Итоги государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных стр. 6
Скачать 450.06 Kb.
|
| 3. Итоги деятельности по рассмотрению обращений граждан - субъектов персональных данных, итоги судебно-претензионной работы За отчетный период в адрес Уполномоченного органа и его территориальных органов поступило 5677 обращений, что на 31% выше показателей 2011 года. С момента возложения полномочий по защите прав субъектов персональных данных в Уполномоченный орган поступило 12037 обращений, в том числе: в 2008 году - 146; в 2009 году - 465; в 2010 году - 1829; в 2011 году – 3920; в 2012 году – 5677. Динамика поступления обращений в Уполномоченный орган представлена на диаграмме 7. Диаграмма 7  Как видно из представленной диаграммы, за 2012 год обращений поступило примерно столько же, сколько за два предыдущих года (2010 и 2011 годы) вместе взятых и почти в 40 раз больше по сравнению с 2008 годом. Из указанных обращений – 5368 составляют обращения и жалобы граждан - субъектов персональных данных и 309 – обращения юридических лиц. Диаграмма 8  Анализ жалоб в разрезе по федеральным округам показывает, что, как и 2011 году, наибольшее количество обращений зафиксировано в Центральном федеральном округе (37 % от общего количества обращений), наименьшее традиционно отмечено в Северо-Кавказском федеральном округе (1 %. от общего количества обращений) Диаграмма 9  В абсолютных цифрах увеличение количества жалоб по сравнению с 2011 годом отмечается в большинстве федеральных округов, за исключением Северо-Кавказского, Уральского и Дальневосточного. (Диаграмма 10).  Анализ результатов рассмотрения обращений граждан показывает, что наибольшее количество жалоб отмечается в регионах, где имеется наибольшее количество Операторов, деятельность которых предполагает направление уведомления в Уполномоченный орган. Обработка персональных данных граждан такими организациями ведется не столько для «собственных, внутренних» нужд, а сколько в своей основной хозяйственной деятельности. К ним, также, относятся организации, осуществляющие обработку персональных данных значительного числа граждан и имеющие разветвленную филиальную сеть на территории Российской Федерации. Как видно из приведенной диаграммы безусловным лидером по числу обращений является Центральный федеральный округ, где по сравнению с 2011 годом доля количества жалоб в 2012 году выросла с 23 % до 37 % от общего числа жалоб рассмотренных Уполномоченным органом. Д  иаграмма 11Обращения юридических лиц касались разъяснения порядка применения законодательства Российской Федерации в области персональных данных, в том числе: - возможности обработки и передачи персональных данных граждан в рамках различных гражданско-правовых договоров; - порядка и условий обработки биометрических персональных данных; - требований к оформлению согласия путем проставления субъектом персональных данных «галочки» в веб-форме пользовательского соглашения при оказании услуг через сеть Интернет. В 2012 году Уполномоченным органом рассмотрено 1098 обращений граждан о разъяснении отдельных положений законодательства Российской Федерации в области персональных данных, а также 4270 жалоб на действия операторов, осуществляющих, по их мнению, незаконную обработку персональных данных. Необходимо отметить, что по результатам рассмотрения жалоб граждан доводы заявителей подтвердились в 27 % случаев, что в процентном отношении соответствует показателям 2011 года. Наибольшее количество жалоб граждан поступило на действия организаций ЖКХ, владельцев интернет-сайтов, коллекторских агентств. На действия данных категорий Операторов традиционно поступает большое число жалоб, что, в первую очередь, связано с обработкой ими персональных данных значительного числа граждан. В частности, в отношении коллекторских агентств распространены жалобы на действия, связанные с обработкой персональных данных без их согласия. Пример В Уполномоченный орган поступила жалоба гражданки М., связанная с незаконной обработкой ее персональных данных, без соответствующего согласия коллекторским агентством ООО «Столичное коллекторское агентство». В ходе рассмотрения обращения гражданки М. Уполномоченным органом было установлено, что доводы, указанные в жалобе, подтвердились. Соответствующие материалы были направлены Уполномоченным органом в органы прокуратуры, по результатам, рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ООО «Столичное коллекторское агентство» к административной ответственности и наложении штрафа в размере пяти тысяч рублей. Предмет жалоб на действия владельцев интернет-сайтов, как правило, связан с предоставлением доступа неограниченному кругу лиц к персональным данным заявителя. Пример В Уполномоченный орган поступила жалоба гражданина С., связанная с размещением его персональных данных, без его соответствующего согласия, на интернет сайте www.orelmoygorod.ru. В результате проведенной Уполномоченным органом проверки установлено, что доводы, указанные в жалобе, подтвердились. Соответствующие материалы были направлены Уполномоченным органом в органы прокуратуры, по результатам, рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении администратора доменного имени orelmoygorod.ru к административной ответственности и наложении штрафа в размере пятисот рублей. В рамках методического обеспечения судебно-претензионной деятельности Уполномоченного органа в 2012 году подготовлены методические рекомендации, уточняющие требования, направляемые в суды, а также определяющие порядок и условия их подачи. В результате все требования Уполномоченного органа, направленные в суды в 2012 году, удовлетворены в полном объеме. Уполномоченным органом в судебном порядке прекращена деятельность 27 интернет-ресурсов, в 4 случаях незаконно распространяемая информация по решению суда была удалена. 4. Итоги деятельности по ведению реестра операторов, осуществляющих обработку персональных данных В целях формирования Реестра в 2012 году была продолжена практика направления Операторам информационных писем о необходимости соблюдения требований законодательства Российской Федерации в области персональных данных, в части представления уведомления об обработке персональных данных (далее - Уведомление) в адрес Уполномоченного органа. В результате указанной деятельности, в отчетном периоде в Реестре было зарегистрировано более 36 000 Операторов. Кроме того, за 2012 год внесено более 17 000 изменений в сведения, содержащихся в ранее направленных Уведомлениях, предоставлено более 1400 выписок об Операторах, зарегистрированных в Реестре. Всего, по состоянию на 31 декабря 2012 г., в Реестре зарегистрировано 265 445 Операторов, осуществляющих обработку персональных данных. Из них (диаграмма 12): - государственные органы - 9064; - муниципальные органы - 36057; - юридические лица – 208955; - физические лица – 17564. Диаграмма 12  Из общего числа Операторов, внесенных в Реестр (диаграмма 13): - дошкольных учреждений – 31890; - общеобразовательных школ – 36436; - учреждений здравоохранения и социального обеспечения – 12903; - учреждений ЖКХ (ТСЖ) – 7557; - операторов связи – 3085; - средних и высших учебных заведений – 2428; - кредитных учреждений – 1603; - туроператоров – 574; - коллекторских агентств – 106. Диаграмма 13  По состоянию на 31 декабря 2012 г. более 26 000 Операторов применяют шифровальные (криптографические) средства для защиты персональных данных, что составляет 10% от общего числа Операторов, сведения о которых внесены в Реестр. В июне 2012 года вступил в силу новый Административный регламент по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных». В соответствии с положениями Регламента территориальным органам Роскомнадзора переданы функции по ведению Реестра в полном объеме, а также определены состав, последовательность и сроки выполнения административных процедур, требования к порядку их выполнения, в том числе особенности выполнения административных процедур в электронной форме. Кроме того, в Административном регламенте определены формы Уведомления, информационного письма о внесении изменений в сведения об Операторах в Реестре, заявления о предоставлении выписки из Реестра и заявления об исключении сведений об Операторе из Реестра. В результате передачи полномочий по ведению Реестра в территориальные органы, сократились сроки внесения сведений об Операторах в Реестр. Если в первом полугодии 2012 года доля количества Операторов, сведения о которых внесены в Реестр в срок от 1 до 5 дней, составляла 15%, то после передачи полномочий она увеличилась до 55%, что свидетельствует о повышении качественной составляющей данной услуги. Кроме того, в целях обеспечения унифицированного подхода к осуществлению деятельности по ведению Реестра центральным аппаратом были разработаны методические рекомендации для территориальных органов Роскомнадзора по ведению Реестра, которые позволили на начальном этапе не допустить значительного количества ошибок, связанных с предоставлением данной услуги. В соответствии с ч. 2.1. ст. 25 Федерального закона «О персональных данных» Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г., обязаны представить в Уполномоченный орган сведения, указанные в п.п. 5, 7.1, 10 и 11 ч. 3 ст. 22 Федерального закона «О персональных данных», а именно: - правовое основание обработки персональных данных; - фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; - сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; - сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации, не позднее 1 января 2013 г. По состоянию на 31 декабря 2012 г. указанные сведения представили 63576 Операторов, что составляет 24% от количества Операторов, сведения о которых внесены в Реестр. Сведения не представлены: - государственными органами – 8534, что составляет 94% от их количества, сведения о которых внесены в Реестр; - муниципальными органами – 34202, что составляет 94% от их количества, сведения о которых внесены в Реестр; - юридическими лицами – 145460, что составляет 69% от их количества, сведения о которых внесены в Реестр; - физическими лицами – 10417, что составляет 58% от их количества, сведения о которых внесены в Реестр. В связи с чем, Уполномоченным органом в адрес органов исполнительной власти субъектов Российской Федерации, профессиональных объединений, Операторов направлены информационные письма о необходимости предоставления сведений, указанных в п.п. 5, 7.1, 10 и 11 ч. 3 ст. 22 Федерального закона «О персональных данных». Следует отметить положительную тенденцию с количеством Уведомлений, поступающих от кредитных организаций. Так, если по состоянию на 1 января 2012 г. в Реестре было зарегистрировано 49% кредитных организаций, то по состоянию на 31 декабря 2012 г. их количество составило 82% от списка кредитных организаций, зарегистрированных на территории Российской Федерации (по данным Банка России, http://www.cbr.ru/credit/). Положительная динамика стала возможной благодаря сотрудничеству Уполномоченного органа с Центральным банком Российской Федерации, с профессиональными общественными объединениями в банковской сфере (Ассоциация российских банков, Ассоциация региональных банков России), а так же требованием стандарта Банка России СТО БР ИББС-1.0 о необходимости уведомления Уполномоченного органа об обработке персональных данных организациями банковского сектора. На интернет-сайте Банка России (http://www.cbr.ru/credit/Gubzi_docs/) в декабре 2012 года был размещен список организаций банковской сферы Российской Федерации, которые приняли СТО БР ИББС-1.0 и направили информацию в ЦБ РФ. Вместе с тем, только около 70% (371) организаций выполнили обязательное требование СТО БР ИББС-1.0 и направили уведомление об обработке персональных данных в Уполномоченный орган. 5. Нормативно-правовое обеспечение деятельности Уполномоченного органа и совершенствование законодательства Российской Федерации в области персональных данных Прошедший год стал для Уполномоченного органа годом полного цикла подготовки и внесения предложений о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных. В 2012 году, в соответствии с планом организации законопроектных работ Минкомсвязи России, Уполномоченным органом разработан законопроект, предусматривающий внесение изменений в Кодекс Российской Федерации об административных правонарушениях. Данный законопроект предполагает ввести новые составы административных правонарушений, связанных с незаконной обработкой персональных данных, в том числе имеющей целью извлечение коммерческой выгоды. В случае принятия законопроекта, ответственность за нарушение требований законодательства в области персональных данных будет наступать не только за неисполнение обязательных требований, установленных Федеральным законом «О персональных данных» и иными нормативными правовыми актами, но и будет дифференцироваться в зависимости от степени вреда, причиненного субъекту персональных данных. Законопроектом предусмотрено введение дополнительных составов административных правонарушений в сфере персональных данных. Максимальный размер штрафных санкций с учетом международного опыта возрастет с 10 000 рублей до 700 000 рублей. Полномочия по рассмотрению дел об административных правонарушениях, предусмотренных статьями 13.11, 13.11.1-13.11.3, предлагается передать Уполномоченному органу. В течение 2012 года законопроект прошел обязательные публичные процедуры общественного обсуждения и оценки регулирующего воздействия, согласован со всеми заинтересованными органами власти и в январе 2013 года установленным порядком направлен в Минкомсвязи России для внесения в Правительство Российской Федерации. Скорейшее принятие законопроекта позволит кардинально изменить ситуацию в области защиты прав субъектов персональных данных и обеспечить соблюдение принципа неотвратимости наказания на нарушения законодательства в этой сфере. Еще одна инициатива напрямую связана с деятельностью Уполномоченного органа по пресечению незаконного распространения персональных данных граждан в сети Интернет. В рамках реализации указанной деятельности Роскомнадзор взаимодействует как с уполномоченными органами иностранных государств, так и с регистраторами доменных имен, посредством направления материалов, подтверждающих факт незаконного распространения персональных данных, с просьбой оказания содействия в восстановлении нарушенных прав российских граждан. Сложившаяся практика взаимодействия с иностранными уполномоченными органами или организациями, регулирующими либо координирующими деятельность национальных сегментов сети Интернет, уже имеет свои положительные результаты и они достаточно высоки. Для пресечения противоправной деятельности интернет-ресурсов, расположенных за пределами Российской Федерации, Уполномоченным органом направлены письма с просьбой об оказании содействия в прекращении делегирования доменных имен в адрес уполномоченных органов Франция, Германии, Канады, Казахстана, Кыргызстана, Молдовы, Украины, Республики Беларусь, а также регистраторов доменных имен, осуществляющих деятельность на территории Франции, Индии, Китая, Австралии, Содружества Багамских островов и США. В 2012 году по результатам рассмотрения материалов Роскомнадзора иностранными регистраторами прекращено делегирование 22 доменных имен, в 17 случаях информация, содержащая персональные данные, была удалена. Всего за последние два с половиной года права российских граждан, нарушенные действиями владельцев иностранных интернет-ресурсов, восстановлены в 70 случаях (диаграмма 14). Однако, практически в трети случаев, ответная реакция отсутствует. Диаграмма 14  В связи с чем, Роскомнадзором были подготовлены предложения по внесению изменений в Гражданский процессуальный кодекс Российской Федерации в части, касающейся установления исключительной подсудности подобных споров судам Российской Федерации. Предложения Уполномоченного органа реализованы в Федеральном законе от 7 мая 2013 г. № 99-ФЗ. Указанные изменения требуют выработки единых унифицированных подходов к осуществлению судебно-претензионной деятельности, организации взаимодействия с заинтересованными органами власти и иными лицами. В связи с чем, в июле 2013 г. Уполномоченный орган утвердит методические рекомендации по судебным спорам с владельцами иностранных интернет-ресурсов, незаконно обрабатывающих персональные данные российских граждан, а также разработает порядок реализации решений российских судов по указанным выше судебным спорам на территориях иностранных государств-по месту нахождения ответчиков-иностранных лиц, утверждение которого запланировано до 1 августа 2013 г. В соответствии с пунктом 7 предложений, утвержденных поручением Заместителя Председателя Правительства Российской Федерации от 3 ноября 2011 г. №ВВ-П39-7752, Уполномоченному органу было поручено разработать проект приказа об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, и обеспечивающих адекватную защиту прав субъектов персональных данных. При подготовке указанного перечня стран Уполномоченный орган руководствовался подходами Европейского Союза к передаче персональных данных в страны, не присоединившиеся к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, и оценке адекватности защиты персональных данных на территории стран Европейского Союза. В соответствии с этими подходами анализ адекватной защиты должен состоять из двух основных элементов: оценки содержания применяемых иностранным государством правил и средств для их эффективного применения. Таким образом, оцениваемое иностранное государство должно иметь специальное законодательство, содержащее положения, необходимые для соответствующего уровня защиты личных данных физических лиц. Реализация законодательных норм должна быть гарантирована специальными и упрощенными средствами судебной защиты прав граждан, наличием контролирующего (наблюдательного) органа, предпринимающего все меры для выполнения целей и положений законодательства, и наделенного соответствующими полномочиями, а также административными и уголовными санкциями за нарушение требований законодательства. Уполномоченный орган, в том числе с учетом указанных подходов, при подготовке перечня иностранных государств, руководствовался следующими критериями: 1) наличие национального законодательства и (или) соответствующих положениям Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных утвержденных отраслевых правил (стандартов) в области обработки и защиты персональных данных, содержащих основные принципы и правила обработки и защиты персональных данных, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения персональных данных, обрабатываемых как с использованием средств автоматизации, так и без использования таких средств; 2) наличие санкций и средств правовой защиты в случае нарушения норм национального законодательства и положений отраслевых правил (стандартов) в области защиты персональных данных; 3) наличие уполномоченного органа, на который возложены функции по осуществлению контроля за соблюдением требований законодательства в области персональных данных и защите прав и законных интересов граждан-субъектов персональных данных. Помимо основных критериев, сформированных с учетом европейского опыта, Уполномоченный орган использовал дополнительный критерий «Оказание содействия в пресечении незаконной деятельности по обработке персональных данных на подведомственной территории и (или) в восстановлении нарушенных прав и законных интересов граждан Российской Федерации-субъектов персональных данных на основании обращения уполномоченного органа по защите прав субъектов персональных данных в Российской Федерации». В соответствии с указанными критериями в перечень вошло 19 иностранных государств: Австралия-Австралийский союз, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили, Специальный административный район Гонконг Китайской Народной Республики, Швейцарская Конфедерация. Перечень прошел процедуру общественного обсуждения и утвержден приказом Роскомнадзора от 15 марта 2013 г. №274 (зарегистрирован в Минюсте России 19 апреля 2013 г., №28212). Во исполнение постановления Правительства Российской Федерации от 21 марта 2012 г. № 211, утвердившего перечень мер, направленных на обеспечение выполнения требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов операторами, являющимися государственными и муниципальными органами, и закрепившего за Уполномоченным органом обязанность установить требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных государственных и муниципальных органов, подготовлены Методические рекомендации по обезличиванию персональных данных. Методические рекомендации прошли процедуру общественного обсуждения на заседании Консультативного Совета при уполномоченном органе, утверждены приказом Роскомнадзора от 27 марта 2013 г. №326. В соответствии с подпунктом "б" пункта 1 Перечня мер, направленных на исполнение государственными или муниципальными органами закона «О персональных данных» и подзаконных нормативных правовых актов (Перечень утвержден постановлением Правительства РФ от 21 марта 2012 г. № 211) Роскомнадзором разработано Положение об обработке и защите персональных данных в центральном аппарате Федеральной службы. Положение утверждено приказом Роскомнадзора от 3 декабря 2012 г. № 1255. В рамках планирования законопроектной деятельности Министерства связи и массовых коммуникаций Российской Федерации на 2013 год Уполномоченным органом в Минкомсвязь России направлены инициативы по внесению изменений в законодательные акты в части вопросов, касающихся деятельности в области персональных данных следующего содержания: 1. О внесении изменений в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в части внесения в пункт 4 статьи 1 Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» дополнений, устанавливающих особенности организации и проведения проверок в области персональных данных в части, касающейся вида, предмета, оснований проведения указанных проверок, сроков и периодичности их проведения, уведомлений о проведении внеплановых выездных проверок и согласования с органами прокуратуры); 2. О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации» (в части внесения в Федеральный закон «О персональных данных» изменений и дополнений, касающихся минимизации перечня персональных данных, запрашиваемых операторами, осуществляющими обработку персональных данных, у субъектов персональных данных, и установления обязанности оператора информировать уполномоченный орган по защите прав субъектов персональных данных о допущенных им фактах незаконного раскрытия (распространения) персональных данных неопределенному кругу лиц, в том числе в сети Интернет; 3. О внесении изменений в Кодекс Российской Федерации об административных правонарушениях, в части дополнения статьи 19.7 «Непредставление сведений (информации)» дополнительным составом административного правонарушения - за непредставление оператором информации уполномоченному органу по защите прав субъектов персональных данных о допущенных им фактах незаконного раскрытия (распространения) персональных данных неопределенному кругу лиц, в том числе в сети Интернет. Минкомсвязью России, осуществляющей функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, в План организации законопроектных работ на 2013 год, утвержденный приказом Минкомсвязи России от 18 января 2013 г. № 5, были включены только предложения, касающиеся внесения изменений в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». |
Похожие:
 | Итоги государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области... |  | Итоги государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области... |
| Итоги государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской... | | Информация о персональных данных хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.... |
| Информация о персональных данных хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.... | | Информация о персональных данных хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.... |
| Осуществление контроля и надзора за соблюдением законодательства Российской Федерации, в том числе международных договоров Российской... | | Информация о персональных данных хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.... |
| Государственной функции по осуществлению государственного контроля (надзора) за соблюдением требований законодательства российской... | | Очия по осуществлению федерального государственного лесного надзора (лесная охрана) и федерального государственного пожарного надзора... |