Главная / Защита персональных данных / Потенциальные угрозы для бизнеса

   Потенциальные угрозы для бизнеса

      

Напоминаем, что с 01 июля 2011 года все информационные системы обработки персональных данных должны были быть приведены в соответствие с требованиями 152-ФЗ. При этом операторы должны быть готовы не только к плановым и внеплановым проверкам Роскомнадзора, но и обязаны в установленном законом порядке отвечать на запросы физических лиц, предоставляя им всю необходимую информацию.

Очевидно, что любой запрос или проверка в неподготовленной компании выявит достаточно широкий круг нарушений, устранить которые в кратчайшие сроки не представляется возможным.

Помимо проблем с государством и регуляторами, это создает значительную угрозу для компаний со стороны собственных нелояльных сотрудников и клиентов, а также широкое поле для недобросовестной конкуренции. Задачей злоумышленника является всего лишь грамотно составленный запрос в компанию либо инициированная проверка.

Угрозы со стороны сотрудников и недобросовестных конкурентов

Существуют несколько способ инициировать проверку практически в любой компании вне зависимости от её размеров и видов деятельности. Инициатором может выступать достаточно широкий круг лиц:

Ниже приведены возможные варианты самых простых и очевидных из положений 152-ФЗ сценариев проверок и судебных преследований, которые при должных знаниях регламентов и других положений могут быть существенно доработаны и представлять собой очень серьезную угрозу для деятельности вашей компании.

Проверка, инициируемая сотрудниками компании

Действующий сотрудник компании может обратиться на основании п. 5 ст. 5 152-ФЗ к регуляторам с заявлением, сообщающим о том, что компания обрабатывает избыточное количество его персональных данных (данные о членах семьи, о состоянии здоровья и другая личная информация, которую можно встретить в личной карточке сотрудника, - форме Т-2). Либо же просто «считает своим гражданским долгом сообщить» об имеющихся нарушениях порядка обработки персональных данных. Автором подобного заявления может быть даже уволенный ранее сотрудник (согласно п.4 ст. 21 152-ФЗ об удалении персональных данных после достижения целей и сроков обработки).

Это заявление может быть отправлено непосредственно в Роскомнадзор, органы внутренних дел, в суд за компенсацией морального вреда согласно п.1 ст. 17 152-ФЗ и самому оператору (п. 3 и 7 ст. 14). Оператор и перечисленные выше государственные органы будут обязаны в установленные сроки (например, 30 дней для оператора и Роскомнадзора) отреагировать на это заявление. Стоит заметить, что если оператор не отреагирует в течение 30 дней, то может понести уголовную ответственность согласно ст. 140 УК РФ о непредставлении гражданину информации об обработке его персональных данных вплоть до штрафа в 200.000 рублей.

Реакцией регуляторов согласно ст. 23 152-ФЗ может быть запрос оператору за разъяснениями о порядке обработки персональных данных или включение оператора в список плановых поверок, что по сути будет лишь отсрочкой запроса документов и разъяснений. А впоследствии возможна передача дела в другие органы исполнительной власти (например, Прокуратуру РФ).

В любом случае, будут либо выявлены незаконная обработка и отсутствие оператора в соответствующем реестре (согласно п. 1 ст. 22 152-ФЗ), либо оператор будет вынужден в кратчайшие сроки (от 10 до 30 дней) привести свои информационные системы и бизнес-процессы в соответствие с требованиями 152-ФЗ. А в действительности это практически невозможно, так как только заявления о внесении оператора в реестр рассматривается до 30 дней согласно п.1 ст. 18 152-ФЗ.

В конечном итоге, подобные проверки в неподготовленной к ним заранее компании окончатся административной, дисциплинарной или уголовной ответственностью. А в некоторых случаях блокированием информационной системы, приостановлением деятельности на срок до 90 суток, отзывом лицензии и т.д. (согласно 23 статье 152-ФЗ). Подробнее об этом - в разделе ответственность.

Проверка, инициируемая конкурентами, клиентами и третьими лицами

В зависимости от вида деятельности и других особенностей компании проверки могут быть инициированы различными способами. Приведем типичный пример для рядовой торговой компании «Ромашка».

Некоторое физическое лицо (далее Заявитель), основываясь на п.1 ст. 17 и п.7 ст. 14 152-ФЗ, подает заявление оператору и в Роскомнадзор, в котором сообщает следующее: на его личный мобильный или домашний телефон поступил звонок от некоего менеджера компании «Ромашка» с предложением приобрести продукцию этой компании. При этом менеджер отметил, что по имеющейся у него информации Заявитель заинтересован в покупке. Стоит отметить, что подобного звонка могло и не быть (особенно с официальных номеров «Ромашки»), однако для дальнейшего развития событий это не имеет никакого значения, так как регуляторы будут запрашивать не подтверждение факта совершения звонка (который, кстати, очень легко изобразить), а порядок обработки персональных данных оператором и наличие конкретных данных Заявителя. Подобные действия «Ромашки» являются грубым нарушением прав Заявителя согласно п.3. ст. 9, п.1 ст.15 и других статей 152-ФЗ и часто встречаются в реальной жизни в виде навязчивых предложений о покупке пылесосов, БАД-ов или оформлении потребительского кредита; существуют также варианты рассылок sms-сообщений обо всех этих продуктах на мобильные телефоны физических лиц или почтовых пересылках готовых кредитных карт даже без предварительной заявки.

Дальнейшие действия регуляторов и заявителя совпадают с описанными в первом примере – проверки и их последствия. Обращаем внимание, что в обоих случаях физическое лицо (сотрудник, клиент, конкурент и т.д.) может чувствовать себя защищенным, так как:

  • не злоупотребляет своими правами, а руководствуется положениями 152-ФЗ и регламентом работы регуляторов;
  • всегда может заявить о том, что «добросовестно заблуждался», например, в случае разбирательств по факту звонка от «ромашки»;
  • регуляторы прямо не обязаны раскрывать заявителя, по обращению которого была инициирована проверка, так как с недавних пор уполномочены действовать в пользу неопределенного круга лиц согласно пп. 5 п. 3 ст. 23 152-ФЗ.

Деятельность Роскомнадзора

Также напоминаем, что уже несколько лет Роскомнадзор самостоятельно проводит проверки операторов в соответствии с регламентом его работы и ежегодно утверждаемым планом.

Проверки могут быть:

  • внеплановыми по факту выявления нарушений порядка обработки персональных данных или по заявлению субъектов персональных данных;
  • плановыми, состав которых публикуется на официальном сайте http://www.rsoc.ru каждый год на период в 12 месяцев.

С регламентом проведения этих проверок вы можете ознакомиться в разделе Законы и регламенты. Отдельно отметим лишь тот факт, что о проведении внеплановой проверки Роскомнадзор может уведомить оператора всего лишь за сутки и любым доступным способом. О возможных последствиях этих проверок написано ранее.

Компания «Смарт-Тек» готова проконсультировать вас по вопросам проведения плановых и внеплановых проверок регуляторов, реагирования на заявления физических лиц и противодействию возможным угрозам.

 
 

  
Санкт-Петербург, Малый ПС пр-кт, д. 87, оф. 411

E-mail: info@smart-tek.ru
  Новости  
01.06.2017
54-ФЗ В чем суть закона об онлайн-кассах и какая от него польза бизнесу
Комментарии экспертов "1С" том, что изменится для малого бизнеса в ближайшие два года и есть ли для российских предпринимателей хоть какие-то плюсы в новом законе. Подробнее

31.05.2017
Форму счета-фактуры дополнили новой строкой
С 1 июля 2017 года форма счета-фактуры будет дополнена строкой 8 «Идентификатор государственного контракта, договора (соглашения)». Корректировочный счет-фактура пополнится строкой 5 с таким же наименованием.Подробнее

30.05.2017
Минфин против свободного доступа к сведениям об уплате НДС
Минфин РФ в своем письме от 16.05.2017 № 03-07-14/29343 прокомментировал предложение о предоставлении компаниям возможности проверять выставляемые контрагентами счета-фактуры и исполнение ими обязанности по уплате НДС.Подробнее

 
 Главная   О компании   Контакты