Защита персональных данных: результаты контроля

Защита персональных данных: результаты контроля

Контролирующие органы

Напомним, что федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

• Роскомнадзор - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
• ФСТЭК России - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
• ФСБ России - осуществляет контроль за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации.

Результаты проведенного государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных приводятся в ежегодном отчете Уполномоченного органа по защите прав субъектов персональных данных.

Подготовка такого отчета предусмотрена частью 7 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон). На сайте Роскомнадзора (http://www.rsoc.ru/plan-and-reports/reports/) размещены отчеты за 4 года существования Уполномоченного органа: с 2008 по 2011 год.

Следует отметить, что впервые в ежегодном отчете отражены результаты деятельности ФСБ России и ФСТЭК России в пределах их компетенции. В частности, ФСБ России проведено 270 проверок, в том числе 265 проверок касались государственных информационных систем персональных данных.

ФСТЭК России и его территориальными органами было проведено 83 проверки, в том числе 76 в органах исполнителей власти и 6 в организациях жилищно-коммунального хозяйства (ЖКХ).

За то же время Роскомнадзором проведено 2 250 проверок. В связи с чем, наиболее пристальное внимание предлагаем уделить результатам осуществления государственного контроля Роскомнадзором за 4 года его существования.

Отчеты Роскомнадзора по проверкам: делаем выводы

В своих ежегодных отчетах Роскомнадзор отмечает этапы становления и развития системы контроля за деятельностью операторов по защите персональных данных (далее - ПДн). Так, 2009 год является периодом создания государственной системы контроля и надзора за соответствием обработки персональных данных требованиям законодательства, а в 2010 году отмечается повышение качественной составляющей деятельности по защите прав субъектов ПДн.

В 2011 году акцент сделан на разработку отраслевых стандартов. В отчете отмечено, что при проведении проверок особое внимание уделяется инициативам операторов по выработке предложений, направленных на унификацию отраслевых подходов в деятельности по обработке ПДн. При этом специалисты Роскомнадзора обращают внимание, что «разработка отраслевых стандартов не только позволяет обеспечить реализацию требований закона с учетом особенностей соответствующей профессиональной деятельности, но и существенно снижает общий объем нарушений, допускаемых определенными категориями операторов».

В качестве примера в отчете за 2011 год приведены результаты проверок кредитных организаций, в которых уровень выявленных нарушений снизился в сравнении с 2010 годом с 61 % до 48 %.

С точки зрения операторов ПДн наибольший интерес представляет деятельность Роскомнадзора по следующим направлениям:

• осуществление контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области ПДн;
• рассмотрение обращений граждан и юридических лиц;
• ведение реестра операторов, осуществляющих обработку ПДн.

Результаты контрольной деятельности

Сводные статистические данные, наглядно отражающие результаты контрольной деятельности Роскомнадзора и его территориальных органов, приведены в следующей таблице:

Как видно из приведенных в таблице данных, с каждым годом возрастает количество проводимых поверок и сумма штрафов, наложенных на операторов персональных данных, а также количество обращений граждан и юридических лиц, в том числе на неправомерные действия операторов.

Типичные нарушения

В отчете отмечено, что наиболее типичными нарушениями требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» являются следующие:

• статья 7 Закона - нарушение требований конфиденциальности при обработке информации (например, доставка платежных документов в незаконвертированном виде);
• часть 3 статьи 18 Закона – неуведомление гражданина о начале обработки его персональных данных;
• пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 в части касающейся несоблюдения оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (например, отсутствие утвержденных перечня мер в части обеспечения требований по защите персональных данных и перечня лиц, имеющих право доступа к персональным данным);
• часть 1 статьи 6 Закона – обработка персональных данных без согласия субъектов ПДн;
• часть 4 статьи 9 Закона – несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям действующего законодательства.

Следует отметить, что 2011 году наиболее пристальное внимание специалистов Роскомнадзора было обращено на организацию работы с персональными данными в кадровых и коллекторских агентствах, кредитных организациях и компаниях, осуществляющих пассажирские авиаперевозки. Существенное количество нарушений выявлено в организациях ЖКХ.

Помимо данных категорий операторов ПДн в плане проверок на 2012 год предусмотрено проведение проверок образовательных и медицинских учреждений, страховых организаций и т. п. Ознакомиться с планом проверок Роскомнадзора на 2012 год можно на сайте ведомства http://www.rsoc.ru/docs/plan_proverok_2012.doc

Размер штрафа

Как показывает практика, средний размер штрафа составляет порядка 3 000-5 000 руб., в связи с чем «операторам ПДн выгоднее оплатить такой штраф, чем реализовывать предусмотренные законодательством адекватные меры защиты персональных данных»*. Учитывая изложенное, Роскомнадзором предпринимаются меры по внесению изменений в действующее законодательство в части усиления ответственности операторов ПДн. В частности, предлагается существенно увеличить размеры штрафов за нарушения порядка обработки ПДн (на юридических лиц - до 500 тыс. руб., а при совершении повторного правонарушения до - 1 млн руб.).

Примечание:
* Из пояснительной записки к проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушения», размещено на сайте Минэкономразвития России http://www.economy.gov.ru.

Ведение реестра операторов

В отдельном разделе отчета отражены итоги работы Роскомнадзора по ведению реестра операторов, осуществляющих обработку ПДн. За 2011 год в реестр операторов было включено около 60 тыс. операторов ПДн. Всего в реестре зарегистрировано более 240 тыс. операторов. В отчете содержатся данные о прогнозной численности операторов ПДн и проведен анализ об исполнении требования законодательства в части регистрации в реестре операторов ПДн. В частности отмечено, что уведомления поданы практически половиной государственных и муниципальных органов, в то время как в отношении юридических лиц только 10 % от прогнозной численности исполнили свою обязанность.

Планы на 2012 год

С учетом достигнутых результатов деятельности за 2011 год Роскомнадзором определены приоритетные направления и задачи на 2012 год, среди которых можно выделить следующие:

• осуществление на постоянной основе мониторинга деятельности операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных;
• совершенствование форм методов контрольно-надзорной деятельности, направленной на качественное повышение уровня защиты прав субъектов персональных данных;
• разработка требований и методов обезличивания ПДн, обрабатываемых в информационных системах.