Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2010 год

СОДЕРЖАНИЕ

• 
  итоги государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;
  
• 
  итоги деятельности по ведению реестра операторов, осуществляющих обработку персональных данных;
  
• 
  итоги рассмотрения обращений граждан - субъектов персональных данных и юридических лиц;
  
• 
  итоги работы консультативно-совещательных структур по вопросам защиты прав субъектов персональных данных;
  
• 
  итоги международной деятельности;
  

плановые

проверки

внеплановые

проверки



Рис. . Соотношение плановых и внеплановых проверок в области персональных данных
По результатам проведенных проверок выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях.

Выявленные нарушения были квалифицированы по ст. 19.7 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ), предусматривающей ответственность за непредставление в Уполномоченный орган уведомления об обработке персональных данных, а равно, как и за несоответствие сведений, содержащихся в указанном уведомлении, фактической деятельности Оператора, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.

По результатам рассмотрения указанных материалов проверок судами вынесены постановления о привлечении Операторов к административной ответственности в виде штрафа на общую сумму 4 480 000 рублей. К примеру, за 2009 год, общая сумма наложенных штрафов составила всего 75 тысяч рублей, что почти в 60 раз меньше показателей 2010 года.

В 506 случаях материалы проверок были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении в отношении Операторов дел об административном правонарушении по ст. 13.11 КоАП РФ, предусматривающей ответственность за нарушение установленного Федеральным законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Органами прокуратуры, по результатам рассмотрения представленных материалов, в более чем 60 % случаев были приняты решения об их направлении в суд или о принятии мер прокурорского реагирования, в том числе, в форме внесения представлений об устранении выявленных нарушений.

Необходимо отметить, что с 2008 года остается неизменной группа категорий Операторов, допускающих наибольшее количество нарушений законодательства Российской Федерации в области персональных данных при осуществлении профессиональной деятельности. Это кредитные организации и организации жилищно – коммунального хозяйства.

Операторами чаще всего нарушаются следующие требования Федерального закона:

а) ч. 3, ч. 7 ст. 22 - в части несоответствия сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности Оператора;

б) ч. 1 ст. 6 - обработка Оператором персональных данных без согласия субъектов персональных данных;

Пример

В ходе проведения плановой выездной проверки в отношении ОАО «ДК Ленинского района» (Нижегородская область) должностными лицами Уполномоченного органа были установлены факты передачи персональных данных граждан без их соответствующего согласия в ООО «Центр СБК» в целях взыскания образовавшейся задолженности, что нарушило требование ч. 1 ст. 6 Федерального закона «О персональных данных». По данному факту органами прокуратуры, на основании представленной Уполномоченным органом информации, внесено представление об устранении выявленных нарушений и возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения судом материалов дела принято решение о привлечении ОАО «ДК Ленинского района» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.

в) ч. 4 ст. 9 – в части несоответствия содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;

Пример

В типовой форме согласия на обработку персональных данных, утвержденной ЗАО «Интурцентр», отсутствовали перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, срок, в течение которого действует согласие, а также порядок его отзыва. По данному факту Уполномоченным органом было выдано предписание об устранении выявленного нарушения, исполненное Оператором в установленные сроки.

г) п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся непринятия мер по исключению несанкционированного доступа к обрабатываемым персональным данным.

Пример

Территориальным управлением Уполномоченного органа по Чувашской Республике была проведена плановая выездная проверка в отношении Коммерческого банка «Объединенный банк Республики». В ходе проведения контрольно – надзорного мероприятия выявлено нарушение в части, касающейся отсутствия у Оператора утвержденного перечня лиц, имеющих доступ к персональным данным, обрабатываемым без использования средств автоматизации. Кроме того, Оператором не был определен порядок и места хранения персональных данных субъектов. По данному факту органами прокуратуры возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении Коммерческого банка «Объединенный банк Республики» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.

Актуальными остаются вопросы, связанные с избыточностью обрабатываемых персональных данных субъекта персональных данных применительно к целям обработки.

Проблема избыточности обрабатываемых персональных данных по отношению к цели обработки многогранна, и, чаще всего, выражена в форме предоставления субъектом персональных данных по требованию Оператора дополнительной информации, в том числе специальных категорий персональных данных (информация о судимости, национальной принадлежности) и сведений о близких родственниках, при оказании определенного вида услуг, либо при приеме на работу. При этом, зачастую, указанный сбор дополнительной информации не установлен законодательством Российской Федерации, а обусловлен принципом собственной целесообразности Оператора, что является грубым нарушением законодательства Российской Федерации в области персональных данных.

Пример

Территориальным органом Уполномоченного органа по Оренбургской области в ходе проведения проверки в отношении ОАО «Оренбургэнергосбыт» были установлены случаи сбора указанным Оператором персональных данных лиц, с которыми заключены договоры об оказании услуг энергоснабжения, избыточных по отношению к целям обработки, в том числе сведения о документе, устанавливающем право владения жилым помещением. По данному факту Уполномоченным органом было выдано предписание об устранении выявленного нарушения, исполненное Оператором в установленные сроки.

Одним из вариантов решения указанной проблемы может стать закрепление на законодательном уровне унифицированного для всех категорий Операторов минимального перечня обрабатываемых персональных данных граждан.

Необходимо отметить, что в 2010 году Уполномоченный орган выступил с соответствующей инициативой в ходе работы в составе межведомственной рабочей группы по гармонизации и совершенствованию законодательства в сфере персональных данных при Минкомсвязи России. Указанные предложения предполагали установить предельно допустимую совокупность персональных данных, обрабатываемую Оператором при осуществлении своей профессиональной деятельности. Исключения предусматривались только для случаев, установленных федеральными законами.

Принимая во внимание актуальность проблемы, связанной с обработкой персональных данных граждан в объеме не соответствующем целям обработки, представляется целесообразным дополнить ст. 6 Федерального закона положением, устанавливающим обязанность Оператора осуществлять обработку персональных данных в объеме, установленном федеральными законами и нормативными правовыми актами Российской Федерации, что существенно ограничит возможность Операторов самостоятельно устанавливать перечень персональных данных, предполагаемых к обработке, а также позволит исключить возможность отказа Операторов в предоставлении гражданину услуг на основании непредставления дополнительной персональной информации, не соответствующей целям обработки.

Как и в прошлые годы, Уполномоченным органом особое внимание уделяется вопросам соблюдения прав субъектов персональных данных при передаче Операторами их персональных данных третьим лицам.

Наиболее активно указанные формы деятельности реализуется Операторами в целях осуществления привлеченными организациями взыскания с субъекта персональных данных образовавшейся финансовой задолженности, либо для оказания услуг, в рамках которых осуществляется обработка персональных данных граждан (распечатка и доставка квитанций об оплате и т.д.).

Вместе с тем, если в 2009 году основный объем нарушений, допускаемый Операторами при передаче персональных данных третьим лицам, касался отсутствия у Оператора согласия субъекта персональных данных, то в 2010 году – большая часть нарушений сводилась к отсутствию в договорах об оказании соответствующих услуг существенных условий конфиденциальности и безопасности обрабатываемых персональных данных, а также неисполнения привлеченными лицами требований ч. 3 ст. 18 Федерального закона в части, касающейся не уведомления субъекта о начале обработки его персональных данных.

Пример

В Удмуртской Республике ООО «Управляющая компания «ЭКРАН – ГОРОД», получив персональные данные собственников жилых помещений от организации – застройщика, не уведомила указанных лиц о начале обработки их персональных данных. Управлением Уполномоченного органа по Удмуртской Республике по данному факту выдано предписание об устранении выявленных нарушений, соответствующие материалы были направлены в органы прокуратуры. По результатам их рассмотрения Оператору органами прокуратуры было внесено представление о недопустимости нарушения требований Федерального закона.

В 2010 году распространение получила практика привлечения Операторами сторонних организаций для продвижения своих товаров и услуг. При этом, главной особенностью указанной практики является использование привлекаемыми организациями при продвижении товаров и услуг Оператора собственных информационных баз персональных данных граждан, зачастую незаконного происхождения. Это является грубейшим нарушением законодательства Российской Федерации в области персональных данных, поскольку, как показывает правоприменительная практика, у привлекаемых организаций в большинстве случаев отсутствует соответствующее согласие граждан, как общее, установленное ст. 9 Федерального закона, так и согласие, предусмотренное ст. 15 указанного Федерального закона.

Пример

В 2010 году рост числа жалоб граждан вызвала рассылка в их адрес информации, содержащей рекламу банковских услуг ЗАО «Тинькофф Кредитные Системы». Особенностью данной ситуации стало то, что ранее граждане, в адрес которых поступала рассылка, не были связаны с Банком договорными обязательствами и не пользовались его услугами. В ходе рассмотрения Уполномоченным органом обращений граждан было установлено, что данную рассылку осуществляли организации «Дата Менеджмент», «Дата Суарес» на основании договора с ЗАО «Тинькофф Кредитные Системы» с использованием собственных баз данных неизвестного происхождения. На момент составления Отчета Уполномоченным органом в адрес правоохранительных органов были направлены письма о содействии в установлении местонахождения указанных организаций для принятия соответствующих мер реагирования.

Сегодня резко возросли объемы информационных потоков в информационно – телекоммуникационной среде, что в первую очередь связано с расширением перечня услуг и форм интерактивного досуга, предлагаемых в сети «Интернет».

Граждане, воспользовавшиеся соответствующими предложениями, предоставляют владельцам сайтов свои персональные данные.

Вместе с тем, не все владельцы сайтов обеспечивают соблюдение требований конфиденциальности и безопасности в объеме, предусмотренном законодательством Российской Федерации. Как результат, в сети Интернет появляются предложения о продаже различных баз данных, содержащих персональные данные граждан.

Так, в 2010 году был установлен факт продажи базы данных, содержащей резюме граждан, предоставленных ими при составлении заявки на различных интернет – сайтах, предоставляющих услуги по трудоустройству и подбору персонала, таких как www.jobinmoscow.ru, www.piterjob.ru. Уполномоченным органом по результатам контрольно – надзорных мероприятий были установлены владельцы указанных интернет – сайтов и приняты соответствующие меры реагирования, в том числе по их привлечению к административной ответственности.

Подводя итоги контрольно – надзорной деятельности в 2010 году необходимо отметить, что, несмотря на определенные успехи в части приведения деятельности Операторов в соответствие с требованиями Федерального закона, общий уровень нарушений, по – прежнему, остается высоким. Одними из главных проблем эффективности осуществления государственного контроля (надзора) в области персональных данных остаются отсутствие в законодательстве Российской Федерации положений, устанавливающих конкретные составы административных правонарушений в области персональных данных, а также действие трехмесячного срока давности по нарушениям в области персональных данных, что делает затруднительным привлечение к административной ответственности Операторов, осуществляющих обработку персональных данных с нарушением требований Федерального закона.

2.2. Итоги деятельности по рассмотрению обращений граждан (субъектов персональных данных) и юридических лиц, итоги судебно-претензионной работы
В целях защиты охраняемых Федеральным законом прав и интересов человека и гражданина при обработке его персональных данных Уполномоченным органом особое внимание уделяется рассмотрению обращений граждан.

С момента возложения полномочий по защите прав субъектов персональных данных в Уполномоченный орган поступило 2440 обращений, в том числе:

в 2008 году - 146;

в 2009 году - 465;

в 2010 году - 1829.

Динамика поступления обращений в Уполномоченный орган представлена на рис. 2.


Рис.2 Динамика поступления обращений в Уполномоченный орган
В большинстве случаев граждане обращаются по вопросам нарушения Операторами требований Федерального закона «О персональных данных» в части обработки их персональных данных без соответствующего согласия, незаконной передачи третьим лицам, а также по фактам нарушения условий конфиденциальности (опубликование, размещение в общественных местах различных списков, перечней, содержащих персональные сведения).

Наибольшее число обращений поступают на действия операторов связи, организаций жилищно – коммунального хозяйства, средств массовой информации, кредитных организаций. Вместе с тем, в большинстве случаев, жалобы заявителей на действия операторов связи и средств массовой информации не подтверждаются.

Необходимо отметить отраслевую специфику предмета жалоб граждан. Так, для сферы жилищно – коммунального хозяйства наиболее распространенными являются жалобы на действия, связанные с предоставлением доступа неограниченного круга лиц к персональным данным граждан (размещение в общественных местах различных списков, содержащих персональные данные граждан, имеющих задолженность по оплате коммунальных услуг).

Средства массовой информации чаще всего нарушают требования Федерального закона в части, касающейся опубликования персональной информации без соответствующего согласия.

В деятельности кредитных организаций чаще всего подтверждаются факты неправомерной передачи персональных данных граждан третьим лицам (в частности, коллекторским агентствам), а также нарушение требований Федерального закона при продвижении своих услуг без предварительного согласия граждан.

Наконец, у операторов связи, чаще всего обжалуются действия, связанные с передачей персональных данных третьим лицам, с заключением привлеченными организациями фиктивных договоров об оказании услуг связи.

Тематика обращений в Уполномоченный орган включает в себя как обращения граждан и юридических лиц о разъяснении положений законодательства Российской Федерации в области персональных данных (396 обращений (22 %)), так и жалобы граждан на неправомерные действия Операторов (1433 обращения (78 %)).

Из 1433 жалоб, по 506 (36 %), соответствующие материалы были направлены в органы прокуратуры для привлечения виновных к административной ответственности, по результатам рассмотрения 596 (42 %) обращений факты нарушений не установлены, в 157 (11 %) случаях Операторы в добровольном порядке приняли меры по восстановлению нарушенных прав и законных интересов граждан.

Уполномоченным органом активно реализуются меры как профилактического, так и пресекательного характера, в том числе по предотвращению и прекращению распространения персональных данных в общественных местах, особенно на средствах наружной рекламы. В случаях выявления таких фактов по требованию Уполномоченного органа указанная информация оперативно удалялась.

Во втором полугодии 2010 года по результатам рассмотрения обращений граждан, а также по итогам мониторинга деятельности интернет-сайтов, в суды направлено 21 исковое заявление с требованием уничтожить персональные данные граждан, незаконно размещенных на сайтах в сети Интернет в доменной зоне «.ru».

В отношении владельцев 16 доменных имен требования Уполномоченного органа были удовлетворены. Исследовав материалы, представленные Уполномоченным органом, суд признал действия по обработке персональных данных граждан Российской Федерации на указанных сайтах нарушающими права неопределенного круга лиц (субъектов персональных данных) на неприкосновенность частной жизни.

На основании решения судов уничтожены персональные данные, незаконно размещенные на сайтах: www.zamershik.ru, www.meblek.ru, www.gorstat.ru, www.kowro.ru, www.barlim.ru, www.wenti.ru, www.09baze.ru, www.mercedes-msk.ru и др.


Подводя итоги указанной деятельности, необходимо отметить, что законодательство Российской Федерации предоставляет гражданину достаточно широкие возможности для защиты своих прав.

Так, гражданин может самостоятельно защитить свои интересы, обратившись напрямую к Оператору с требованием устранить нарушения, связанные с обработкой его персональных данных. Предусмотрена возможность обращения в суд, в порядке, предусмотренном гражданским процессуальным законодательством.

Но, как показывает практика, в подавляющем большинстве случаев, наши граждане предпочитают обращаться в Уполномоченный орган. Это не только высшая оценка эффективности деятельности, но и главное подтверждение тому, что сегодня Роскомнадзор обладает всеми необходимыми ресурсами для защиты прав и законных интересов субъектов персональных данных.
2.3. Итоги деятельности по ведению реестра операторов,

осуществляющих обработку персональных данных
Ведение реестра Операторов (далее – Реестр), является одной из приоритетных задач Роскомнадзора.

В октябре 2009 года на Портале персональных данных в сети Интернет был реализован электронный сервис, предоставляющий возможность интерактивного заполнения Оператором электронной формы уведомления об обработке персональных данных с последующим ее направлением в Единую информационную систему Роскомнадзора для внесения сведений об Операторе в Реестр.

Растущий интерес к электронной форме взаимодействия подтверждается цифрами. Если в октябре 2009 года через Портал поступило всего 123 уведомления, что составило 2,6 % от общего количества Операторов, включенных в Реестр в указанном периоде, то по состоянию на 31 декабря 2010 г. эта цифра возросла до 45,8 %.

Так же, наряду с интерактивным заполнением электронной формы уведомления об обработке персональных данных, на официальном сайте Роскомнадзора и Портале персональных данных реализована возможность заполнения и направления электронных заявлений о предоставлении выписки и исключении из Реестра.

По состоянию на 31 декабря 2010 г. этой услугой воспользовались 468 заявителей, то есть 24 % от общего числа подавших заявления.

В результате активизации Роскомнадзором в 2010 году информационно-публичной деятельности в Реестре зарегистрировано около 100 тыс. Операторов, внесено более четырех тысяч изменений в сведения об Операторах в Реестре, исключено из Реестра 742 Оператора.

По состоянию на 31 декабря 2010 г. в реестре зарегистрировано более 170 тысяч Операторов.

Динамика формирования Реестра представлена на рис. 3.


- государственных органов – 10278;

- муниципальных органов – 34661;

- юридических лиц – 118913;

- физических лиц – 6165.