В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems
Считается, что Роскомндазор якобы имеет право осуществлять плановые проверки в области персональных данных. Это заблуждение исходит из-за целого ряда причин.
Во-первых, согласно ФЗ-152 и Постановлению Правительства №419 «О Федеральной службе по надзору в сфере связи и массовых коммуникаций» Роскомнадзор является органом государственного контроля и надзора, а согласно ФЗ-134 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)» такие органы имеют право проводить как плановые, так и неплановые (по фактам нарушений) проверки. Во-вторых, согласно проекта Распоряжения Роскомнадзора «Об утверждении методики проведения мероприятий по контролю в области защиты прав субъектов персональных данных», которое, якобы разработано в соответствии с действующими законодательными и иными правовыми актами Российской Федерации в области персональных данных, РКН будет проводить плановые проверки.
В-третьих, так и не утвержденный проект Приказа Минкомсвязи России, ФСБ России, ФСТЭК России «Об утверждении Порядка осуществления контроля и надзора за соблюдением требований законодательства Российской Федерации в области защиты персональных данных» также позволял осуществлять Роскомнадзору плановые проверки. И, наконец, сам Роскомнадзор на различных мероприятиях утверждает, что он имеет право проводить плановые проверки.Однако законодательство надо читать чуть более внимательно.
И надзорные органы не должны быть исключением. Во-первых, новое, 228-е Постановление Правительства от 16 марта этого года «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» в основном определяет права и полномочия Роскомндазора в области связи.
МНЕ УГРОЖАЕТ РОСКОМНАДЗОР
В области же персданных это Постановление отсылает нас к ФЗ-152 (п.5.1.1.4). А этот закон в п.2 ст.23 четко говорит, что Роскомнадзор рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
Т.е. он только работает по сигналам со стороны субъектов ПДн. Дополнительно в п.3 ст.23 приведен закрытый перечень прав Роскомнадзора, среди которых плановые проверки вообще не значатся.
Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134.Иногда можно услышать, что т.к. в ст.23 ФЗ-152 говорится о том, что Роскомнадзор имеет право «выполнять иные предусмотренные законодательством Российской Федерации обязанности», то это и означает право на плановые проверки в соответствие с ФЗ-134. Но и эта трактовка не совсем корректна на мой взгляд.
Пункт 4-й первой статьи ФЗ-134 четко говорит, что данный закон определяет: · порядок проведения проверок, · права проверяемых, · обязанности надзорных органов. Т.е. данный нормативный акт определяет то, КАК должна осуществляться проверка, но не ПОЧЕМУ.
Основания для проведения проверок как раз и определены ФЗ-152 в статье 23.Единственный случай, когда Роскомнадзор может инициировать собственную проверку, — это проверка уведомления, поданного со стороны оператора персональных данных. Но и это не является плановой проверкой, прописанной в ФЗ-134.
Как вы можете включить в план проверку, если оператор еще не подавал уведомления?Какой вывод можно сделать из этого? Что не стоит немедленно рваться посылать уведомление в Роскомнадзор, тем самым усложняя себе жизнь.
Лучше внимательно почитать ст.22 ФЗ-152 и понять, что ситуаций, когда уведомление посылать надо, не так уж и много. И, конечно, стоит привлечь грамотных юристов по гражданскому законодательству, чтобы они разъяснили многие терминологические тонкости, вытекающие из таких терминов, как, например, «договор» и т.п.Дополнительно хочу заметить, что любые постановления правительства, не говоря уже о приказах федеральных органов исполнительной власти (которые имеют неочевидное применение за рамками самого принявшего их ведомства), являются актами подзаконными, которые не могут противоречить или нарушать федеральное законодательство.
Правда, вынести вердикт об их незаконности может только суд. Готовы ли вы к этому?PS.
Данная точка зрения, основанная на простом чтении законов, не находит понимания у наших регуляторов.PPS. А число проверок Роскомнадзора растет.
