Новый рабочий год в
нашем агентстве, в силу специфики деятельности, традиционно начинается с
тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти
невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план
проверок на своем сайте. И не только проверок в отношении персональных данных,
не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования
Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля (надзора) и
муниципального контроля», и не требующих теперь согласования с прокуратурой (об
этом я писал здесь),
но и сводного плана плановых (извините за тавтологию) проверок ведомства на
2016 год.
Вместо сводного плана
на первой странице официального сайта надзорного органа 31 декабря появилась короткая,
но весьма интересная публикация под заголовком «О планировании контрольно-надзорной
деятельности в области персональных данных на 2016 год», в которой
сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной
деятельности в области персональных данных. С учетом изменений, внесенных в
действующее законодательство Российской Федерации, процесс планирования
опирался на анализ деятельности операторов с учетом правоприменительной
практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год
запланировано более 1000 плановых проверок и около 2000 мероприятий
систематического наблюдения персональных данных… В ходе указанных проверок в
том числе будет осуществляться контроль за исполнением операторами требований
по локализации баз данных на территории Российской Федерации». Далее
указывается, что «По состоянию на 31 декабря 2015 года планы территориальных
органов Роскомнадзора размещены на официальных сайтах территориальных органов
Роскомнадзора в соответствии с требованиями административного регламента
ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах
увидеть представителей надзора в гостях.
Что ж, мы люди
привычные к хождению не простыми путями, посмотрим сайты территориальных
органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.
В ЦФО документ
называется «План
деятельности Управления Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций по Центральному федеральному
округу в 2016 году». Этот план дает, пожалуй, наиболее полное представление
о стратегии контрольной деятельности ведомства в новых реалиях.
Первым из гигантов,
попадающих под раздачу, стала корпорация Microsoft,
заодно с ней будут проверены HP и Samsung. Почему
именно эти две компании, знает только автор задумки, но в отношении Microsoft,
которая активно и давно сотрудничает с правительствами и спецслужбами по всему
миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их
для сертификации по требованиям безопасности, такое решение заставляет
задуматься. Корейским вендорам, похоже, спонсорство на международной
конференции Роскомнадзора и громкие публичные заявления о переносе всего в
Россию тоже не очень помогло.
Следующая и самая
большая по численности группа – российские дочки зарубежных банков. Здесь команда
подобралась более, чем достойная: Citibank, HSBC,
«Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский
кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари».
В отношении дочек зарубежных банков просматривается интересная тема – будет ли
Роскомнадзор считать сведения о движении средств по счету персональными
данными, или согласится с тем, что эти сведения составляют иную охраняемую
законом категорию – банковскую тайну. Если это персональные данные,
использование АБС и ДБО материнских банков невозможно в принципе, исходя из
требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется
в России, а далее они на законном основании выгружаются во «вторичные базы
данных» за рубежом, и все идет в рамках закона. Вот она, могучая сила
трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос
обсудить на круглом столе с регуляторами в Магнитогорске – тема
увлекательнейшая.
Третья группа –
зарубежные производители косметики, физически представленные в России и так
любящие программы лояльности и рекламные рассылки потребителям. Набор почти
полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток»,
«Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК»
(к вопросу о целесообразности иноязычных названий J).
Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем
и наличие доказываемого согласия на продвижение товаров путем прямых контактов
по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о
50-процентных скидках сами-знаете-от-кого).
Следующая группа –
продавцы автомобилей и ритейл. В первой подгруппе – тоже цвет мировой
промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного
комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей
новых авто за рубеж, и если да – то как? Хороший вопрос.
Ритейл: «Перекресток»,
«ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с
законом «Макдоналдс».
Столпы туризма: «Пегас
Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское
подразделение Four Seasons TravelNotes), «Островок.Ру» (отечественная система
бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования
авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей),
«Гелиопарк» (российская сеть отелей). Здесь тоже все понятно. Трансграничка, неадекватные
страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной
договора, но получающих услуги (члены семьи, большие компании по интересам,
«корпоративный туризм»). Программы лояльности, скидки, поручения многочисленным
контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3
статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.
Дошли, наконец, руки,
и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер».
Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни
лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?
Негосударственные
пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это
область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода
органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.
Из российских
интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно,
будем смотреть.
Очень большие
интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват
Трэйд» (она же - KupiVip.ru
c сайтами для Казахстана и Беларуси), «Вайлдберриз»
(брендовая одежда). Регистрация пользователей, доставка товара, партнеры,
контрагенты, опять же – программы лояльности, сроки хранения данных (а что
здесь персональные данные?), неизбыточность хранимых данных, процедура
уничтожения. Тоже темы глубокие.
ООО «Телеконтакт» -
крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень
интересно, особенно учитывая отношение Роскомнадзора к обработчикам. Поручения
на обработку и адекватность принятых мер защиты напрашиваются сами собой, но
вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает. Кстати,
это не единственный колл-центр, который будет подвержен проверке по персональным
данным. Есть они и в планах других территориальных органов.
В целом план ЦФО находится
в русле заявлений руководителей надзорного ведомства о критериях выбора
объектов плановых проверок и направленности контрольной деятельности.
Результаты будет очень интересно посмотреть.
О СЗФО (включая
Вологду) и УрФО – в завтрашнем посте, а то очень много букв получается.
Вологда жжот ))
ОтветитьУдалитьЗавтра расскажу, как :-)
ОтветитьУдалитьЕсли есть возможность, уделите, пожалуйста, внимание и ЮФО.
ОтветитьУдалитьСергей, в первую очередь я писал о тех регионах, где у нас бизнес-интересы и клиенты. Но постараюсь найти время и коротко проанализировать ситуацию в ЮФО
ОтветитьУдалить