Содержание
Защита персональных данных: результаты контроля
Контролирующие органы
Напомним, что федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
- Роскомнадзор - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
- ФСТЭК России - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
- ФСБ России - осуществляет контроль за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации.
Результаты проведенного государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных приводятся в ежегодном отчете Уполномоченного органа по защите прав субъектов персональных данных.
Подготовка такого отчета предусмотрена частью 7 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон). На сайте Роскомнадзора (http://www.rsoc.ru/plan-and-reports/reports/) размещены отчеты за 4 года существования Уполномоченного органа: с 2008 по 2011 год.
Следует отметить, что впервые в ежегодном отчете отражены результаты деятельности ФСБ России и ФСТЭК России в пределах их компетенции. В частности, ФСБ России проведено 270 проверок, в том числе 265 проверок касались государственных информационных систем персональных данных.
ФСТЭК России и его территориальными органами было проведено 83 проверки, в том числе 76 в органах исполнителей власти и 6 в организациях жилищно-коммунального хозяйства (ЖКХ).
За то же время Роскомнадзором проведено 2 250 проверок. В связи с чем, наиболее пристальное внимание предлагаем уделить результатам осуществления государственного контроля Роскомнадзором за 4 года его существования.
Отчеты Роскомнадзора по проверкам: делаем выводы
В своих ежегодных отчетах Роскомнадзор отмечает этапы становления и развития системы контроля за деятельностью операторов по защите персональных данных (далее - ПДн). Так, 2009 год является периодом создания государственной системы контроля и надзора за соответствием обработки персональных данных требованиям законодательства, а в 2010 году отмечается повышение качественной составляющей деятельности по защите прав субъектов ПДн.
В 2011 году акцент сделан на разработку отраслевых стандартов. В отчете отмечено, что при проведении проверок особое внимание уделяется инициативам операторов по выработке предложений, направленных на унификацию отраслевых подходов в деятельности по обработке ПДн. При этом специалисты Роскомнадзора обращают внимание, что «разработка отраслевых стандартов не только позволяет обеспечить реализацию требований закона с учетом особенностей соответствующей профессиональной деятельности, но и существенно снижает общий объем нарушений, допускаемых определенными категориями операторов».
В качестве примера в отчете за 2011 год приведены результаты проверок кредитных организаций, в которых уровень выявленных нарушений снизился в сравнении с 2010 годом с 61 % до 48 %.
С точки зрения операторов ПДн наибольший интерес представляет деятельность Роскомнадзора по следующим направлениям:
- осуществление контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области ПДн;
- рассмотрение обращений граждан и юридических лиц;
- ведение реестра операторов, осуществляющих обработку ПДн.
Результаты контрольной деятельности
Сводные статистические данные, наглядно отражающие результаты контрольной деятельности Роскомнадзора и его территориальных органов, приведены в следующей таблице:
|
|
2011 |
2010 |
2009 |
2008 |
|
Государственный контроль за соблюдением требований законодательства РФ в части обработки персональных данных |
||||
|
Проведено проверок |
2197 |
1253 |
432 |
76 |
|
В т. ч. внеплановых (в % от общего числа проведенных проверок) |
791 (36%) |
449 (36%) |
148 (34%) |
40 (53%) |
|
Выдано предписаний об устранении выявленных нарушений |
2250 |
1908 |
557 |
19 |
|
Составлено протоколов об административных правонарушениях |
4901 |
2996 |
54 |
11 |
|
Направлены материалы проверок в органы прокуратуры |
900 |
506 |
86 |
24 |
|
Общая сумма штрафов, наложенных на операторов ПДн (руб.) |
7 900 000 |
4 480 000 |
75 000 |
5 500 |
|
Деятельность по рассмотрению обращений граждан и юридических лиц в сфере персональных данных |
||||
|
Получено обращений или заявлений на действия (бездействие) операторов ПДн |
3920 |
1829 |
465 |
146 |
|
В т. ч. жалобы на неправомерные действия операторов |
3214 |
1433 |
40 |
31 |
Как видно из приведенных в таблице данных, с каждым годом возрастает количество проводимых поверок и сумма штрафов, наложенных на операторов персональных данных, а также количество обращений граждан и юридических лиц, в том числе на неправомерные действия операторов.
Типичные нарушения
В отчете отмечено, что наиболее типичными нарушениями требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» являются следующие:
- статья 7 Закона - нарушение требований конфиденциальности при обработке информации (например, доставка платежных документов в незаконвертированном виде);
- часть 3 статьи 18 Закона – неуведомление гражданина о начале обработки его персональных данных;
- пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 в части касающейся несоблюдения оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (например, отсутствие утвержденных перечня мер в части обеспечения требований по защите персональных данных и перечня лиц, имеющих право доступа к персональным данным);
- часть 1 статьи 6 Закона – обработка персональных данных без согласия субъектов ПДн;
- часть 4 статьи 9 Закона – несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям действующего законодательства.
Следует отметить, что 2011 году наиболее пристальное внимание специалистов Роскомнадзора было обращено на организацию работы с персональными данными в кадровых и коллекторских агентствах, кредитных организациях и компаниях, осуществляющих пассажирские авиаперевозки. Существенное количество нарушений выявлено в организациях ЖКХ.
Помимо данных категорий операторов ПДн в плане проверок на 2012 год предусмотрено проведение проверок образовательных и медицинских учреждений, страховых организаций и т. п. Ознакомиться с планом проверок Роскомнадзора на 2012 год можно на сайте ведомства http://www.rsoc.ru/docs/plan_proverok_2012.doc
Размер штрафа
Как показывает практика, средний размер штрафа составляет порядка 3 000-5 000 руб., в связи с чем «операторам ПДн выгоднее оплатить такой штраф, чем реализовывать предусмотренные законодательством адекватные меры защиты персональных данных»*. Учитывая изложенное, Роскомнадзором предпринимаются меры по внесению изменений в действующее законодательство в части усиления ответственности операторов ПДн. В частности, предлагается существенно увеличить размеры штрафов за нарушения порядка обработки ПДн (на юридических лиц - до 500 тыс. руб., а при совершении повторного правонарушения до - 1 млн руб.).
Примечание:
* Из пояснительной записки к проекту
Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушения», размещено на сайте Минэкономразвития России
http://www.economy.gov.ru.
Ведение реестра операторов
В отдельном разделе отчета отражены итоги работы Роскомнадзора по ведению реестра операторов, осуществляющих обработку ПДн. За 2011 год в реестр операторов было включено около 60 тыс. операторов ПДн. Всего в реестре зарегистрировано более 240 тыс. операторов. В отчете содержатся данные о прогнозной численности операторов ПДн и проведен анализ об исполнении требования законодательства в части регистрации в реестре операторов ПДн. В частности отмечено, что уведомления поданы практически половиной государственных и муниципальных органов, в то время как в отношении юридических лиц только 10 % от прогнозной численности исполнили свою обязанность.
Планы на 2012 год
С учетом достигнутых результатов деятельности за 2011 год Роскомнадзором определены приоритетные направления и задачи на 2012 год, среди которых можно выделить следующие:
- осуществление на постоянной основе мониторинга деятельности операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных;
- совершенствование форм методов контрольно-надзорной деятельности, направленной на качественное повышение уровня защиты прав субъектов персональных данных;
- разработка требований и методов обезличивания ПДн, обрабатываемых в информационных системах.
