вторник, 26 июня 2012 г.

Что могут короли


Вчера вечером, сидя за кружечкой чая перед уныло светящимся монитором и ваяя очередной шедевр внутреннего нормотворчества, схлестнулся с Алексеем Лукацким (которому, видно, тоже было недосуг) в занимательной дискуссии на тему полномочий горячо уважаемого и часто упоминаемого мной в последнее время ведомства под названием Роскомнадзор. Не всех, конечно, полномочий - а только тех, которые касаются проверки оным требований по обеспечению безопасности ПДн при их обработке в ИСПДн. Алексей (и не он один) считает, что 152-ФЗ не дает Роскомнадзору таких полномочий, вне зависимости от того, с привлечением экспертов и экспертных организаций проводится проверка или без таковых. Я же, в душе согласный с его точкой зрения, вынужден был возражать, поскольку не по наслышке знаком с точкой зрения самого Роскомнадзора, которую здесь излагаю.

Логика Роскомнадзора начинается с п. 9 ч. 3 ст. 23 152-ФЗ, дающего ему право "привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона". Одним из таких нарушений, как мы знаем, является указание оператором недостоверных сведений в уведомлении, подаваемом в Роскомнадзор, в котором, согласно п. 7 ч. 3 ст. 22 152-ФЗ, указывается "описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств". Согласно п. 2 ст. 3 152-ФЗ, Роскомнадзор имеет право "осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных" самостоятельно "или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий". Более того - ч. 2 ст. 7 294-ФЗ дает Роскомнадзору право для проверки достоверности сведений, указанных в уведомлении, в том числе и в части ст. 18.1 и 19, привлекать эксперта или экспертную организацию.

В соответствии с ч. 4 ст. 18.1 152-ФЗ, "оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных". Таким образом, оператор, в ходе проверки, не только показывает документы, но и демонстрирует меры "вживую", чем удовлетворяет (или не удовлетворяет) "уполномоченный орган" и (или) приглашенного эксперта.

Как мы знаем, в части 1 ст. 18.1 сказано, что "оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами", и "оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами".

Именно самостоятельно выбранные меры (в том числе применение статьи 19 по собственному желанию) оператор и указывал бы в уведомлении, если бы не "проблема статьи 18.1", отмеченная жирным шрифтом, и ниже, в статье 19, предусмотреннаая обязанность оператора "принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных". Ну, а раз обязан - тогда получай и часть 2 с "уровнями защищенности", "оценкой соответствия" и "оценкой эффективности".

Многие думают, что ч. 8 ст. 19 ограничивает область госконтроля и надзора за соблюдением требований, указанных в ст. 19, исключительно государственными ИСПДн. Однако это совсем не так: на самом деле, часть 8 говорит о том, что контроль соблюдения требований в государственных ИСПДн осуществляет ФСТЭК и ФСБ. Часть 9 определяет, случаи, в которых эти два регулятора могут проконтролировать негосударственные ИСПДн. При этом, нигде не написано, что в негосударственных ИСПДн такого контроля быть не должно в принципе, а стало быть - его, из-за "проблемы статьи 18.1", осуществляет Роскомнадзор, в том числе с привлечением экспертов!

Как и во многих других случаях, все решает суд и грамотность оператора. Если оператор не будет писать лишнего в уведомлении, и ему удастся доказать, что указанные в соответствие со статьей 18.1 меры в уведомлении имеют добровольный характер, и Роскомнадзор  превысил свои полномочия, требуя от оператора того, чего не указано в уведомлении - победит оператор. Если Роскомнадзор вспомнит, что в соответствие с п. 42.1 зарегистрированного в Минюсте административного регламента Роскомнадзора, у него есть право привлекать эксперта для оценки "эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных" и докажет, что "эффективность" = "достаточность" - победит Роскомнадзор.

Но лучше вспомнить знаменитую поговорку кота Леопольда: "ребята, давайте жить дружно".

Комментариев нет :

Отправить комментарий