вторник, 24 апреля 2012 г.

Записки провинциального оператора. Часть 6.


Мировой судья, мужчина лет 35, явно торопился. Еще бы - в расписании участка яблоку негде было упасть, заседания шли одно за другим: то развод, то страховая, то взыскание задолженности. Он вошел в зал заседаний быстрым шагом, бегло взглянул на присутствующих и попросил всех присесть. Установление личностей не заняло много времени, после чего секретарь положила на стол две папки с делами. Судья пододвинул их поближе, открыл и стал вспоминать, о чем, собственно, речь. С этого момента представители оператора и регулятора, еще в "предбаннике" активно и весьма дружелюбно общавшиеся между собой, стали, на время, злейшими врагами, и в зале заседаний воцарилась напряженная тишина.

"Слушается дело номер .... " - начал судья, - "регулятор, изложите суть претензии, в чем состоит правонарушение". Регулятор, почти дословно, стал пересказывать содержание того самого отзыва, что был направлен оператору. Это заняло у него минут 15. Судья в пол-уха слушал регулятора, и в пол-глаза изучал материалы дела, а оператор быстро изучал текст отзыва и помечал особо красивые места. Наконец, регулятор закончил, и судья молвил: "Спасибо. Оператор, изложите вашу позицию". Оператор коротко повторил суть данных ранее объяснений. "Регулятору есть чем возразить?" - спросил судья. "Да, ваша честь" - ответил тот, и, что называется, понеслась...

Еще раз были повторены первые три страницы того самого отзыва, что, дескать, оператор не воспользовался своими правами. Еще раз было повторено, что оператор выбирает меры самостоятельно, и нарушение заключается в том, что оператор не выполнил свои собственные документы. Еще раз была приплетена моделью угроз и частное техническое задание. Оператор со всем соглашался, но после того, как регулятор закончил, оператор еще раз сказал, что выполнил все меры, которые он для себя определил,  о чем имеются подтверждения в приложениях к актам проверки. Начались прения.

Р.: Погодите, давайте разберемся. Вот модель угроз - она что отражает?
О.: Она отражает текущее состояние дел и актуальные угрозы безопасности.
Р.: Но частное техническое задание разработано в соответствии с моделью угроз?
О.: Безусловно.
Р.: Тогда, если на момент проверки оно не было реализовано, значит оператор не принял мер, позволяющих нейтрализовать угрозы, и значит не выполнил свои обязанности!
О.: Мы приняли меры - они указаны в приказе, который вам предоставлен.
Р.: Но они не соответствуют техническому заданию!
О.: Правильно, потому что они временные. И кто Вам сказал, что угрозы нейтрализуются только теми мерами, что написаны в ТЗ? Это всего лишь вариант, предложенный "конторкой" с лицензиями. Часть проектной документации.
Р.: Но ваши "временные меры" - это филькина грамота! Вот подтверждения, вот фотографии!
О.: Скажите пожалуйста, на каких основаниях Вы определяете достаточность принимаемых оператором мер?

Судья, внимательно слушавший диалог, на этот раз вмешался:

С.: Действительно, про достаточность - очень хороший вопрос.
Р.: Ваша честь! Мы имеем полномочия по проверке операторов - мы уполномоченный орган, и мы имеем право даже приостановить деятельность...
О.: Вопрос был про достаточность
Р.: ... приостановить деятельность оператора в случае нарушения им требований законодательства ...
О.: Но мы не нарушали требований законодательства, и вопрос был про достаточность
Р.: Такие проверки мы проводим каждую неделю, и не нарушаем права операторов. Здесь оператор сам написал и не сделал то, что должен был сделать, то, что было в документах ...
С.: Да я понимаю, что вы проводите проверки...
О.: Мы сделали другое - Вас это не устроило, но у Вас нет таких полномочий ...
Р.: Мы уполномоченный орган - у нас есть полномочия приостанавливать деятельность ...
О.: Уважаемый суд. Мы просим обратить внимание на отзыв, который прислал регулятор сегодня в наш адрес, и приложить его к материалам дела. Просим обратить внимание на предпоследний абзац 5 страницы, на слова "перечисление в предписаниях конкретных способов и действий по устранению нарушений приведет к ущемлению прав Вашей организации", и затем на 4 абзац 2 страницы, где как раз эти самые "конкретные способы и действия" ставятся в вину оператору, как нереализованные. Просим также обратить внимание на последний абзац 3 страницы, где регулятор почему-то считает, что приказ "о временных мерах" не имеет отношения к исполнению предписаний, хотя именно этот документ и определяет основные меры, предпринимаемые оператором, до момента реализации ТЗ. Все эти меры описаны в акте проверки, но регулятор посчитал их недостаточными, в том числе потому, что они не соответствуют, цитата, "локальным нормативным актам оператора". В этой связи, просим также обратить Ваше внимание на абзац 3 страницы 3, где регулятор подтверждает, что ТЗ не является локальным нормативным актом оператора, однако в далее в 4 абзаце цитирует исключительно выдержки из ТЗ, а самое главное - указывает требования из него в предписании, и ставит в вину оператору их неисполнение как собственного "локального акта". В заключении, просим обратить внимание, что регулятор так и не ответил на вопрос о достаточности.

Пока оператор все это говорил, судья бегло изучал полученный документ. Оператор замолчал. "Понятно" - после короткой паузы молвил судья. Час разбирательств по такому пустяку явно не вписывался в планы его участка, и это его немного раздражало. "Сторонам есть что добавить?" - спросил судья после двухминутной паузы. Получив отрицательный ответ, он продолжал: "Изучив материалы дел и заслушав объяснения обеих сторон, я считаю, что в действиях оператора отсутствует состав административного правонарушения, поскольку закон дает право самому оператору выбирать меры по защите персональных данных, меры эти были оператором приняты, и регулятор сам это подтверждает в своих актах проверки. Требовать же выполнения мер, указанных в частном техническом задании, регулятор не имеет права, так как оно было разработано после того, как были выписаны первые предписания, и в самих предписаниях такие требования отсутствовали".

Постановление суда, полученное оператором, отражало сказанное судьей, но только отчасти:




К огромному сожалению, секретарь, готовившая постановление, из-за похожести дел скопировала текст из одного документа в другой, и получилось, что в каждом случае идет отсыл к норме пункта 15 ПП-687, хотя, как мы помним, во втором предписании было нарушение ч. 1 ст. 19 152-ФЗ. Эх, если бы это было отражено в постановлении!.. Оператор, конечно, не стал "ерепениться" - его и так все устроило: в принципе, мотивировочная часть - это всего лишь "мостик", связующий мнение судьи с законодательной нормой, на которой это мнение основано. Самое главное оператор уже сделал: своими документами, словами, корректным и уверенным поведением вызвал у суда те самые "неустранимые сомнения", что позволили ему выиграть это непростое дело. Кроме того, решение суда лишь отменяло наказание - выписанные по-новой предписания надо было исполнять, ибо оспорены они не были. И здесь уже оператор не волновался - монтаж СКУД был завершен, и ему было что показать.

Так и закончилась эта интереснейшая история. У оператора нынче все хорошо - его даже вызывали в прокуратуру по фактам неисполнения предписаний на следующий день после судебного заседания. Разговор с ним начали сурово, но он показал свой отзыв и рассказал про суд, и прокуроры сразу сменили гнев на милость. Как живет после этого регулятор - не ведомо, но будем надеяться, что и у него все по-прежнему хорошо, ведь плановая проверка этого же оператора прошла без замечаний.

Ну а о том, какие уроки должен извлечь для себя каждый оператор, я расскажу в следующем посте.

Комментариев нет :

Отправить комментарий