Организацию ликвидируют за невыполнение мер защиты ПДн

Бизнес

А я снова про судебное решение, которое достаточно знаково для нашего рынка, хотя, на мой взгляд, и не совсем корректно. Но как вы поймете дальше, решение явно заказное и иного варианта его разрешения просто не могло быть. Итак, 24 августа 2021 года ФСТЭК по Сибирскому федерального округу признало организацию С. виновной в совершении совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ с назначением наказания в виде административного штрафа в размере 10 000 рублей.

Напомню, что данная часть предусматривает наказание за «нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи«.

Как следует из материалов суда, в постановлении ФСТЭК, говорится, что представители организации С. «осуществляли передачу информации, содержащей персональные данные граждан РФ, по каналам связи сети Интернет без использования сертифицированных средств криптографической защиты информации (СКЗИ), предназначенные для шифрования передаваемых сообщений электронной почты. Кроме того, не исключена возможность неконтролируемого проникновения или пребывания в помещении, в котором размещена информационная система, лиц, не имеющих права доступа в это помещение; не назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе; отсутствует журнал учета машинных носителей, на которых хранятся персональные данные«.

Обратите внимание на выявленные нарушения — они касаются и 21-го приказа ФСТЭК и 378-го приказа ФСБ. И тут, лично у меня, возникает вопрос — с какого ФСТЭК проверяет исполнение приказа ФСБ?

При этом внимательный читатель уже должен был обратить внимание, что в постановлении ФСТЭК говорится об использовании несертифицированных СКЗИ, но наказание было по части 6-й, а не 2-й статьи 13.12 КоАП. А ведь 2-я часть как раз и говорит о наказании за неиспользование несертифицированных средств защиты информации в случаях, когда они подлежат обязательной сертификации. Я отсюда делаю вывод, который сформулировал для себя давно, что использование сертифицированных СКЗИ является обязательным, кто бы что ни говорил (у меня и ответ ФСБ на эту тему, кстати, есть).

Ни в ФЗ-152, ни в ПП-1119 ни слова об обязательности применения сертифицированных средств защиты информации.

Еще один вопрос, который у меня возник, знакомясь с материалами дела, — на каком основании ФСТЭК проводил проверку организации С., если согласно части 8 статьи 19 ФЗ-152, ФСТЭК и ФСБ имеют право проводить надзорные мероприятия по защите ПДн только в государственных информационных системах, а согласно части 9 той же статьи надзор за технической защитой ПДн в других системах и организациях может осуществляться только по решению Правительства РФ.

Получается, что либо Правительство России выпустило решение, которое дало право ФСТЭК проводить проверку организации С., либо ФСТЭК это делала по своей инициативе, что странно. В отличие от ФСБ, которая проверяет и операторов ПДн и субъекты КИИ (несмотря на отсутствие таких полномочий), ФСТЭК раньше не была замечена в столь явном нарушении законодательства.

На самом деле ответ прост — все началось с проверки прокуратуры еще в июне 2021 года, которая, видимо, и привлекла ФСТЭК для вынесения постановления о правонарушении. Но этот момент в материалах дела отражен не очень четко. В них же есть интересный пассаж о том, что организация С. была дважды наказана по одной и той же статье (ч.6 ст.13.12 КоАП) — первый раз 3 августа, а второй — 24 августа 2021 года. С разницей в 3 недели в отношении одной организации было составлено два протокола по поводу одного и того же нарушения?!

Чем же так насолила организация С., если против нее было организовано аж целых две проверки прокуратуры в течение одного лета?!

При этом во втором случае речь шла не об оценке результатов исправления по результатам первой проверки, а о независимой проверке. По крайней мере суд посчитал, что «факты противоправных действий (бездействий), отраженные в постановлениях о назначении административной ответственности от 03.08.2021 и от 24.08.2021 не являются тождественными: установлены по результатам проверок, проведенных в разных местах, в разное время, двумя органами прокуратуры, состоят из разной совокупности нарушений обязательных требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ«.

Помимо этого, недавно стало известно, что помимо постановления ФСТЭК против организации С. выступила и ФСБ, по крайней мере в материалах дела о прекращении деятельности организации С. есть справка УФСБ по Саратовской области о том, что отделения организации С. используют нелицензированную информационную систему в своих отделениях в Саратове и Новосибирске.

Что такое нелицензированная информационная система и причем тут ФСБ, даже не спрашивайте.

Лучше обратите внимание, что организацию С. решено ликвидировать за нарушения законодательства России.

Теперь можно назвать и организацию, которой так не повезло и против которой, по сути, была организована целая кампания. Это АНО «Поддержка связей с еврейской диаспорой «Еврейское Агентство «Сохнут». И, возможно, для многих все сразу встает на свои места — решение суда политически мотивировано и все участники судебной и правоохранительной цепочки скорее всего, выполняли заказ «сверху». Но от этого не легче — получается, что в угоду чьим-то желаниям была инициирована проверка, которая и привела к столь плачевным результатам.

И я напомню, что уже было схожее заказное дело (но без геополитической окраски) в далеком 2012-м году, когда прокуратурой  Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа. Установлено, что указанные юридические лица, осуществляли обработку персональных данных, являющихся сведениями конфиденциального характера, без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни. По данному факту, с целью устранения нарушений действующего законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных, которые находятся на рассмотрении.

Выводов не будет. Каждый их делает для себя. Задам только один вопрос:

Можно ли считать данное событие недопустимым?

ЗЫ. Для интересующихся — в заметке упоминается дело №12-696/2021 от 21 октября 2021 года (Омск).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. fad

    Все кака бычна, если нельзя, но очень хочется, то можно.

    Ответить
  2. Сергей

    У меня только один вопрос. А зачем они законы то пишут? Просто ходили бы и банили все что им надо. Ну или сэкономили бы время, выпустили бы один — «Нарушать нельзя! Накажем.» И вперед, к победе коммунизма и во славу КПСС.

    Ответить
    1. Алексей Лукацкий автор

      Так у нас же демократичное государство!

      Ответить
  3. Test

    Кто-нибудь может подсказать, как в соцсетях, на госуслугах и т.д. передают персональные данные «по каналам связи сети Интернет с использованием сертифицированных СКЗИ» обычному пользователю?

    Ответить
    1. Алексей Лукацкий автор

      Никак. И не должны. Так как границы ИСПДН «Госуслуги» заканчиваются их же сайтом, а Интернет не входит в границы их ИСПДн и защищать там данные портал не обязан (это из официального ответа)

      Ответить
      1. пофиг

        Огонь))))))))) а можно посмотреть на сие творение? Если что роскомнадзору буду отвечать)))))))))))

        Ответить
        1. Алексей Лукацкий автор

          В блоге искать

          Ответить
  4. Елизавета

    Очень интересно.

    Ответить
  5. WORM

    В США и Европе так делают с любой неугодной российской компанией. Кроме того, они похищают наших людей в других странах и сажают в свои тюрьмы. Всё законно!
    Ах, да, я понимаю: «Это другое!».

    Ответить
  6. Вальдемар

    2021 года ФСТЭК по Сибирскому федерального округу признало организацию С. виновной в @совершении совершении@ административного правонарушения,
    Источник: https://lukatsky.ru/legislation/organizatsiyu-likvidiruyut-za-nevypolnenie-mer-zaschity-pdn.html
    Сайт Алексей Лукацкого «Бизнес без опасности», 2022

    Ответить
  7. Svidetel

    Странно почему КОАП 13.11.8 не инкриминировали? По любому там требования о «приземление» баз с пдн не реализовывалось.

    Ответить
    1. Алексей Лукацкий автор

      Почему не реализовывалось? «Первичная» БД на территории России же

      Ответить
  8. Якофф

    В продолжение комментария Test. Получается, что де-юре у нас все гос. органы, а также ГИС Госуслуги при взаимодействии с субъектами ПДн нарушают 152ФЗ, т.к. передают ПДн (особенно при предоставлении ответов на обращения граждан, с указанием в обращении ФИО и контактных данных)? Т.е. у нас ФСБ должно бесконечно закидывать ГИС Госуслуги и аппараты органов власти исками о нарушениях ( передача ПДн по каналам международного информационного обмена, без использования средств защиты информации (СКЗИ)? А до кучи получается, что любой оператор ПДн обязан обеспечивать применение СКЗИ на любых каналах обмена с потенциальными клиентами или с контрагентами, по которым чисто теоретически могут быть переданы ПДн?

    Ответить
    1. Алексей Лукацкий автор

      Требования применения сертифицированных или любых иных СКЗИ нет в законодательстве

      Ответить