К грядущим проверкам на соответствие требованиям закона «О персональных данных», по словам Михаила Емельянникова, директора по развитию бизнеса компании «Информзащита», многие относятся как к стихийному бедствию (см. также «Спасательный круг», Computerworld Россия, № 32, 2009) или настроены на обеспечение формального соответствия требованиям. В докладе «К вам пришли с проверкой. Без паники!» на конференции «Информационная безопасность: новые угрозы — новые решения», проведенной компанией, Емельянников отметил, что внимательное изучение законодательных актов руководителями организаций вместе с их юристами открывает много возможностей защитить свои интересы и отстоять правоту при общении с проверяющими.
Государственный контроль и надзор за безопасностью обработки персональных данных и соблюдением требований законодательства осуществляют ФСБ, ФСТЭК и Роскомнадзор. В статье 19 закона «О персональных данных» контроль и надзор за выполнением требований, установленных правительством РФ, в части технической защиты осуществляют ФСБ и ФСТЭК. Требования правительства на сегодняшний день определены постановлениями № 781 от 17.11.2007 (об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных), № 687 от 15.09.2008 (об особенностях обработки персональных данных без использования средств автоматизации) и № 512 от 6.07.2008 (о требованиях к материальным носителям биометрических данных и технологиям хранения последних вне информационных систем персональных данных). Все, что выходит за пределы этих постановлений, выходит и за пределы компетенции данных двух органов, подчеркнул Емельянников.
Для выяснения собственных прав Емельянников предлагает организациям обратиться к закону 294-ФЗ от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», который вступает в силу с 1 января.
Один из важнейших принципов регулирования проверок — доступность для юридических лиц нормативных правовых актов, соблюдение которых проверяется в ходе контроля и надзора (за исключением информации, свободное распространение которой запрещено или ограничено в соответствии с законодательством РФ). Вступающий в силу 1 января закон 8-ФЗ от 09.02.2009 «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» ограничивает доступ к такой информации, только если она относится к сведениям, составляющим государственную или иную охраняемую законом тайну. Перечень сведений, относящихся к информации ограниченного доступа, а также порядок их отнесения к таковой устанавливается федеральным законом, но закон о служебной тайне пока существует лишь в проекте. Значит, если ФСТЭК до 1 января не раскроет свои методические документы, выполнение их станет необязательным, считает Емельянников.
Плановые проверки проводятся на основании утверждаемых органами государственного контроля (надзора) ежегодных планов, которые должны быть доведены до сведения заинтересованных лиц. Если организация не значится в таком плане, она вправе не допускать к себе проверяющих, пришедших с плановой проверкой. Начиная с 2010 года ежегодный сводный план плановых проверок формируется Генеральной прокуратурой (это касается проверок на 2011-й и последующие годы).
Так как, согласно закону 294-ФЗ, основанием для включения в план проверки является, в частности, истечение трех лет со дня начала осуществления вида предпринимательской деятельности, требующего уведомления, или уведомление о начале нового вида деятельности, связанного, например, с использованием вычислительной техники и информационных технологий, позволит предприятию оградить себя на три года от плановой проверки, считает Емельянников.
При проведении проверки проверяющими должны быть предъявлены распоряжение или приказ руководителя контрольного (надзорного) органа или его заместителя, где указываются, в частности, фамилии и должности проверяющих и экспертов, цели, задачи, предмет проверки, сроки ее проведения, правовые основания проверки, подлежащие проверке обязательные требования, перечень документов, представление которых юридическим лицом необходимо для достижения целей проверки. Этот документ ограничивает дополнительные требования, которые могут выдвигаться проверяющими в ходе проверки. По требованию должностного лица проверяемой организации проверяющий обязан представить ему для ознакомления административные регламенты проведения проверки. Требование документов, не относящихся к предмету проверки, является грубым нарушением, а результаты проверок, выполненных с грубыми нарушениями, не могут являться доказательствами нарушения обязательных требований и подлежат отмене вышестоящим органом или судом. Среди других грубых нарушений — несоблюдение сроков уведомления, отсутствие распоряжения о проверке, непредставление акта проверки уполномоченному лицу проверяемой организации.
«Вы имеете право в акте изложить особое мнение в отношении результатов и не согласиться с выводами комиссии, — заявил Емельянников. — Уверяю вас, первое, что сделают проверяющие, — будут с вами долго обсуждать и перепишут акт. Выдавать своему руководителю акт с особым мнением не любит ни один проверяющий. Это очень неприятная штука».