Налоговая проверка теперь повод для беспокойства отдела ИТ?. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-WeeklyIT Contact
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Налоговая проверка теперь повод для беспокойства отдела ИТ?

Лента новостейБезопасностьУправление ИБ

Налоговая проверка теперь повод для беспокойства отдела ИТ?

Алексей Никифоров | 26.10.2017

В 2016 году в одной из компаний проводилась налоговая проверка. В какой-то момент налоговые инспекторы попросили доступ к компьютерам компании для проверки установленного программного обеспечения.

Компания обратилась в суд, считая, что налоговые инспекторы превысили свои полномочия, а именно потребовала в том числе «…признать незаконными действия по осмотру программного обеспечения компьютеров…». Дело дошло до Верховного суда, который постановил отказать в принятии жалобы, так как права компании не были ущемлены (Определение Верховного суда РФ от 17.07.2017 № 302-КГ17-8315 по делу № А19-916/2016).

Актуальные вопросы

Если указанный случай будет являться прецедентом, то у сотрудников отдела ИТ, так же как и у рядовых пользователей, появляются следующие вопросы:

1. Закон о защите персональных данных (152-ФЗ). Допустим, налоговый инспектор просит доступ на компьютер главного бухгалтера или сотрудника отдела кадров, компьютер которого хранит или обрабатывает персональные данные сотрудников (контрагентов, пациентов и т. п.). Данный пользователь имеет разрешение на обработку этих данных для целей сотрудника (контрагента, пациента и т. п.) и компании, но не имеет разрешений на предоставление этой информации третьим лицам. На каком основании он предоставит данные сотрудников и контрагентов третьим лицам?

2. Коммерческая тайна. Очевидно, что на компьютерах ряда сотрудников могут находиться документы и программное обеспечение, представляющие коммерческую тайну. Какие гарантии, что проверяющий инспектор использует эту информацию только в интересах проверки?

3. В случае повреждения каких-то данных случайно или умышленно, установки какого-то дополнительного ПО, рассылки спама с использованием ресурсов компании и т. п. проверяющий не будет нести никакой ответственности, а ответственность будет возлагаться на пользователя, под чьей учетной записью налоговый инспектор осуществил эти действия?

4. Недавно президент РФ предложил запретить или ограничить изъятие жестких дисков, серверов и объяснил почему. Один из доводов: пока будет идти подобная проверка, компания, возможно, не будет полноценно работать, что приведет к плохим финансовым последствиям как для нее, так и для сотрудников и партнеров. Будет ли проверяющий оплачивать простои, связанные с тем, что сотрудники не могут работать, пока проверяющие занимают их рабочие места?

5. Судя по обстоятельствам дела из открытых источников, проверяющие письменно никак не фиксировали факт проверки программного обеспечения компьютеров. Если даже Верховный суд считает действия по проверке правомерными, то насколько правомерно не разрешать проверку до составления акта, где будет зафиксировано письменно, кто будет проверять, что будет проверять, для чего и на основании чего?

Порядок действий

Я никогда не оказывался в подобной ситуации. Однако мне видится правильным следующий подход.

Если в компании есть юрист, то, не дожидаясь, когда это случится, прямо сейчас необходимо проконсультироваться, что могут и чего не могут делать проверяющие.

  • Заранее запастись всеми необходимыми лицензиями и хранить их централизованно в распечатанном или электронном виде.

  • Заранее подготовить свой образец документа, который должны будут подписать проверяющие органы. Это позволит снять с себя ответственность, если во время проверки произойдет утечка каких-то данных.

  • В документе обязательно ссылаться на действующие законы РФ (например, о защите персональных данных, о неправомерном доступе к информации и т. п.), а также на внутрикорпоративные акты. Кроме того, следует указать действующие нормы за нарушение законов.

Возможно, прочитав такой документ и взвесив все за и против, проверяющий утратит желание осматривать компьютеры организации.

  • Обязательно, насколько это возможно, тщательно проверить документы проверяющих. Кто знает, возможно, это и не проверяющие вовсе.

  • Недавно в одной из школ города я увидел инструкцию для детей – «Что делать, если вас захватили в заложники?». Вот одно из ключевых правил: «Сохраняйте спокойствие и не провоцируйте». Поэтому сохраняем спокойствие, особенно если прятать нечего.

img

 Комментарий Алексея Лукацкого, эксперта по ИБ

Вопрос предоставления доступа к персональным данным работников органам контроля (надзора) всплывает постоянно и, к сожалению, не имеет универсального ответа, поскольку все зависит от того, о каком конкретно надзорном органе идет речь. В данном случае права налоговых инспекторов регулируются не только законом «О персональных данных», но и Налоговым кодексом, а также законом «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)». Так вот, в законе о персональных данных, среди исключений, которые не требуют согласия субъектов, говорится об обработке таких данных в целях исполнения законодательства РФ, что и происходит во время налоговой проверки. Сам же Налоговый кодекс не накладывает на налогового инспектора никаких ограничений по истребованию документов, содержащих персональные данные работников.

Разумеется, проверяемая организация может отказать налоговой инспекции в предоставлении документов, но это повлечет за собой составление соответствующего протокола об административном правонарушении, что, на мой взгляд, гораздо хуже нежелания предоставлять налоговому инспектору персональные данные по его законному требованию.

Так же обстоит дело и с доступом к коммерческой тайне. Вся собранная в процессе налоговой проверки информация (и персональные данные, и сведения, составляющие коммерческую тайну, и иная информация ограниченного доступа) в соответствии с Налоговым кодексом получает статус налоговой тайны, которая не подлежит разглашению за исключением случаев, предусмотренных законодательством. За разглашение налоговой тайны предусмотрена уже уголовная ответственность согласно ст. 183 УК РФ.

Действия сотрудников налоговой инспекции в рамках осуществления проверки полностью описаны в Налоговом кодексе. В частности, они имеют полное право истребовать документы, а также в ряде случаев проводить выемку документов и предметов. К последним следует отнести и компьютеры, которые могут содержать электронные базы данных, интересующие инспектора, или иные сведения относительно предмета проверки (например, лицензии на ПО, используемое при производстве продуктов, стоимость которых отнесена на себестоимость и исключена из налогооблагаемой базы).

Обратите внимание: инспектор не может устанавливать на компьютеры никаких посторонних программ или рассылать с них электронную почту и выходить в Интернет – это выходит за рамки проверки, о чем можно прямо написать в акте, составляемом по ее окончании. Упомянутый в Налоговом кодексе «осмотр предметов» также не относится к копанию во внутренностях компьютера, его папках и файлах. Максимум, что обычно может заинтересовать инспектора, — насколько представленные документы соответствуют содержанию бухгалтерских программ.

Если вы честно ведете бизнес, то можете спокойно под присмотром инспектора распечатать или показать всё, что он требует. А вот отказ в этом действительно чреват изъятием компьютеров (допустимо также копирование вашего жесткого диска, но это требует соответствующей квалификации, что бывает не всегда), но только тех, которые обрабатывают налоговую и бухгалтерскую отчетность. Стоит задуматься о выделении такого вида обработки на отдельный, но безусловно резервируемый сервер, изъятие которого не нарушит функционирования всей компании. И в любом случае нужно знать права и обязанности –  и свои, и налогового инспектора, – которые четко описаны в вышеназванных документах – Налоговом кодексе и законе о защите прав юрлиц при осуществлении государственного надзора.

Теги: безопасность, аудит

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 10/2017    [ PDF ]    [ Подписка на журнал ]

Об авторе

Алексей Никифоров

Алексей Никифоров

ИТ-директор ООО «Теннант»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

Также смотрите

Журнал IT-Manager: № 10/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Декабрь >>>>
Пн Вт Ср Чт Пт Сб Вс
27282930123
45678910
11121314151617
18192021222324
25262728293031
1234567