УправлениеБезопасность

Налоговая проверка теперь повод для беспокойства отдела ИТ?

Алексей Никифоров | 26.10.2017

Налоговая проверка теперь повод для беспокойства отдела ИТ?

В 2016 году в одной из компаний проводилась налоговая проверка. В какой-то момент налоговые инспекторы попросили доступ к компьютерам компании для проверки установленного программного обеспечения.

В 2016 году в одной из компаний проводилась налоговая проверка. В какой-то момент налоговые инспекторы попросили доступ к компьютерам компании для проверки установленного программного обеспечения.

Компания обратилась в суд, считая, что налоговые инспекторы превысили свои полномочия, а именно потребовала в том числе «…признать незаконными действия по осмотру программного обеспечения компьютеров…». Дело дошло до Верховного суда, который постановил отказать в принятии жалобы, так как права компании не были ущемлены (Определение Верховного суда РФ от 17.07.2017 № 302-КГ17-8315 по делу № А19-916/2016).

Актуальные вопросы

Если указанный случай будет являться прецедентом, то у сотрудников отдела ИТ, так же как и у рядовых пользователей, появляются следующие вопросы:

1. Закон о защите персональных данных (152-ФЗ). Допустим, налоговый инспектор просит доступ на компьютер главного бухгалтера или сотрудника отдела кадров, компьютер которого хранит или обрабатывает персональные данные сотрудников (контрагентов, пациентов и т. п.). Данный пользователь имеет разрешение на обработку этих данных для целей сотрудника (контрагента, пациента и т. п.) и компании, но не имеет разрешений на предоставление этой информации третьим лицам. На каком основании он предоставит данные сотрудников и контрагентов третьим лицам?

2. Коммерческая тайна. Очевидно, что на компьютерах ряда сотрудников могут находиться документы и программное обеспечение, представляющие коммерческую тайну. Какие гарантии, что проверяющий инспектор использует эту информацию только в интересах проверки?

3. В случае повреждения каких-то данных случайно или умышленно, установки какого-то дополнительного ПО, рассылки спама с использованием ресурсов компании и т. п. проверяющий не будет нести никакой ответственности, а ответственность будет возлагаться на пользователя, под чьей учетной записью налоговый инспектор осуществил эти действия?

4. Недавно президент РФ предложил запретить или ограничить изъятие жестких дисков, серверов и объяснил почему. Один из доводов: пока будет идти подобная проверка, компания, возможно, не будет полноценно работать, что приведет к плохим финансовым последствиям как для нее, так и для сотрудников и партнеров. Будет ли проверяющий оплачивать простои, связанные с тем, что сотрудники не могут работать, пока проверяющие занимают их рабочие места?

5. Судя по обстоятельствам дела из открытых источников, проверяющие письменно никак не фиксировали факт проверки программного обеспечения компьютеров. Если даже Верховный суд считает действия по проверке правомерными, то насколько правомерно не разрешать проверку до составления акта, где будет зафиксировано письменно, кто будет проверять, что будет проверять, для чего и на основании чего?

Порядок действий

Я никогда не оказывался в подобной ситуации. Однако мне видится правильным следующий подход.

Если в компании есть юрист, то, не дожидаясь, когда это случится, прямо сейчас необходимо проконсультироваться, что могут и чего не могут делать проверяющие.

  • Заранее запастись всеми необходимыми лицензиями и хранить их централизованно в распечатанном или электронном виде.

  • Заранее подготовить свой образец документа, который должны будут подписать проверяющие органы. Это позволит снять с себя ответственность, если во время проверки произойдет утечка каких-то данных.

  • В документе обязательно ссылаться на действующие законы РФ (например, о защите персональных данных, о неправомерном доступе к информации и т. п.), а также на внутрикорпоративные акты. Кроме того, следует указать действующие нормы за нарушение законов.

Возможно, прочитав такой документ и взвесив все за и против, проверяющий утратит желание осматривать компьютеры организации.

  • Обязательно, насколько это возможно, тщательно проверить документы проверяющих. Кто знает, возможно, это и не проверяющие вовсе.

  • Недавно в одной из школ города я увидел инструкцию для детей – «Что делать, если вас захватили в заложники?». Вот одно из ключевых правил: «Сохраняйте спокойствие и не провоцируйте». Поэтому сохраняем спокойствие, особенно если прятать нечего.

img

 Комментарий Алексея Лукацкого, эксперта по ИБ

Вопрос предоставления доступа к персональным данным работников органам контроля (надзора) всплывает постоянно и, к сожалению, не имеет универсального ответа, поскольку все зависит от того, о каком конкретно надзорном органе идет речь. В данном случае права налоговых инспекторов регулируются не только законом «О персональных данных», но и Налоговым кодексом, а также законом «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора)». Так вот, в законе о персональных данных, среди исключений, которые не требуют согласия субъектов, говорится об обработке таких данных в целях исполнения законодательства РФ, что и происходит во время налоговой проверки. Сам же Налоговый кодекс не накладывает на налогового инспектора никаких ограничений по истребованию документов, содержащих персональные данные работников.

Разумеется, проверяемая организация может отказать налоговой инспекции в предоставлении документов, но это повлечет за собой составление соответствующего протокола об административном правонарушении, что, на мой взгляд, гораздо хуже нежелания предоставлять налоговому инспектору персональные данные по его законному требованию.

Так же обстоит дело и с доступом к коммерческой тайне. Вся собранная в процессе налоговой проверки информация (и персональные данные, и сведения, составляющие коммерческую тайну, и иная информация ограниченного доступа) в соответствии с Налоговым кодексом получает статус налоговой тайны, которая не подлежит разглашению за исключением случаев, предусмотренных законодательством. За разглашение налоговой тайны предусмотрена уже уголовная ответственность согласно ст. 183 УК РФ.

Действия сотрудников налоговой инспекции в рамках осуществления проверки полностью описаны в Налоговом кодексе. В частности, они имеют полное право истребовать документы, а также в ряде случаев проводить выемку документов и предметов. К последним следует отнести и компьютеры, которые могут содержать электронные базы данных, интересующие инспектора, или иные сведения относительно предмета проверки (например, лицензии на ПО, используемое при производстве продуктов, стоимость которых отнесена на себестоимость и исключена из налогооблагаемой базы).

Обратите внимание: инспектор не может устанавливать на компьютеры никаких посторонних программ или рассылать с них электронную почту и выходить в Интернет – это выходит за рамки проверки, о чем можно прямо написать в акте, составляемом по ее окончании. Упомянутый в Налоговом кодексе «осмотр предметов» также не относится к копанию во внутренностях компьютера, его папках и файлах. Максимум, что обычно может заинтересовать инспектора, — насколько представленные документы соответствуют содержанию бухгалтерских программ.

Если вы честно ведете бизнес, то можете спокойно под присмотром инспектора распечатать или показать всё, что он требует. А вот отказ в этом действительно чреват изъятием компьютеров (допустимо также копирование вашего жесткого диска, но это требует соответствующей квалификации, что бывает не всегда), но только тех, которые обрабатывают налоговую и бухгалтерскую отчетность. Стоит задуматься о выделении такого вида обработки на отдельный, но безусловно резервируемый сервер, изъятие которого не нарушит функционирования всей компании. И в любом случае нужно знать права и обязанности –  и свои, и налогового инспектора, – которые четко описаны в вышеназванных документах – Налоговом кодексе и законе о защите прав юрлиц при осуществлении государственного надзора.

Безопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2017], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Conversations – конференция для бизнеса и разработчиков
ОНЛАЙН
12 900 руб
21.06.2021 — 22.06.2021
09:00–18:00
Apple Tech Business Week
Санкт-Петербург, IT-пространство для бизнеса Resonance Space
22.06.2021 — 24.06.2021
VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00