Пример
Территориальным управлением Уполномоченного органа по Воронежской области была проведена плановая выездная проверка в отношении Общества с ограниченной ответственностью Кадровое агентство «Феникс» (далее – ООО Кадровое агентство «Феникс»). В ходе проведения контрольно-надзорного мероприятия выявлено нарушение в части, касающейся отсутствия у Оператора утвержденного перечня лиц, имеющих доступ к персональным данным, обрабатываемым без использования средств автоматизации. Кроме того, Оператором не был определен порядок и места хранения персональных данных субъектов. По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ.
б) ч. 1 ст. 6 Федерального закона «О персональных данных» – обработка Оператором персональных данных без согласия субъектов персональных данных;
Пример
В ходе проведения плановой выездной проверки в отношении Акционерного коммерческого банка «Вятич» (Открытое акционерное общество) должностными лицами Уполномоченного органа были установлены факты обработки персональных данных близких родственников без их соответствующего согласия. По материалам проверки судом принято решение о привлечении АКБ «Вятич» (ОАО) к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
в) ч. 4 ст. 9 Федерального закона «О персональных данных» – несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
Пример
В типовой форме согласия на обработку персональных данных, утвержденной ООО Морское кадровое агентство «Примтанко», отсутствовало общее описание используемых оператором способов обработки персональных данных. Соответствующие материалы были направлены Уполномоченным органом в органы прокуратуры, по результатам рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ООО Морское кадровое агентство «Примтанко» к административной ответственности и наложении штрафа в размере пяти тысяч рублей, в том числе на должностное лицо ООО Морское кадровое агентство «Примтанко» в размере пятьсот рублей.
Как и в предшествующие периоды, в отчетном продолжился рост количества правонарушений в области персональных данных. Так, в 2011 году Уполномоченным органом составлено 4901 протоколов об административных правонарушениях, что почти 2 раза превышает показатели 2010 года.
Выявленные правонарушения были классифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.
Причина роста числа правонарушений – низкая исполнительская дисциплина отдельных Операторов в части выполнения требований законодательства в области персональных данных и незначительные размеры административных штрафов, которые, в свою очередь, порождают практику «сознательного правонарушения», когда Оператор предпочитает отделаться незначительным штрафом, нежели принять надлежащие организационные, правовые и технические меры, предусмотренные действующим законодательством.
Мировыми судьями в 4315 случаях вынесены постановления о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 7,9 млн. рублей.
Динамика сумм административных штрафов, наложенных судами на основании материалов Уполномоченного органа, представлена на диаграмме 4.
Диаграмма 4
Традиционно, в Отчете отражены результаты взаимодействия с органами прокуратуры по итогам проведенных проверок. В 2011 году Уполномоченным органом в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ направлено около 900 материалов. Из них, решения о возбуждении дела об административном правонарушении были приняты в 167 случаях и вынесены постановления суда о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 177, 3 тыс. рублей. В остальных случаях, органами прокуратуры принимались решения об отказе в возбуждении административного производства в связи с истечением срока давности и (или) принимались иные меры прокурорского реагирования (вносились представления, направлялись предостережения).
Динамика количества материалов, направленных в органы прокуратуры, представлена на диаграмме 5.
Диаграмма 5
В рамках реализации мер пресекательного характера Уполномоченным органом в 2011 году совместно с правоохранительными органами проведены рейды по радиорынкам г. Москвы, в ходе которых было изъято несколько сотен физических носителей информации, содержащих сведения о частной и личной жизни граждан, объединенных в 17 баз данных различной тематики и принадлежности, в том числе: «Прописка», «ГАИ + Полисы КАСКО и ОСАГО», «Федеральная таможенная служба» и другие.
В отношении федеральных органов государственной власти, к ведению которых предположительно могли относиться изъятые базы данных (ФНС России, ФТС России, ГИБДД МВД России, ФМС России), Уполномоченным органом совместно с ФСБ России и ФСТЭК России были проведены проверки на предмет выявления фактов утечек обрабатываемых персональных данных. По результатам проверок органами ФСБ России и ФСТЭК России факты утечек из информационных систем указанных органов государственной власти выявлены не были.
Учитывая подобные случаи распространения баз данных, предположительно имеющих принадлежность к информационным системам госорганов, представляется целесообразным нормативно урегулировать вопросы обеспечения идентификации баз персональных данных, обрабатываемых в госорганах, с целью однозначного определения источника в случае их утечки или появления в продаже. В этих же целях предлагается применять процедуру обезличивания персональных данных, успешное использование которой существенно снизит риски идентификации конкретных граждан в случаях утечек баз данных.
Применение процедур обезличивания персональных данных уже нормативно закреплено постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 и является обязательным для Операторов, являющихся государственными или муниципальными органами.
В отчетном периоде в рамках контрольно-надзорной деятельности Уполномоченным органом активно осуществлялся мониторинг деятельности Операторов, направленный на профилактику нарушения прав граждан -субъектов персональных данных, который, в том числе, включал в себя оценку деятельности Операторов по обработке персональных данных в информационно-телекоммуникационной сети Интернет и выявление фактов незаконного распространения персональной информации отдельными интернет-ресурсами.
Пример
В июле 2011 года Уполномоченным органом выявлено более 80 интернет-магазинов, информация о покупателях которых попала в открытый доступ. В ходе аналитической выборки определены 15 интернет-магазинов, которые предоставили доступ к наиболее широкому перечню персональных данных покупателей.
Соответствующие материалы были направлены в органы прокуратуры, по результатам рассмотрения в отношении владельцев сайтов возбуждено 7 дел об административном правонарушении по ст. 13.11 КоАП РФ, в остальных случаях, по информации органов прокуратуры, принимаются меры по установлению фактического местонахождения владельцев 8 интернет-сайтов.
При этом, представляется очевидным, что виновные лица-владельцы этих ресурсов, к ответственности привлечены не будут в связи с истечением установленных сроков давности.
Проблема распространения персональных данных в информационно-телекоммуникационной сети Интернет в отдельных случаях связана с деятельностью поисковых систем, в том числе в части, касающейся появления в общем доступе различных ссылок, позволяющих неограниченному кругу лиц получить доступ к персональным данным граждан, содержащимся в различных информационных системах.
Пример
Уполномоченным органом в ходе мониторинга информационно-телекоммуникационной сети Интернет в июле 2011 года установлены факты размещения в поисковой системе Яндекс ссылки, позволяющей получить доступ к сведениям, содержащимся в коротких текстовых сообщениях, отправленных посредством интерактивной функции, реализованной на официальном сайте для одного из операторов мобильной связи.
Установлено, что в указанном случае организацией, обеспечивающей техническую поддержку и работоспособность интернет-сайта, не были приняты надлежащие меры по защите размещаемой информации от индексации поисковыми роботами.
В качестве решения указанной проблемы представляется целесообразной разработка технического стандарта, определяющего набор необходимых правил и мер, реализация которых обеспечит безопасность персональных данных при их обработке в информационно-телекоммуникационной сети Интернет и позволит исключить подобные случаи.
Подводя итоги контрольно-надзорной деятельности в 2011 году необходимо отметить, что помимо роста количественных показателей, повысилась качественная составляющая проводимых контрольно-надзорных мероприятий, усовершенствованы программы проведения проверок. Уполномоченным органом активно используется практика проведения документарных проверок, позволяющая снизить административную нагрузку на проверяемых Операторов.
Вместе с тем, остается неразрешенным ряд проблемных вопросов. В первую очередь, правового характера. К ним, в частности, относятся: отсутствие в законодательстве Российской Федерации положений, устанавливающих конкретные составы административных правонарушений в области персональных данных; трехмесячный срок давности по нарушениям в области персональных данных, не позволяющий в большинстве случаев привлекать к административной ответственности Операторов, осуществляющих обработку персональных данных с нарушением требований Федерального закона. К числу проблемных вопросов можно отнести и то, что положения Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не учитывают специфику правоотношений в области персональных данных и, в отдельных случаях, вступают в противоречие с нормами Федерального закона «О персональных данных», определяющими полномочия Уполномоченного органа в части проведения контрольно-надзорных мероприятий в этой сфере.
Результаты контрольно-надзорной деятельности в области персональных данных наглядно свидетельствуют о том, что за короткий период, с 2008 года, в области персональных данных Уполномоченным органом создана стройная система защиты прав и законных интересов граждан, эффективность которой подтверждается ежегодным ростом основных качественных и количественных показателей.
3. Итоги деятельности по рассмотрению обращений граждан - субъектов персональных данных, итоги судебно-претензионной работы
В результате широкомасштабной информационно-разъяснительной работы сегодня в общественном сознании складывается позитивное представление о деятельности Уполномоченного органа по защите прав субъектов персональных данных в Российской Федерации. Как следствие, наблюдается постоянный рост количества обращений граждан по вопросам защиты их прав и законных интересов.
За отчетный период в адрес Роскомнадзора и его территориальных органов рассмотрено 3920 обращений, что на 47% выше показателей 2010 года.
С момента возложения полномочий по защите прав субъектов персональных данных в Уполномоченный орган поступило 6360 обращений, в том числе:
в 2008 году - 146;
в 2009 году - 465;
в 2010 году - 1829;
в 2011 году – 3920.
Динамика поступления обращений в Уполномоченный орган представлена на диаграмме 6.
Диаграмма 6
Из указанных обращений – 3365 составляют обращения и жалобы граждан - субъектов персональных данных и 555 – обращения юридических лиц.
Диаграмма 7
Говоря о количестве поступающих обращений граждан и юридических лиц в привязке к федеральным округам, необходимо отметить, что наибольший процент отмечен в Центральном федеральном округе Российской Федерации, на который приходится - 23 % от общего количества обращений, наименьший процент отмечается в Северо-Кавказском федеральном округе Российской Федерации – 3 %.
Диаграмма 8
Обращения юридических лиц касались разъяснения порядка применения законодательства Российской Федерации в области персональных данных, в том числе:
- возможность обработки и передачи персональных данных граждан в рамках различных гражданско-правовых договоров (в т.ч. с учетом требований Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»);
- распространение действия Федерального закона «О персональных данных» на деятельность иностранных компаний, имеющих представительство, филиал или иное присутствие на территории Российской Федерации, либо не имеющих такового, но осуществляющих обработку персональных данных граждан Российской Федерации;
- о порядке и условиях трансграничной передачи персональных данных и другие.
Обращения граждан делятся на обращения, касающиеся разъяснения законодательства Российской Федерации в области персональных данных, в том числе порядка соблюдения отдельных прав граждан на неприкосновенность частной жизни – 706 (18 %) и жалобы о нарушениях Операторами, осуществляющими обработку персональных данных, их прав и законных интересов в области персональных данных – 3214 (82 %).
Исходя из анализа содержания рассмотренных жалоб граждан, в большинстве случаев они содержали доводы о нарушениях, допускаемых организациями жилищно-коммунального хозяйства, кредитными организациями, интернет-сайтами, операторами связи, коллекторскими агентствами.
В частности, в отношении организаций жилищно-коммунального хозяйства распространены жалобы на действия, связанные с рассылкой платежных документов в незаконвертованном (открытом) виде, с передачей персональных данных собственников жилых помещений в иные организации (расчетно-кассовые центры) без их согласия. Продолжают иметь место случаи размещения информации о задолженностях граждан с указанием их персональных данных на информационных стендах, в подъездах многоквартирных домов.
Пример
Гражданин З. обратился в Уполномоченный орган с жалобой на действия ООО СП ЖКХ «Посад-7» по размещению сведений об имеющейся у него задолженности за предоставленные коммунальные услуги на информационном стенде в подъезде многоквартирного дома.
По результатам принятых Уполномоченным органом мер указанная информация была удалена ООО СП ЖКХ «Посад-7» в добровольном порядке.
Кредитными организациями, чаще всего, допускаются нарушения требований конфиденциальности, установленных ст. 7 Федерального закона «О персональных данных», допускаемые при передаче персональных данных третьим лицам без согласия гражданина и требований п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687, в части отсутствия утвержденного перечня лиц, осуществляющих обработку, либо имеющих доступ к персональным данным.
|
