17 апреля 2017 г.

Роскомнадзор опубликовал доклад о результатах надзорной деятельности

Документ готовится и размещается на сайте ежегодно, что дает возможность проанализировать надзорную деятельность за достаточно большой период.
В таблице ниже приведены данные о количестве и итогах проверок за соблюдением законодательства о персональных данных, начиная с 2008 года, когда проведение контрольных мероприятий было поставлено на плановую основу.
Число проверок незначительно колеблется из года в год. Меняется и доля проверок, по результатам которых были выданы предписания об устранении выявленных нарушений: если в 2010 году после проверки выдавалось в среднем более одного предписания, то в 2016 году предписаниями об устранении заканчивалась лишь каждая третья проверка. В 2016 году Роскомнадзором было составлено 6930 протоколов об административных правонарушениях .
К сожалению, в докладе не раскрывается, по каким конкретно составам административных правонарушений привлекались к ответственности операторы персональных данных, но, учитывая, что право административного производства по новой редакции статьи 13.11 КоАП РФ должностные лица Роскомнадзора получат лишь с 1 июля 2017 года, можно предполагать, что основная часть нарушений связана с неисполнением требований главы 19 КоАП РФ «Административные правонарушения против порядка управления» и применением таких статей, как 19.7 (непредставление или несвоевременное представление в орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), таких сведений (информации) в неполном объеме или в искаженном виде), 19.4.1 (воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора)), 19.5 (невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства), 19.6 (непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения).
Похоже, замедлился рост числа обращений и жалоб в Роскомнадзор от граждан и юридических лиц (см. таблицу), который был до последнего года экспоненциальным.
При этом стабильно очень низким является доля случаев, когда доводы заявителей подтверждаются при проверке жалобы – в 2016 году она составляла 7,9%, годом ранее – 7,6%, в 2014 году – 10%. Значит ли это, что операторы стали лучше выполнять закон? Возможно. Но может быть, и наоборот, - граждане услышали про закон, стали активно жаловаться, не понимая, что в нем написано.
На кого жалуются? Традиционно, на кредитные учреждения, организации ЖКХ, владельцев интернет-сайтов (в том числе социальные сети), коллекторские агентства. На что жалуются? Тоже традиционно – на передачу банками персональных данных без согласия клиента и на коллекторов – на обработку без такого согласия. Кстати, отмечу, что с 1 января 2017 года после вступления в силу «антиколлекторского» закона № 230-ФЗ согласие должника на передачу его данных коллектору не требуется, равно, как и согласие на обращение к его родственникам, соседям и иным лицам в целях взыскания задолженности, однако у должника и третьих лиц появилась возможность отказаться от взаимодействия со взыскателем. Я об этом как-то уже писал, здесь и здесь.
Претензии к владельцам сайтов связаны с распространением (для такой претензии достаточно публикации на сайте) персональных данных без согласия субъекта, созданием фейковых аккаунтов, обработку в целях, отличных от заявленных при сборе, а на организации ЖКХ чаще всего жалуются на вывешенные в подъездах списки должников, на передачу персональных данных третьим лицам без согласия субъекта (кстати, на CISO форуме 17 апреля я буду рассказывать как раз про такое дело, когда суд в привлечении взыскателей ничего криминального не увидел), на направление платежных документов в неконвертируемом виде, неправомерность обработки персональных данных жильцов многоквартирных домов фондами капитального ремонта.
Довольно неожиданно на третье место по числу обращений граждан в Роскомнадзор вышли вопросы порядка и условий установки видеокамер, а также хранения полученных видеозаписей. Учитывая внимание к этой теме Роструда и органов прокуратуры, похоже, что ситуация в этом направлении ужесточится. Наше агентство держит руку на пульсе – именно сейчас вместе с нашим партнером мы реализуем проект по локальному нормативному регулированию использования видеонаблюдения в большом торговом центре, включая систему распознавания лиц.
Из интересного в Докладе я бы еще выделил направления методической работы, выбранные Роскомнадзором, как в отношении операторов, так и в отношении инспекторов надзорного ведомства, которым посвящен один из разделов Доклада. Сообщается, что в 2016 году для территориальных органов были разработаны методические рекомендации по организации судебной работы в области защиты прав субъектов персональных данных в сети Интернет, а также по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Одним из возможных итогов методической работы, возможно, стало то, что по сведениям, приведенным в Докладе, в 2016 году по результатам рассмотрения судами общей юрисдикции исковых заявлений, поданных Роскомнадзором и его территориальными органами по фактам незаконной деятельности 196 интернет-ресурсов, осуществляющих распространение персональных данных граждан, в 100% рассматриваемых случаев приняты решения в пользу Роскомнадзора.
Отмечу также одну весьма важную инициативу, которая может повлиять на деятельность зарубежных компаний в России, - в соответствии с Планом организации законопроектных работ Минкомсвязи на 2017 год предусмотрена подготовка проекта Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения условий трансграничной передачи персональных данных.
Так что материала для анализа и размышлений в документе много. 

10 апреля 2017 г.

Неправильная регистрация пользователей может обернуться блокировкой сайта

Газета «Ведомости» опубликовала статью о проблемах сайтов в интернете с формами обратной связи, рисках и последствиях их размещения. В статье есть, в том числе, и мои комментарии, соображения, что надо делать, чтобы риски минимизировать.  Упомянутое в статье решение суда опубликовано здесь
Неправильная регистрация пользователей может обернуться блокировкой сайта
Пока компании только штрафуют за нарушения
Павел Кантышев
В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. ТГЮК не публикует свою политику по обработке персональных данных и не сообщает, как защищает их. Компании предстоит заплатить административный штраф 1000 руб., следует из опубликованного на сайте sudact.ru постановления тамбовского суда.
Законодательство о защите персональных данных весьма широко трактует это понятие, отмечают юристы. ТГЮК апеллировала, что форма обратной связи на ее сайте предназначена лишь для приема сообщений и не собирает персональных данных, говорится в постановлении мирового судьи на сайте sudact.ru. Она состояла из трех элементов: имени, сообщения и его темы – с помощью этой формы невозможно определить физическое лицо, к тому же клиент не обязательно укажет настоящее имя.
Изначально форма обратной связи ТГЮК содержала контакты обратившегося: телефон и электронную почту, рассказывает ее представитель, компания убрала эти поля, чтобы соответствовать требованиям регулятора. Из-за этого, случается, компания теряет клиентов: не все догадываются написать свои контакты, сетует представитель ТГЮК. Компания думала над тем, чтобы разработать и опубликовать политику работы с персональными данными, но в итоге решила сократить форму, рассказывает он, добавляя: штраф компания заплатит.
В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными.
Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные – и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.
В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании «Катков и партнеры» Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц – 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб.
Однако гораздо более серьезной мерой является блокировка сайта – закон предусматривает ее возможность, указывает Катков.
Определение
Закон относит к персональным данным «любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу».
Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников.
По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.
Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы.
Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.
Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.
Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.
В феврале астраханская газета «Волга» сообщала о компаниях, которые были оштрафованы за нарушавшую закон о защите персональных данных форму обратной связи. Был аналогичный случай и в Тюмени. Форма обратной связи есть и на сайте самого Роскомнадзора – например, желающим получить ответ на свое предложение по улучшению работы сайта предлагается оставить имя, фамилию и адрес электронной почты. По закону для обработки обращения в госструктуру согласие на обработку своих персональных данных не нужно, говорит Ампелонский.