среда, 18 апреля 2012 г.

Записки провинциального оператора. Часть 4.


Представь себе, дорогой читатель, что вдруг на минуточку решил ты выбраться из личного или общественного транспорта и насладиться пешей прогулкой по прекрасной весенней улочке. Тепло, сухо, солнышко светит - словом, благодать. И вот идешь ты не спеша, подходишь к перекрестку - зеленый свет заморгал, ты никуда не торопишься и решаешь подождать следующего сигнала светофора, но вдруг посереди проезжей части видишь дедушку с клюкой, не успевшего завершить переход. Конечно, ты добрый человек и решаешь деду помочь: бежишь на красный, хватаешь его и помогаешь перейти на другую сторону, а там - сотрудник ГИБДД. Дедок говорит спасибо и уходит, а ГИБДД-шник спешно подруливает, представляется, и выписывает тебе ... нет, не премию - штраф, за переход перекрестка на запрещающий сигнал светофора. Схожие чувства испытал и наш Оператор, потративший немалые деньги на исполнение требований Законодательства и наказанный за то, что не сумел вовремя реализовать заранее намеченные самим же собой планы.

Но наматывать сопли на кулак - удел слабых, наш Оператор - боец, причем не робкого десятка. Поэтому, отойдя от состояния ступора, Оператор решает защищаться. Оценив ситуацию, он приходит к выводу, что задача предстоит нетривиальная: для того, чтобы отстоять свое честное имя, нужно не оспорить ранее выданные предписания (это бессмысленно - все сроки уже прошли), а доказать, что эти предписания были выполнены. С чего начать? Наверное, взглянуть на те самые предписания еще раз, да повнимательнее, и подготовить возражения по поводу новых предписаний, и объяснения в суд по поводу протоколов об административных правонарушениях.

Итак, что мы имеем. Прежде всего, четыре неустраненных, по мнению регулятора, нарушения:
  1. Контрольно-пропускной режим в здание отсутствует;
  2. Помещение серверной не оборудовано системой контроля доступа;
  3. Доступ третьих лиц в помещения не ограничен;
  4. Контролируемой зоны нет.
При этом, нарушение под № 1 является, по мнению регулятора, неисполнением п. 15 ПП-687, а остальные три - ч. 1 ст. 19 152-ФЗ. Но ведь вторым предложением п. 15 ПП-687 значится фраза, что меры оператор выбирает самостоятельно, не говоря уж про 152-ФЗ - там есть целая статья 18.1! Очевидно, с этого и следует начать, и потому Оператор в две инстанции и в разных документах пишет одно и то же:

Согласно ч. 1 ст. 18.1. Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее Федеральный закон) оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. При этом, состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, определяется Оператором самостоятельно, в том числе с учетом оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона.

Согласно п. 3 ч. 2 ст. 18.1 Федерального закона, к таким мерам МОЖЕТ, В ЧАСТНОСТИ, ОТНОСИТЬСЯ применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона, на нарушение части 1 которой и ссылаются проверяющие. При этом Федеральный закон, равно как и иные нормативные правовые акты, принятые во исполнение Федерального закона, не определяет необходимость наличия контрольно-пропускного режима в здание и ведения журналов учета выдачи ключей от входных дверей архивов.

Аналогичная норма содержится в п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства РФ от 15.09.2008 N 687), на нарушение которого ссылаются проверяющие: перечень мер, необходимых для обеспечения безопасности материальных носителей персональных данных, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

При этом Федеральный закон, равно как и иные нормативные правовые акты, принятые во исполнение Федерального закона, не определяет необходимость наличия систем контроля доступа, ограничения доступа в помещения оператора и создания контролируемой зоны.

Что ж, начало положено, но, очевидно, этого недостаточно - так как оператор обвиняется еще и в неисполнении собственных "локальных актов". Оператор совершенно справедливо озадачивается смысловой нагрузкой этого термина, и приходит к следующему выводу:

В акте проверки в качестве подтверждения факта неисполнения предписаний указана ссылка на «Частное техническое задание. Разработка системы контроля доступа в здание» (далее Частное техническое задание), который расценен проверяющими как локальный нормативный акт Оператора. Согласно ст. 8 Трудового кодекса РФ, работодатель принимает локальные нормативные акты в пределах своей компетенции в соответствии с законами и иными нормативными правовыми актами, коллективным договором, соглашениями.

Частное техническое задание, согласно ГОСТ 34-602-89, является частью проектной документации на внедряемую Оператором систему контроля и управления доступом (СКУД) в помещения Оператора, предназначено для регулирования взаимоотношений заказчик-исполнитель в рамках заключенного договора, не является внутренним регламентирующим документом для оператора и никаким образом не распространяется на сотрудников, занимающихся обработкой персональных данных, то есть не обладает статусом локального акта предприятия. Следует отметить, что и сам ГОСТ 34-602-89, в соответствии с Федеральным законом «О техническом регулировании» № 184-ФЗ от 27.12.2002 г., не является обязательным для исполнения документом и носит рекомендательный характер.

Как мы помним, регулятор отмел приказ "О временных мерах", поэтому следующим шагом оператор решил отметить и этот момент, попутно отметив одну важную деталь:

Внедрение системы СКУД является дополнительной мерой по повышению защищенности обрабатываемых Оператором персональных данных, и само по себе не может являться подтверждением несоблюдения ранее выданных предписаний. Основные меры, предпринятые оператором исходя из анализа угроз безопасности персональным данным, отражены в представленном проверяющим локальном акте - приказе генерального директора. Из текста указанного локального акта оператора следует, что на период до введения в эксплуатацию системы СКУД введены временные меры по ограничению доступа посетителей, то есть создан контрольно-пропускной режим. Создание контрольно-пропускного режима подтверждается так же сами протоколом и актом, в которых указано, что контрольно-пропускной режим носит «формальный характер».

Следует отметить, что действующее законодательство не содержит понятие формальное и неформальное исполнение требований.

Как следует из акта проверки и приложенных к нему материалов, контроль на посту охраны присутствует, создана охраняемая зона на 2 этаже здания, ограничено перемещение посетителей. сотрудниками службы охраны осуществлялся регулярный обход помещений в здании, ведется видеонаблюдение в коридорах, а так же видеонаблюдение за внешним периметром здания, чем обеспечивается наличие контролируемой зоны. Таким образом, меры, предпринятые оператором по ограничению доступа и усилению постов охраны, являются адекватными и достаточными для исключения причинения вреда охраняемым интересам лиц, чьи персональные данные обрабатываются Оператором, что подтверждается отсутствием жалоб со стороны субъектов персональных данных и отсутствием фактов утечек персональных данных. В акте проверки также отмечено, что серверное помещение опечатано, организовано хранение ключей у ответственных лиц, и ведется журнал доступа в помещение серверной, что позволяет сделать вывод о наличии системы контроля доступа в помещение серверной.

Очевидно, регулятор отмел написанное выше, так как он посчитал принятые оператором меры не достаточными. Поэтому последний задался еще одним немаловажным вопросом - а есть ли у регулятора такие полномочия? И вот к какому выводу он пришел:

Согласно Приказа Роскомнадзора от 01.12.2009 N 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» оценка достаточности принимаемых оператором мер не относится к компетенции органов Роскомнадзора.

На этом Оператор решил остановиться - что-то из указанного должно было "сработать" в суде, сделал "завершающие штрихи":

В соответствии п. 12 ст. 16 Федерального закона от 26.12.2008 N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» Оператором направлены возражения в отношении акта проверки и выданных предписаний об устранении выявленных нарушений. Согласно ст. 1.5. Кодекса об административных правонарушения (далее КоАП РФ) лицо подлежит административной ответственности только за те административные правонарушения, в отношении которых установлена его вина и не обязано доказывать свою невиновность. Материалы приложенные к протоколу не подтверждают не только вины, но и самого факта совершения административного правонарушения предусмотренного ч. 1 ст. 19.5 КоАП РФ в связи с чем, прошу прекратить производство по делу в связи с отсутствием события нарушения.

и стал ждать судебного заседания.

продолжение следует...

Комментариев нет :

Отправить комментарий