Роман Шередин: «Выстроена целостная система защиты персональных данных»

Версия для печати

20 июля 2012 года

 

Журнал «Радиочастотный спектр», № 6 (24) 2012 г.

Роскомнадзор помимо исполнения полномочий в сфере связи и массовых коммуникаций является Уполномоченным органом по защите прав субъектов персональных данных Российской Федерации. С 2008 года Служба ведет практическую надзорную деятельность в этой сфере, проверяя исполнение законодательства как органами власти и бюджетными организациями, так и бизнес-структурами, в том числе операторами связи.

О требованиях законодательства о персональных данных, о практике исполнения его операторами связи, различных аспектах надзорной деятельности в этой сфере в интервью «РС» рассказывает заместитель руководителя Службы Роман Шередин.

Роман Валериевич, защита персональных данных – сравнительно новая для России сфера деятельности. Практическая работа ведется только четыре года. Как Вы оцениваете этот период? Создана ли система, позволяющая говорить о том, что персональные данные граждан России надежно защищены, в том числе те, которые собирают и обрабатывают операторы  связи?

Вы правы, это, действительно новая для страны сфера деятельности. Никогда прежде проблемы безопасности персональных данных не рассматривались в комплексе, тем более в контексте защиты прав граждан – субъектов персональных данных. Поэтому после принятия в 2006 году закона «О персональных данных» пришлось не только выстраивать систему правоотношений и правоприменения в этой сфере, но и формировать структуры, призванные этой работой заниматься.

Оценивая достигнутые в этот период результаты, а наша практическая деятельность, как Вы правильно сказали, началась в 2008 году, можно говорить, что Роскомнадзором в качестве Уполномоченного органа по защите прав субъектов персональных данных выстроена целостная система исполнения полномочий в данной сфере. Конечно, она требует совершенствования – как в части нормативной базы, так и в правоприменительном аспекте. Мир развивается, появляются новые вызовы, требующие иных подходов к информационной безопасности, в том числе в сфере персональных данных. Наша задача оперативно реагировать и обеспечивать в качестве органа государственной власти действенную защиту прав наших граждан в области персональной информации.

Главное, что удалось добиться за эти годы – вывести вопросы обеспечения безопасности персональных данных на принципиально иной уровень. Сегодня эта тема постоянно на слуху – о ней говорят, пишут. Как следствие - всё больше граждан понимает, какую ценность представляют их собственные персональные данные, какие угрозы несет их несанкционированное распространение. Об этом можно судить, например, по взрывному росту обращений граждан. Если в  2009 году их поступило только 465, то в 2011 году – уже около четырех тысяч.

При этом надо понимать: увеличение количества жалоб не свидетельствует о том, что в сфере персональных данных стало больше нарушений (в 2011 году в ходе проверок подтвердилось лишь треть жалоб). Просто люди сегодня более активно отстаивают свои права и интересы, зная при этом, какой орган власти способен им помочь.

 

Не могли бы Вы привести статистические данные, характеризующие деятельность Уполномоченного органа в этот период?

 

За период реализации возложенных полномочий (с 2008 года по 1 июня 2012 года) Роскомнадзором проведены 4673 проверки в отношении операторов, осуществляющих обработку персональных данных. По результатам проведенных контрольно-надзорных мероприятий должностными лицами территориальных органов Роскомнадзора операторам, осуществляющим обработку персональных данных, выдано 5386 предписаний об устранении выявленных нарушений, составлено и направлено в суды 10385 протоколов об административном правонарушении, наложено административных штрафов на общую сумму более 16,7 млн. рублей.      

Что касается непосредственно операторов связи, то только в 2011 году в их отношении проведено 364 проверки, по результатам которых выдано 174 предписания об устранении выявленных нарушений.

Вместе с тем, мы считаем, что главный результат, которого мы добились, - не возросшие суммы штрафов, а снижение общего объема выявленных нарушений у категорий операторов, обрабатывающих персональные данные значительного числа граждан. Например, если сравнивать статистику нарушений, допущенных операторами связи в 2010 и 2011 годах, то можно констатировать 25-процентное снижение объема выявленных нарушений.

Улучшение ситуации мы отмечаем и по динамике поступления обращений граждан. Так, если в 2010 году в Роскомнадзор поступило и рассмотрено около 220 жалоб, связанных с возможным нарушением операторами связи законных прав и интересов субъектов персональных данных, то в 2011 году - менее 170.

Считаю, что эта положительная тенденция является хорошим результатом нашей совместной работы. Операторы связи стали с большей ответственностью подходить к исполнению норм и требований законодательства о персональных данных. И это можно только приветствовать.

 

Какие в основном нарушения допускают операторы связи?

 

Итоги анализа материалов проверок и результатов рассмотрения обращений граждан показывают, что операторы связи допускают нарушения требований постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Нарушения связаны с отсутствием мест хранения персональных данных и утвержденного, а в отдельных случаях - актуального, перечня лиц, осуществляющих обработку персональных данных. Также нарушаются требования ч. 3, ч. 7 ст. 22 Федерального закона «О персональных данных» в части несоответствия сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности; ч. 4 ст. 6 – отсутствия условий обеспечения конфиденциальности и безопасности в договорах - поручениях на обработку персональных данных; ч. 4 ст. 9 – в части несоответствия содержания письменного согласия на обработку персональных данных требованиям Федерального закона «О персональных данных», а также ч. 1 ст. 7 - нарушаются требования конфиденциальности при обработке персональных данных.

Необходимо отметить, что в 2011 году изменился предмет жалоб. Раньше граждане жаловались в основном на обработку персональных данных без их согласия и заключение дилерскими организациями фиктивных договоров на оказание услуг связи. Сейчас же основной объем жалоб связан с передачей персональных данных абонентов в коллекторские агентства для взыскания образовавшейся задолженности.

Практика показывает, что операторами связи в основном используется так называемая агентская схема, когда на основании соответствующего договора-поручения привлекается сторонняя организация для оказания услуг по взысканию задолженности.

Позиция Роскомнадзора в этом вопросе определена и является однозначной: при использовании агентской схемы операторам связи необходимо неукоснительно соблюдать требования 6-ой статьи Закона «О персональных данных» и получать письменное согласие абонента. При этом, согласие абонента должно содержать указание цели передачи персональных данных третьим лицам. В противном случае, данная передача будет признана незаконной.

Нарушения допускаются и при продвижении услуг и продуктов операторов связи. В первую очередь − при привлечении третьих лиц для оказания услуг по рассылке материалов рекламного характера. Зачастую привлекаемые организации располагают базами персональных данных, собранными с нарушением действующего законодательства − без согласия граждан на получение рекламных рассылок. Напомню, что такого согласия, которое должно быть оформлено отдельным письменным соглашением, требует ст. 15 Закона «О персональных данных».

Поэтому необходимо тщательно выбирать партнёров для продвижения услуг. Лучше предварительно убедиться, что привлекаемая организация отвечает предъявляемым требованиям − как минимум, имеет согласие клиентов, обеспечивает надёжную защиту их персональной информации и ведёт обработку персональных данных в соответствии с действующим законодательством.

 

А какова ситуация с исполнением нормы закона, обязывающей операторов персональных данных направлять в Роскомнадзор уведомление о ведении этой деятельности  с целью регистрации в соответствующем реестре?

 

В соответствии с требованиями Закона, каждый оператор до начала обработки персональных данных обязан подать уведомление об обработке персональных данных в уполномоченный орган, если он не попадает под категорию исключений, предусмотренных Законом. Операторы связи под данные исключения, как правило, не подпадают.

На сегодняшний день в реестре зарегистрировано более 240 тыс. операторов, осуществляющих обработку персональных данных. В их числе - 2880 компаний, оказывающих услуги связи. Понятно, что это далеко не все операторы связи, которые обязаны уведомить уполномоченный орган об обработке ими персональных данных.

Сведения, содержащиеся в реестре, являются общедоступными, и любой желающий может получить доступ к информации о деятельности любого оператора. Реестр размещен на официальном интернет-сайте Роскомнадзора rsoc.ru, роскомнадзор.рф или на Портале персональных данных pd.rsoc.ru.

Важно понимать, что направление уведомления об обработке персональных данных следует рассматривать как показатель того, что данная организация является законопослушной, как меру, направленную на повышение к ней доверия граждан. То есть, это выгодно, прежде всего, самой организации.

 

На каких основаниях организуются плановые и внеплановые проверки? Как операторам связи следует готовиться к приходу инспекторов Роскомнадзора?

 

Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» предусматривает как плановые, так и внеплановые проверки.

Основания, порядок и сроки проведения проверок, перечень проверяемых документов предусмотрены Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Регламент прошел процедуру государственной регистрации в Минюсте и опубликован на интернет-сайте Роскомнадзора.

Особо отмечу, что проверке подлежат все операторы персональных данных, независимо от того, занесены они в реестр или нет.

Конечно же, в план проверок, в первую очередь, включаются те операторы, в отношении которых в течение года поступали жалобы, операторы не представившие уведомления об обработке персональных данных, при этом деятельность которых не подпадает под предусмотренные Законом исключения и т.д.

Кроме того, основанием для плановой проверки является истечение трех лет со дня государственной регистрации юридического лица или индивидуального предпринимателя или окончания проведения последней плановой проверки.

Помимо планового осуществляется и внеплановый контроль, который направлен на проверку фактов возможного нарушения прав граждан, содержащихся в обращениях, поступивших в Роскомнадзор, а также на обеспечение контроля за исполнением ранее выданных предписаний об устранении выявленных нарушений.

Главная рекомендация операторам в отношении которых запланирована проверка в области персональных данных это приведение своей деятельности в строгое соответствие законодательству в области персональных данных.

 

Какие первоочередные меры, помимо подачи уведомления, должен принять оператор?

 

Перечень мер, необходимый для обеспечения выполнения оператором требований закона установлен ст. 18.1 и 19 новой редакции Закона.

К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

При этом оператор самостоятельно определяет перечень мер, необходимых и достаточных для исполнения законодательства о персональных данных с учетом своей профессиональной деятельности.

Что касается операторов, являющихся государственными или муниципальными органами, то перечень мер, направленных на выполнение закона «О персональных данных», утвержден постановлением Правительства Российской Федерации от 21.03.2012 № 2011.

 

В ходе проверки выявлено нарушение или нарушения. Какая ответственность ждет нарушителей?

 

Статьей 24 Закона «О персональных данных» установлено четыре вида ответственности за нарушения в области защиты персональных данных – административная, гражданская, уголовная и дисциплинарная. Поэтому к нарушителям могут применяться меры разного уровня строгости, вплоть до возбуждения уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, или же  аннулирование лицензии.

Впрочем, практика применения жестких мер пока отсутствует.  Применяемое сегодня наказание – это административный штраф. Максимальный размер штрафа, налагаемого на юридическое лицо, сейчас составляет всего 10 тыс. рублей, а суды обычно ограничиваются наказанием в 3-5 тыс.  рублей. То есть, легче заплатить штраф, чем выполнять требования закона и тратиться на меры по защите персональных данных.

По сравнению с другими странами, где занимаются вопросами защиты персональных данных, эти величины выглядят несерьезно. В Германии штраф за такие нарушения - 300-500 тыс. евро, Эстония – 32 тыс. евро. На Украине, где закон о защите персональных данных принят относительно недавно, штраф за отсутствие регистрации баз персональных данных в пересчете на рубли 70-80 тыс. В США проект закона о защите персональных данных предусматривает ответственность в виде штрафа до полумиллиона долларов.

Но и оштрафовать нарушителей даже на 3-5 тыс. рублей не всегда удается. Например, летом прошлого года было выявлено более 80 интернет-магазинов, информация о покупателях которых попала в открытый доступ. Материалы в отношении владельцев 15 ресурсов, допустивших утечку наибольшего количества конфиденциальной информации, были направлены в органы прокуратуры для возбуждения административных дел по ст. 13.11 КоАП РФ. К сожалению, в силу разных причин, главным образом, наверное, перегруженности прокуратуры, дела были возбуждены только в отношении владельцев шести сайтов. Остальные владельцы ресурсов ушли от ответственности из-за трехмесячного срока давности, установленного ныне для привлечения к административной ответственности по этой статье.

 

Из Ваших слов следует, что правоприменительная практика нуждается в совершенствовании, поскольку не соблюдается принцип неотвратимости наказания. Да и столь мизерные штрафы вряд ли побуждают нарушителей усиливать меры безопасности персональных данных. Предполагается что-то менять?

 

Безусловно. Соответствующие предложения уже рассматриваются на разных уровнях вертикали власти.

В частности, предполагается наделить Роскомнадзор полномочиями по возбуждению и производству по делам об административных правонарушениях по ст. 13.11 КоАП РФ (нарушение порядка сбора, хранения, использования и распространения информации о гражданах (персональных данных)) и увеличить срок давности по этим делам с 3 месяцев до года.

Кроме того, рассматривается возможность увеличения размера штрафных санкций за нарушения в сфере персональных данных. Мы вышли с предложением увеличить штрафы до 500 тыс. руб. для юридических лиц. Хотим, чтобы штрафы соотносились с затратами операторов персональных данных на организацию адекватной защиты. Оператор должен понимать, что затратив средства на необходимые организационно-технические мероприятия, он, во-первых, будет избавлен от многих проблем с защитой персональных данных, а во-вторых, избежит штрафов, которые могут самым негативным образом сказаться на результатах деятельности его организации, а где-то - и на устойчивости бизнеса.

Помимо этого, поправками в статью 402 Гражданского процессуального кодекса Российской Федерации мы намерены решить проблему, связанную с тем, что сегодня законодательство не позволяет рассматривать в наших судах дела о нарушениях прав граждан России в сфере персональных данных, допущенные иностранными интернет-ресурсами. Исковые заявления Роскомнадзора о пресечении незаконной деятельности интернет-ресурсов, расположенных за пределами России, судами отклоняются по причине неподсудности в связи с нахождением ответчика за пределами Российской Федерации.

Как нам представляется, российские суды должны иметь возможность рассматривать такие дела по месту нахождения лиц, которым причинен вред нарушениями законодательства о персональных данных. А мы на основании этих решений будет требовать от зарубежных регистраторов удалять персональные данные россиян.

Эту работу мы ведем и сегодня. Есть результаты: по обращениям Роскомнадзора регистраторами США и Индии закрыты около 20 сайтов, на которых незаконно распространялись персональные данные россиян. Вместе с тем, наши обращения, подкрепленные решениями судов, станут более весомыми и убедительными. Мы уверены, что положительно реагировать на них будет гораздо большее количество регистраторов, а не только те, которые идут нам навстречу, понимая всеобщую опасность незаконного распространения персональных данных. Сегодня в ряде случаев иностранные регистраторы доменных имен готовы принять меры по прекращению делегирования доменных имен только при наличии соответствующего судебного решения.

 

Сегодня особенно актуальны вопросы открытости органов власти, прозрачности их деятельности. Взаимодействует ли Роскомнадзор с операторским сообществом?

 

Роскомнадзор всегда заявлял о  готовности к плодотворному сотрудничеству с операторским сообществом, направленному на выработку и реализацию предложений, касающихся разрешения проблемных вопросов в области персональных данных, и подтверждал это на практике.

Основной площадкой для обсуждения указанных вопросов стал Консультативный совет при Уполномоченном органе по защите прав субъектов персональных данных – совещательный орган, основной задачей которого является информационное и методическое сопровождение реализации законодательства Российской Федерации в области персональных данных, формирование позитивного общественного мнения в вопросах, связанных с защитой прав субъектов персональных данных.

 В 2010-2011 годах мы также поддержали предложения операторов, направленные на унификацию отраслевых подходов в деятельности по обработке персональных данных. Одной из форм указанной деятельности является разработка отраслевых стандартов или рекомендаций по реализации требований законодательства Российской Федерации в области персональных данных в конкретных сферах деятельности.

В 2010 году Роскомнадзором подготовлены предложения в Концепцию защиты персональных данных в информационных системах персональных данных операторов связи.

Сейчас мы поддержали предложение Ассоциации документальной электросвязи о создании на базе Консультативного совета рабочей группы, главной целью которой будет являться разработка проектов отраслевых документов для операторов связи.

Мы не остаемся в стороне от текущих процессов и всегда готовы к открытому диалогу и сотрудничеству.

В заключение, пользуясь случаем, еще раз обращаю внимание операторов связи на актуальность проблемы защиты персональных данных, на необходимость своевременного принятия комплекса правовых, организационных и технических мер защиты, предусмотренных Федеральным законом «О персональных данных» и подзаконными нормативными актами. Прогресс есть, но работа предстоит еще большая.

 

Время публикации: 20.07.2012 11:45
Последнее изменение: 20.07.2012 11:48