Контроль в области защиты персональных данных
12.1. Регуляторы в области защиты персональных данных
В соответствии с ФЗ "О персональных данных" выделяют три регулятора в области защиты персональных данных:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор) в части, касающейся соблюдения норм и требований по обработке персональных данных и защиты прав субъектов персональных данных;
- Федеральная служба безопасности РФ (далее ФСБ) в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПД;
- Федеральная служба по техническому и экспортному контролю (далее ФСТЭК) в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПД (не криптографическими методами) при их обработке в ИСПД.
В целях контроля соблюдения операторами требований безопасности в области защиты ПД регуляторы проводят плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПД, а также внеплановые – на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:
- представление по запросу отчета по лицензируемым видам деятельности;
- представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);
- явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.
ФСТЭК РФ уполномочен осуществлять плановые проверки:
- представление по запросу отчета по лицензируемым видам деятельности;
- представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы;
- представление копий аттестатов соответствия на защищаемые помещения по требованиям безопасности;
- явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности[9].
Плановые и внеплановые проверки осуществляются в соответствии с Федеральным законом от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
12.2. Проверки Роскомнадзора
Роскомнадзор осуществляет проверку выполнения требований законодательства в области обеспечения безопасности персональных данных с целью защиты прав субъектов.
В соответствии с ФЗ "О персональных данных" Роскомнадзор имеет право:
- запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
- осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать решение по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований ФЗ "О персональных данных";
- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
- направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
- направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
- вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
- привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Контроль осуществляется с помощью плановых и внеплановых проверок и в строгом соответствии с установленным порядком проведения данных проверок. Проверки осуществляет Роскомнадзор или его территориальные органы.
Плановые проверки проводятся на основании ежегодного плана проведения проверок:
- в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных;
- в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.
Внеплановые проверки проводятся по следующим основаниям:
- истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
- поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
- возникновение угрозы причинения вреда жизни, здоровью граждан;
- причинение вреда жизни, здоровью граждан;
- нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных;
- нарушение Операторами требований законодательства в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
Обращение гражданина РФ, не позволяющее установить его лицо, либо не содержащее сведения о фактах, указанных выше, не может являться основанием для внеплановой проверки.
О проведении внеплановой выездной проверки оператор уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.
Если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.
Срок проведения, как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.
В исключительных случаях срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней, в отношении малых предприятий и микропредприятий – на 15 часов.
В ходе проверки осуществляется следующее:
- рассмотрение документов оператора, таких как уведомление об обработке, письменное согласие субъекта, локальных документов, регламентирующих порядок хранения и обработки ПД;
- исследование ИСПД в части, касающейся субъектов ПД.
Основанием для приостановления проверки является:
- необходимость получения заключений экспертов по вопросам обработки персональных данных, связанным с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований;
- мотивированное решение руководителя контролирующего органа, принятое по причине изъятия документов, являющихся объектами контроля, проведенного ранее сотрудниками прокуратуры, правоохранительных органов, болезни должностных лиц, проводящих проверку. Оператору представляется копия приказа, в котором указываются причины приостановления проверки и период, на который данная проверка приостановлена.
Основанием для принятия решения об исключении Оператора из плана проведения плановых проверок является:
- ликвидация или реорганизация Оператора;
- прекращение Оператором деятельности по обработке персональных данных.
Проверка соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных завершается:
- составлением и вручением Оператору акта проверки;
- выдачей Оператору предписания об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных;
- составлением протокола об административном правонарушении в отношении Оператора;
- подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
12.3. Проверки ФСБ
Проверка ФСБ проводится на основании распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего. Проверка осуществляется должностными лицами, указанными в данном приказе. В приказе указывается следующее:
- наименование органа государственного контроля (надзора);
- фамилии, имена, отчества, должности должностного лица или должностных лиц, уполномоченных на проведение проверки, а также привлекаемых к проведению проверки экспертов, представителей экспертных организаций;
- наименование юридического лица или фамилия, имя, отчество индивидуального предпринимателя, проверка которых проводится;
- цели, задачи и предмет проверки;
- правовые основания проведения проверки;
- перечень мероприятий по контролю (надзору), необходимых для достижения целей и задач проведения проверки;
- даты начала и окончания проведения проверки[43].
Общий срок проверки не может превышать 20 рабочих дней, для малого предпринимательства – не более 50 часов, для микропредприятия – 15 часов.
При проведении проверки ФСБ не вправе:
- проверять выполнение требований, не относящихся к компетенции ФСБ России;
- осуществлять плановую или внеплановую проверку в случае отсутствия при ее проведении руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя;
- требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;
- распространять информацию, составляющую охраняемую законом тайну и полученную в результате проведения проверок, за исключением случаев, предусмотренных законодательством Российской Федерации;
- превышать установленные сроки проведения проверки;
- осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю.
Ниже приведен перечень проверяемых в рамках проверки требований:
- Организация системы организационных мер защиты персональных данных:
- область применения средств криптографической защиты информации (далее - СКЗИ) в информационных системах персональных данных;
- наличие ведомственных документов и приказов по организации криптографической защиты информации;
- выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств.
- Организация системы криптографических мер защиты информации:
- наличие модели угроз нарушителя;
- соответствие модели угроз исходным данным;
- соответствие требуемого уровня криптографической защиты полученной модели нарушителя;
- соответствие используемых СКЗИ полученному уровню криптографической защиты;
- наличие документов по поставке СКЗИ оператору.
- Разрешительная и эксплуатационная документация:
- наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;
- наличие сертификатов соответствия на используемые СКЗИ;
- наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.);
- порядок учета СКЗИ, эксплуатационной и технической документации к ним;
- выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ.
- Требования к обслуживающему персоналу:
- порядок учета лиц, допущенных к работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных в информационной системе;
- наличие функциональных обязанностей ответственных пользователей СКЗИ;
- укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;
- организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.
- Эксплуатация СКЗИ:
- проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия;
- оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним.
- Оценка соответствия применяемых СКЗИ:
- соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ, эталонным версиям, проходившим сертификацию в ФСБ России;
- проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ.
- Организационные меры:
- выполнения требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;
- оценка степени обеспечения оператора криптоключами и организации их доставки.
- проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
- порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ.
По результатам проверки составляется акт проверки в двух экземплярах. В акте указываются результаты проверки, в том числе нарушения, если они есть.
12.4. Проверка ФСТЭК
ФСТЭК осуществляет плановые и внеплановые проверки лицензиатов (тех, кто имеет лицензии ФСТЭК). Плановая проверка в отношении одной организации может проводиться не чаще 1 раза в год. Предметом плановой проверки является соблюдение лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. Плановые проверки осуществляются согласно ежегодному плану.
Основанием для включения лицензиата в план является истечение трех лет со дня:
- государственной регистрации;
- последней плановой проверки.
Плановая проверка проводится в документарной или выездной форме. Порядок проведения проверок регламентируется Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
О проведении проверки лицензиата уведомляют не позднее, чем за 3 дня до проведения.
Основанием для проведения внеплановой проверки является:
- истечение срока действия предписания об устранении нарушений;
- поступление обращений и заявлений в ФСТЭК о фактах:
- возникновения угрозы причинения вреда безопасности государства;
- причинение вреда безопасности государства.
Если обращение или заявление не позволяет идентифицировать заявителя, а также не содержат фактов, перечисленных выше, оно не может быть основанием для внеплановой проверки.
В ходе документарной проверки проверяются сведения, содержащиеся в документах лицензиата, устанавливающих его организационно-правовую форму, права и обязанности, документы, используемые при осуществлении его деятельности и связанные с исполнением им лицензионных требований и условий, исполнением предписаний ФСТЭК России.
Документарная проверка (как плановая, так и внеплановая) проводится по месту нахождения ФСТЭК России (управления ФСТЭК России по федеральному округу).
Предметом выездной проверки являются содержащиеся в документах лицензиата сведения, а также соответствие лицензиата лицензионным требованиям и условиям.
Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения лицензиата -юридического лица, месту осуществления деятельности лицензиата - индивидуального предпринимателя и (или) месту фактического осуществления их деятельности[44].
Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:
- удостовериться в полноте и достоверности сведений, содержащихся в имеющихся в распоряжении ФСТЭК России (управления ФСТЭК России по федеральному округу) документах лицензиата;
- оценить соответствие деятельности лицензиата лицензионным требованиям и условиям без проведения соответствующего мероприятия по контролю.
Срок проведения каждой из проверок не может превышать двадцать рабочих дней.
Проверка проводится на основании приказа ФСТЭК России.
При проведении проверки проверяющие не вправе:
- требовать представления документов, информации, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов;
- распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации;
- превышать установленные сроки проведения проверки;
- осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю[44].
В результате проверки составляется акт в двух экземплярах. В случае выявления нарушений, проверяющие должны выдать предписание об их устранении и проконтролировать его выполнение.
Общая схема взаимодействия регуляторов и операторов персональных данных представлена на рисунке 12.1.
В случае выявления в ходе плановых и внеплановых проверок нарушений в области обеспечения безопасности персональных данных, предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность, которая может применяться в отношении руководителя организации, подразделения или виновного в разглашении работника. Наказанием за нарушение требований Федерального закона "О персональных данных" могут стать исправительные работы до 1 года или лишение свободы на срок до 2-х лет.