Отчет о деятельности Роскомнадзора за 2011 год

Интересные моменты:

Серым выделены мои комментарии, остальное - цитаты из текста отчета. Остальное цитаты - они идут в произвольном порядке, обобщены по темам (из разных частей документа). Оригинал отчета: http://rsoc.ru/personal-data/reports/.

1. Про профилактические мероприятия:

Наряду с традиционными формами работы (проведение плановых и внеплановых проверок) Уполномоченным органом в 2011 году активно внедрялись меры профилактического характера (мониторинг деятельности Операторов), что позволило на начальной стадии выявить и пресечь ряд серьезных нарушений прав значительного числа граждан, которые, впоследствии, могли вызвать широкий общественный резонанс. Видимо имелся ввиду мониторинг Интернет-ресурсов, потому что далее:

...создана система взаимодействия с регистраторами доменных имен и уполномоченными органами иностранных государств, а также сформирована положительная судебная практика, позволившая  создать прецедентную практику прекращения (приостановления) деятельности интернет-ресурсов, незаконно распространявших персональные данные граждан...

2. Про количество проверок:

Всего в отчетном периоде было проведено 1440 плановых проверок, 266 проверок отменено в связи с ликвидацией Оператора. 

В рамках внепланового контроля проведена 791 проверка, из них по обращениям граждан проведено 366 проверок...

Увеличение количества внеплановых проверок по сравнению с 2010 годом обусловлено более чем двукратным ростом числа обращений граждан, поступивших в Уполномоченный орган. Внеплановые проверки составляют половину от плановых.

3. Про взаимодействие с прокуратурой

Так, использование Уполномоченным органом при исполнении поручений органов прокуратуры оснований внеплановых проверок, установленных Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (приказ Роскомнадзора от 1 декабря 2009 г. № 630, зарегистрирован в Минюсте России 28 января 2010 г., № 16095) признавалось органами прокуратуры допустимым и правомерным.

В то же время использование аналогичных оснований при проведении Уполномоченным органом внеплановых проверок по обращениям граждан в ряде субъектов (Краснодарский край, Алтайский край) было признано органами прокуратуры незаконным, при этом по инициативе органов прокуратуры государственные инспекторы Роскомнадзора были привлечены к административной ответственности.

Причина отказов органами прокуратуры в возбуждении дел об административных правонарушениях за истечением срока давности отчасти связанна с изменениями, внесенными в июле 2011 года в Федеральный закон «О персональных данных», увеличившими сроки предоставления операторами информации по запросу Уполномоченного органа до 30 дней.

Принимая во внимание, что в отношении правонарушений по ст. 13.11 КоАП РФ установлен 3-х месячный срок давности, на сегодняшний день количество возбужденных дел по указанной статье ничтожно мало.

 В сложившейся ситуации логичным и эффективным решением является передача Уполномоченному органу – Роскомнадзору  полномочий по возбуждению и рассмотрению дел об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ. Это в значительной степени будет способствовать соблюдению принципа неотвратимости наказания за совершенное правонарушение.

Здесь говорится о проекте нового постановления Правительства.

4. Про типичные нарушения

Основными, типичными нарушениями требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых на его основе подзаконных актов, выявленными в ходе плановых и внеплановых проверок, являются:

а) ст. 7 Федерального закона «О персональных данных» – нарушение требований конфиденциальности при обработке персональных данных;

б) ч. 3 ст. 18 Федерального закона «О персональных данных» – неуведомление гражданина о начале обработки его персональных данных;

в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся несоблюдение Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

Основное, как и раньше - неавтоматизированная обработка и отсутствие согласия. Пункт а - собирательный.

5. Про штрафы

Как и в предшествующие периоды, в отчетном продолжился рост количества правонарушений в области персональных данных. Так, в 2011 году Уполномоченным органом составлено 4901 протоколов об административных правонарушениях, что почти 2 раза превышает показатели 2010 года.

Мировыми судьями в 4315 случаях вынесены постановления о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 7,9 млн. рублей. ( средний штраф - менее 2 тыс. руб.).

6. Про утечки баз данных

Учитывая подобные случаи распространения баз данных, предположительно имеющих принадлежность к  информационным системам госорганов, представляется целесообразным нормативно урегулировать вопросы обеспечения идентификации баз персональных данных, обрабатываемых в госорганах, с целью однозначного определения источника в случае их утечки или появления в продаже. В этих же целях предлагается применять процедуру обезличивания персональных данных, успешное использование которой существенно снизит риски идентификации конкретных граждан в случаях утечек баз данных.

Интересно, каким образом это можно сделать?

7. Про технический стандарт

В качестве решения указанной проблемы представляется целесообразной разработка технического стандарта, определяющего набор необходимых правил и мер, реализация которых обеспечит безопасность персональных данных при их обработке в информационно-телекоммуникационной сети Интернет и позволит исключить подобные случаи.

Разрабатывать будет Роскомнадзор?

8. Про обращения граждан

По итогам рассмотрения обращений граждан следует отметить, что доводы заявителей подтвердились лишь в 857 случаях, что составляет 27 % от общего числа обращений.

Ну что ж, только треть жалоб подтверждается, для операторов внушает надежды.

9. Об увеличении штата

В связи с чем, сегодня видится актуальным рассмотрение вопроса об увеличении штатной численности работников Уполномоченного органа, осуществляющих функции в области защиты прав субъектов персональных данных.

Скажется ли это на увеличении проверок.

10. О совместных проверках

Решения о проведении совместных проверок в 2012 году были приняты органами ФСБ России по 23 субъектам Российской Федерации, органами ФСТЭК России - по 9 субъектам.

В качестве показательного примера можно привести совместные проверки, проведенные в 2011 году в отношении Пенсионного фонда Российской Федерации и 6 негосударственных пенсионных фондов, в которых помимо трех регуляторов приняли участие представители органов внутренних дел.

  По результатам совместных контрольно-надзорных мероприятий в деятельности Пенсионного фонда Российской Федерации фактов незаконной передачи персональных данных застрахованных лиц, а также условий, способствующих утечке персональных данных из информационной системы Пенсионного фонда Российской Федерации, установлено не было.

11. О проверках ФСБ

В 2011 году ФСБ России проведено 270 проверок по контролю за обеспечением безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Выявленные нарушения и недостатки можно разделить на 4 категории:

1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России (35%).

2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов (28%).

3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов (30%).

4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним (55%).

12. О деятельности ФСТЭК

Деятельность ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных в отчетном году осуществлялась по следующим направлениям:

1. Совершенствование законодательства Российской Федерации в области обеспечения безопасности персональных данных.

2. Оказание методической помощи федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации, органам местного самоуправления, другим операторам и специалистам по реализации требований законодательства Российской Федерации и методических документов ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

В 2011 году ФСТЭК России и его территориальными органами было проведено 83 проверки, том числе 56 в федеральных органах исполнительной власти и их территориальных органах (МИД России, Минэкономразвития России,  МЧС России, Минпромторг России, Минэнерго России, ФТС России, ФСИН России, ФАС России, Рособрнадзор, Росздравнадзор, Росимущество, Росрезерв), в органах исполнительной власти 14 субъектов Российской Федерации, 7 органах местного самоуправления и 6 организациях ЖКХ.

В ходе контрольных мероприятий выявлено значительное количество недостатков, связанных с:

незавершенностью работ по классификации информационных систем персональных данных;

формальным подходом при формировании модели угроз безопасности персональных данных;

использованием технических средств защиты информации, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении информационных систем персональных данных к сети Интернет;

отсутствием описания системы защиты персональных данных;

отсутствием надлежащего учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

Сертифицированные средства - необходимы

13. О будущем

Задачи и приоритетные направления деятельности Уполномоченного органа:

1.      Осуществление на постоянной основе мониторинга деятельности Операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных.

2.      Работа по выявлению и пресечению деятельности по продаже физических носителей, содержащих персональные данные граждан, а также ресурсов, незаконно распространяющих персональные данные граждан в информационно – телекоммуникационной сети Интернет в судебном порядке и посредством организации взаимодействия с уполномоченными органами иностранных государств и национальными регистраторами доменных имен.

3. Обмен опытом и оказание взаимной помощи в вопросах защиты и восстановления охраняемых законом прав и интересов субъектов персональных данных в рамках сотрудничества с уполномоченными органами по защите прав субъектов персональных данных иностранных государств.

4. Продолжение практики совместных проверок в области персональных данных с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

5. Совершенствование форм и методов контрольно-надзорной деятельности, направленной на  качественное повышение уровня защиты прав субъектов персональных данных.

6. Методическое обеспечение и повышение профессиональной квалификации сотрудников Уполномоченного органа.

7. Подготовка предложений по совершенствованию и гармонизации законодательства Российской Федерации в области персональных данных.

8. Издание приказа Уполномоченного органа об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS 108), и обеспечивающих адекватную защиту прав субъектов персональных данных.

9. Разработка требований и методов обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

10. Организация и проведение совместной с Координационным центром национального домена сети Интернет работы по предотвращению нарушений прав и законных интересов граждан в информационно-телекоммуникационной сети Интернет. 

Нас ждут изменения в законодательстве?