о необходимости представления уведомления с предупреждением об ответственности в случае невыполнения требований. Административный штраф для юридических лиц в зависимости от решения суда составит от 3 до 5 тыс. рублей. При этом ведомство не исключает, что результаты проверки можно будет обжаловать.
Вадим Кропотов, региональный представитель ГК «Информзащита», пояснил, что Минюстом России уже зарегистрирован административный регламент проведения Роскомнадзором таких проверок. В полном объеме этот документ опубликован на Портале персональных данных Роскомнадзора. Регламент подробно описывает порядок проведения проверок, поясняет, каких именно компаний коснутся данные меры, а также описывает, как можно будет обжаловать действия должностных лиц.
Как пояснил г-н Кропотов, в первую очередь под санкции попадут те компании, которые не смогут доказать проверяющим органам, что они не подали уведомление на законных основаниях. Эти случаи предусмотрены частью 2 статьи 22 152-ФЗ. В целом же действия Роскомнадзора вполне оправданы, хотя соответствующие поправки к закону еще не вышли. «Управления Роскомнадзора по защите прав субъектов персональных данных для этого и было создано. Это регулятор, а не консалтинговое агентство. Я думаю, что подобные действия регулятора приведут операторов персональных данных к реальным шагам по защите самих персональных данных, а не к продолжению затянувшегося обсуждения по выполнению или невыполнению закона», - уверен Вадим Кропотов. Он также добавил, что у операторов телекоммуникационных систем большая часть вопросов по защите информации ограниченного доступа уже решена. Требуется лишь «довернуть» системы защиты информации до полного соответствия 152-ФЗ и нормативным документам. Возможно, часть вопросов снимут отраслевые стандарты, которые разрабатываются, в том числе, и в Министерстве связи и массовых коммуникаций.
Дмитрий Анчунов, генеральный директор компании Interzet, напротив считает, что требования этого закона слишком жесткие и трудновыполнимые для многих участников отрасли. «Результаты таких проверок помогут совершенствовать наше законодательство, - надеется г-н Анчунов. - Это логичные действия по внедрению закона. Мне кажется, в действительности процент подавших уведомления гораздо меньше, чем анонсирует Роскомнадзор, а объявленная мера будет являться стимулом для операторов связи».
Компания Interzet на данный момент не подготовила в полном объеме уведомление об обработке персональных данных абонентов. Сейчас специалисты анализируют опыт своих коллег, чтобы применить его у себя в компании. На данный момент оператор уже внедрил несколько систем защиты персональных данных клиентов, архивирует поступающую бумажную информацию и ограничивает доступ к ней. «Мы будем ждать такой проверки, чтобы получить дополнительную консультацию и устранить все недочеты. Особенно при условии, что максимальный административный штраф составляет всего 5000 рублей», - добавил генеральный директор Interzet.
Крупные операторы связи, как, например, «Северо-Западный Телеком», не опасаются грядущих проверок. Как правило, все они вовремя подали в Роскомнадзор необходимое уведомление. СЗТ был в числе первых операторов, кто направил в адрес руководителя Управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Санкт-Петербургу и Ленинградской области уведомление об обработке (о намерении осуществлять обработку) персональных данных. «В настоящее время ОАО «СЗТ» совершенствует свою нормативную базу по обработке ПД и проводит работы по модернизации систем информационной безопасности, биллинга, ERP и других систем, которые обрабатывают персональные данные абонентов и работников СЗТ. В компании, по состоянию на конец февраля, классифицировано 6 информационных систем, обрабатывающих персональные данные», - рассказала Марина Сухих, директор департамента корпоративных коммуникаций ОАО «Северо-Западный Телеком».
Эксперты разошлись во мнениях о том, кого же будут проверять: все компании или только те, кто еще не отправил необходимые документы. «Санкции ожидают те компании, которые вовремя не предоставят в государственный орган необходимую информацию, - уверен независимый адвокат в области связи Александр Титов. - Проводимые проверки вообще носят формальный характер».
Алексей Лукацкий, менеджер по развитию Cisco Systems, LLC, уточнил, что с юридической точки зрения, не все 100% операторов ПД обязаны составлять уведомление. «А если говорить с точки зрения духа Евроконвенции, то число случаев уведомления уполномоченного органа должно быть еще больше, и этот орган не должен пытаться своими действиями мешать реальной защите прав субъектов ПД, - уверен г-н Лукацкий. – Кроме того, уже существуют прецеденты, когда компании постфактум опротестовывали действия Роскомнадзора».
Оценивая карательные меры регуляторов в целом, Алексей Лукацкий отметил, что глобальных последствий для отрасли не будет никаких, как их нет при усилении роли пожарных инспекций, СЭС или налоговых. «При правильном построении процесса взаимодействия с регуляторами все необоснованные претензии «отбиваются», а обоснованные претензии - устраняются. Эффективность же мер зависит от возможностей регуляторов и операторов, которые разнятся в зависимости от региона, масштаба, ресурсов и т.п.», - уверяет г-н Лукацкий.
Дарья Афонина
источник ip news