17 апреля 2017 г.

Роскомнадзор опубликовал доклад о результатах надзорной деятельности

Документ готовится и размещается на сайте ежегодно, что дает возможность проанализировать надзорную деятельность за достаточно большой период.
В таблице ниже приведены данные о количестве и итогах проверок за соблюдением законодательства о персональных данных, начиная с 2008 года, когда проведение контрольных мероприятий было поставлено на плановую основу.
Число проверок незначительно колеблется из года в год. Меняется и доля проверок, по результатам которых были выданы предписания об устранении выявленных нарушений: если в 2010 году после проверки выдавалось в среднем более одного предписания, то в 2016 году предписаниями об устранении заканчивалась лишь каждая третья проверка. В 2016 году Роскомнадзором было составлено 6930 протоколов об административных правонарушениях .
К сожалению, в докладе не раскрывается, по каким конкретно составам административных правонарушений привлекались к ответственности операторы персональных данных, но, учитывая, что право административного производства по новой редакции статьи 13.11 КоАП РФ должностные лица Роскомнадзора получат лишь с 1 июля 2017 года, можно предполагать, что основная часть нарушений связана с неисполнением требований главы 19 КоАП РФ «Административные правонарушения против порядка управления» и применением таких статей, как 19.7 (непредставление или несвоевременное представление в орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), таких сведений (информации) в неполном объеме или в искаженном виде), 19.4.1 (воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора)), 19.5 (невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства), 19.6 (непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения).
Похоже, замедлился рост числа обращений и жалоб в Роскомнадзор от граждан и юридических лиц (см. таблицу), который был до последнего года экспоненциальным.
При этом стабильно очень низким является доля случаев, когда доводы заявителей подтверждаются при проверке жалобы – в 2016 году она составляла 7,9%, годом ранее – 7,6%, в 2014 году – 10%. Значит ли это, что операторы стали лучше выполнять закон? Возможно. Но может быть, и наоборот, - граждане услышали про закон, стали активно жаловаться, не понимая, что в нем написано.
На кого жалуются? Традиционно, на кредитные учреждения, организации ЖКХ, владельцев интернет-сайтов (в том числе социальные сети), коллекторские агентства. На что жалуются? Тоже традиционно – на передачу банками персональных данных без согласия клиента и на коллекторов – на обработку без такого согласия. Кстати, отмечу, что с 1 января 2017 года после вступления в силу «антиколлекторского» закона № 230-ФЗ согласие должника на передачу его данных коллектору не требуется, равно, как и согласие на обращение к его родственникам, соседям и иным лицам в целях взыскания задолженности, однако у должника и третьих лиц появилась возможность отказаться от взаимодействия со взыскателем. Я об этом как-то уже писал, здесь и здесь.
Претензии к владельцам сайтов связаны с распространением (для такой претензии достаточно публикации на сайте) персональных данных без согласия субъекта, созданием фейковых аккаунтов, обработку в целях, отличных от заявленных при сборе, а на организации ЖКХ чаще всего жалуются на вывешенные в подъездах списки должников, на передачу персональных данных третьим лицам без согласия субъекта (кстати, на CISO форуме 17 апреля я буду рассказывать как раз про такое дело, когда суд в привлечении взыскателей ничего криминального не увидел), на направление платежных документов в неконвертируемом виде, неправомерность обработки персональных данных жильцов многоквартирных домов фондами капитального ремонта.
Довольно неожиданно на третье место по числу обращений граждан в Роскомнадзор вышли вопросы порядка и условий установки видеокамер, а также хранения полученных видеозаписей. Учитывая внимание к этой теме Роструда и органов прокуратуры, похоже, что ситуация в этом направлении ужесточится. Наше агентство держит руку на пульсе – именно сейчас вместе с нашим партнером мы реализуем проект по локальному нормативному регулированию использования видеонаблюдения в большом торговом центре, включая систему распознавания лиц.
Из интересного в Докладе я бы еще выделил направления методической работы, выбранные Роскомнадзором, как в отношении операторов, так и в отношении инспекторов надзорного ведомства, которым посвящен один из разделов Доклада. Сообщается, что в 2016 году для территориальных органов были разработаны методические рекомендации по организации судебной работы в области защиты прав субъектов персональных данных в сети Интернет, а также по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Одним из возможных итогов методической работы, возможно, стало то, что по сведениям, приведенным в Докладе, в 2016 году по результатам рассмотрения судами общей юрисдикции исковых заявлений, поданных Роскомнадзором и его территориальными органами по фактам незаконной деятельности 196 интернет-ресурсов, осуществляющих распространение персональных данных граждан, в 100% рассматриваемых случаев приняты решения в пользу Роскомнадзора.
Отмечу также одну весьма важную инициативу, которая может повлиять на деятельность зарубежных компаний в России, - в соответствии с Планом организации законопроектных работ Минкомсвязи на 2017 год предусмотрена подготовка проекта Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения условий трансграничной передачи персональных данных.
Так что материала для анализа и размышлений в документе много. 

4 комментария:

  1. Согласие на общение с родственниками должника нужно. Более того, это согласие должно быть письменным и содержать согласие должника на обработку его персданных (ст. 4 закона). Конструкция с точки зрения персданных диковатая, но что делать.

    ОтветитьУдалить
    Ответы
    1. На это нужно согласие должника, а вот согласия третьих лиц - родственников, соседей и пр., - на это не нужно, пока "третьим лицом не выражено несогласие на осуществление с ним взаимодействия". Я об этом.

      Удалить
  2. Михаил Юрьевич, так а что там на счёт проекта Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения условий трансграничной передачи персональных данных? где можно почитать? или вы сделаете анализ позже?

    ОтветитьУдалить