На официальном сайте
надзорного ведомства опубликован «Доклад об осуществлении государственного
контроля (надзора) и об эффективности такого контроля (надзора) за 2016 год».
Документ готовится и
размещается на сайте ежегодно, что дает возможность проанализировать надзорную
деятельность за достаточно большой период.
В таблице ниже
приведены данные о количестве и итогах проверок за соблюдением законодательства
о персональных данных, начиная с 2008 года, когда проведение контрольных
мероприятий было поставлено на плановую основу.
Число проверок
незначительно колеблется из года в год. Меняется и доля проверок, по
результатам которых были выданы предписания об устранении выявленных нарушений:
если в 2010 году после проверки выдавалось в среднем более одного предписания,
то в 2016 году предписаниями об устранении заканчивалась лишь каждая третья
проверка. В 2016 году Роскомнадзором было составлено 6930 протоколов об
административных правонарушениях .
К сожалению, в докладе не
раскрывается, по каким конкретно составам административных правонарушений
привлекались к ответственности операторы персональных данных, но, учитывая, что
право административного производства по новой редакции статьи 13.11 КоАП РФ
должностные лица Роскомнадзора получат лишь с 1 июля 2017 года, можно
предполагать, что основная часть нарушений связана с неисполнением требований
главы 19 КоАП РФ «Административные правонарушения против порядка управления» и
применением таких статей, как 19.7 (непредставление или несвоевременное
представление в орган (должностному лицу), осуществляющий (осуществляющему)
государственный контроль (надзор), сведений (информации), представление которых
предусмотрено законом и необходимо для осуществления этим органом (должностным
лицом) его законной деятельности, либо представление в государственный орган
(должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему)
государственный контроль (надзор), таких сведений (информации) в неполном
объеме или в искаженном виде), 19.4.1 (воспрепятствование законной деятельности
должностного лица органа государственного контроля (надзора)), 19.5 (невыполнение
в установленный срок законного предписания органа (должностного лица),
осуществляющего государственный надзор (контроль), об устранении нарушений
законодательства), 19.6 (непринятие мер по устранению причин и условий,
способствовавших совершению административного правонарушения).
Похоже, замедлился рост
числа обращений и жалоб в Роскомнадзор от граждан и юридических лиц (см.
таблицу), который был до последнего года экспоненциальным.
При этом стабильно
очень низким является доля случаев, когда доводы заявителей подтверждаются при
проверке жалобы – в 2016 году она составляла 7,9%, годом ранее – 7,6%, в 2014
году – 10%. Значит ли это, что операторы стали лучше выполнять закон? Возможно.
Но может быть, и наоборот, - граждане услышали про закон, стали активно
жаловаться, не понимая, что в нем написано.
На кого жалуются?
Традиционно, на кредитные учреждения, организации ЖКХ, владельцев
интернет-сайтов (в том числе социальные сети), коллекторские агентства. На что
жалуются? Тоже традиционно – на передачу банками персональных данных без
согласия клиента и на коллекторов – на обработку без такого согласия. Кстати,
отмечу, что с 1 января 2017 года после вступления в силу «антиколлекторского»
закона № 230-ФЗ согласие должника на передачу его данных коллектору не требуется,
равно, как и согласие на обращение к его родственникам, соседям и иным лицам в
целях взыскания задолженности, однако у должника и третьих лиц появилась
возможность отказаться от взаимодействия со взыскателем. Я об этом как-то уже
писал, здесь и здесь.
Претензии к владельцам
сайтов связаны с распространением (для такой претензии достаточно публикации на
сайте) персональных данных без согласия субъекта, созданием фейковых аккаунтов,
обработку в целях, отличных от заявленных при сборе, а на организации ЖКХ чаще
всего жалуются на вывешенные в подъездах списки должников, на передачу
персональных данных третьим лицам без согласия субъекта (кстати, на CISO
форуме 17 апреля я буду рассказывать как
раз про такое дело,
когда суд в привлечении взыскателей ничего криминального не увидел), на
направление платежных документов в неконвертируемом виде, неправомерность
обработки персональных данных жильцов многоквартирных домов фондами
капитального ремонта.
Довольно неожиданно на
третье место по числу обращений граждан в Роскомнадзор вышли вопросы порядка и
условий установки видеокамер, а также хранения полученных видеозаписей. Учитывая
внимание к этой теме Роструда и органов прокуратуры, похоже, что ситуация в
этом направлении ужесточится. Наше агентство держит руку на пульсе – именно
сейчас вместе с нашим партнером мы реализуем проект по локальному нормативному
регулированию использования видеонаблюдения в большом торговом центре, включая
систему распознавания лиц.
Из интересного в
Докладе я бы еще выделил направления методической работы, выбранные
Роскомнадзором, как в отношении операторов, так и в отношении инспекторов
надзорного ведомства, которым посвящен один из разделов Доклада. Сообщается,
что в 2016 году для территориальных органов были разработаны методические
рекомендации по организации судебной работы в области защиты прав субъектов
персональных данных в сети Интернет, а также по осуществлению государственного
контроля (надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области персональных данных. Одним из
возможных итогов методической работы, возможно, стало то, что по сведениям,
приведенным в Докладе, в 2016 году по результатам рассмотрения судами общей
юрисдикции исковых заявлений, поданных Роскомнадзором и его территориальными
органами по фактам незаконной деятельности 196 интернет-ресурсов,
осуществляющих распространение персональных данных граждан, в 100%
рассматриваемых случаев приняты решения в пользу Роскомнадзора.
Отмечу также одну весьма
важную инициативу, которая может повлиять на деятельность зарубежных компаний в
России, - в соответствии с Планом организации законопроектных работ Минкомсвязи
на 2017 год предусмотрена подготовка проекта Федерального закона «О внесении
изменений в Федеральный закон «О персональных данных» в части уточнения условий
трансграничной передачи персональных данных.
Так что материала для
анализа и размышлений в документе много.