Деятельность Роскомнадзора по защите прав субъектов персональных данных отражается в ежегодно отчетах, публикуемых на сайте http://www.rsoc.ru/personal-data. Отчет за 2011 год занимает 55 страниц. Опускаем все лишнее и оставляем только основные факты (для тех, кому лень читать весь документ).
1) Всего было проведено 1440 плановых проверок и 791 внеплановых, из них 366 – по обращениям граждан, 116 – по поручению прокуратуры. Каждая третья проверка в отношении организаций ЖКХ. По результатам проверок было выдано 2250 предписаний об устранении выявленных нарушений (т.е. нарушения были у всех проверяемых и предписания выдавались практически после каждой проверки).
2) Наиболее частными нарушениями 152-ФЗ “О персональных данных” являются:
– нарушение требований конфиденциальности при обработке персональных данных
– неуведомление гражданина о начале обработки его персональных данных
– несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, включая отсутствие утвержденного перечня лиц, имеющих доступ к персональным данным
– обработка персональных данных без согласия субъектов персональных данных
– несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона
За все подобные нарушения на Операторов ПДн судом налагались штрафы в размере 5 тыс. руб.
3) Составлено 4901 протоколов об административных правонарушениях. Выявленные правонарушения были классифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний. Мировыми судьями в 4315 случаях вынесены постановления о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 7,9 млн. рублей.
4) В органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ направлено около 900 материалов. Из них, решения о возбуждении дела об административном правонарушении были приняты в 167 случаях и вынесены постановления суда о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 177, 3 тыс. рублей.
5) Совместно с правоохранительными органами проведены рейды по радиорынкам г. Москвы, в ходе которых было изъято несколько сотен физических носителей информации, содержащих сведения о частной и личной жизни граждан, объединенных в 17 баз данных различной тематики и принадлежности, в том числе: «Прописка», «ГАИ + Полисы КАСКО и ОСАГО», «Федеральная таможенная служба» и другие. В отношении федеральных органов государственной власти, к ведению которых предположительно могли относиться изъятые базы данных (ФНС России, ФТС России, ГИБДД МВД России, ФМС России), совместно с ФСБ России и ФСТЭК России были проведены проверки на предмет выявления фактов утечек обрабатываемых персональных данных. Однако по результатам проверок факты утечек из информационных систем указанных органов государственной власти выявлены не были.
6) В ходе мониторинга интернет-ресурсов выявлено более 80 интернет-магазинов, информация о покупателях которых попала в открытый доступ. В ходе аналитической выборки определены 15 интернет-магазинов, которые предоставили доступ к наиболее широкому перечню персональных данных покупателей. Соответствующие материалы были направлены в органы прокуратуры, по результатам рассмотрения в отношении владельцев сайтов возбуждено 7 дел об административном правонарушении по ст. 13.11 КоАП РФ, в остальных случаях, по информации органов прокуратуры, принимаются меры по установлению фактического местонахождения владельцев 8 интернет-сайтов. При этом, представляется очевидным, что виновные лица-владельцы этих ресурсов, к ответственности привлечены не будут в связи с истечением установленных сроков давности.
Также установлены факты размещения в поисковой системе Яндекс ссылки, позволяющей получить доступ к сведениям, содержащимся в коротких текстовых сообщениях, отправленных посредством интерактивной функции, реализованной на официальном сайте для одного из операторов мобильной связи. Установлено, что в указанном случае организацией, обеспечивающей техническую поддержку и работоспособность интернет-сайта, не были приняты надлежащие меры по защите размещаемой информации от индексации поисковыми роботами.
7) Отсутствие в законодательстве РФ положений, устанавливающих конкретные составы административных правонарушений в области персональных данных; трехмесячный срок давности по нарушениям в области персональных данных, не позволяющий в большинстве случаев привлекать Операторов к административной ответственности.
Речь идет о нарушениях по ст. 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (штраф до 10 т.р.). Предложения по передаче полномочий по наложению штрафа по данной статье, увеличению штрафных санкций, а также увеличению срока давности привлечения к административной ответственности за совершение административных правонарушений в области защиты персональных, были подготовлены и поддержаны на заседании Правительственной комиссии по федеральной связи и технологическим вопросам информатизации, состоявшемся 13 декабря 2011 г.
8) Положения Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не учитывают специфику правоотношений в области персональных данных и, в отдельных случаях, вступают в противоречие с нормами Федерального закона «О персональных данных».
9) Рассмотрено 3920 обращений и жалоб граждан по вопросам персональных данных. В большинстве случаев они содержали доводы о нарушениях, допускаемых организациями жилищно-коммунального хозяйства, кредитными организациями, интернет-сайтами, операторами связи, коллекторскими агентствами.
10) В адрес операторов было направлено 111 требований о блокировании, уничтожении недостоверных или полученных незаконным путем персональных данных. Прекращена деятельность 6 интернет-ресурсов, осуществлявших незаконное распространение персональных данных.
11) По состоянию на 31 декабря 2011 г., в Реестре Роскомнадзора зарегистрировано 229 912 Операторов ПДн. Это более 40% государственных и муниципальных органов и около 10% юридических лиц.
11) Численность сотрудников Управления по защите прав субъектов персональных данных Роскомнадзора – 230 штатных единиц на всю территорию РФ.
12) В целях пресечения противоправной деятельности по распространению персональных данных интернет-ресурсами, расположенными за пределами РФ, были направлены соответствующие материалы в адрес уполномоченных органов Германии, Канады, Казахстана, Украины, Кыргызстана, Молдовы, Республики Беларусь, а также регистраторов доменных имен, осуществляющих деятельность на территории США, Индии, для оказания содействия по прекращении делегирования около 40 доменных имен. По результатам рассмотрения материалов Роскомнадзора американскими и индийским регистраторами прекращено делегирование 12 доменных имен.
13) Входе плановых проверок Операторов ПДн, проводимых Роскомнадзором совместно с органами ФСБ России и ФСТЭК России выдано 18 предписаний и возбуждено 3 дела об административных правонарушениях по ст. 13.11 КоАП РФ. По результатам проведенных дополнительных проверочных мероприятий ГУ МВД России по г. Москве были установлены факты мошеннических действий со стороны сотрудников НПФ «Норильский никель» в результате которых в адрес указанного негосудартсвенного пенсионного фонда с помощью фиктивных заявлений граждан были переведены денежные средства на общую сумму 137 млн. рублей. По данному факту возбуждено уголовное дело по ст. 159 УК РФ.
14) ФСБ России проведено 270 проверок по контролю за обеспечением безопасности персональных данных в отношении Операторов государственных ИСПДн.
Эксплуатацию СКЗИ 216 операторов осуществляли с нарушениями и недостатками, что составляет 80% от общего числа проверенных операторов. Выявленные нарушения и недостатки можно разделить на 4 категории:
1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России (35%).
2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов (28%).
3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов (30%).
4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним (55%).
15) ФСТЭК России было проведено 83 проверки по вопросам обеспечения безопасности персональных данных в органах исполнительной власти РФ. В ходе контрольных мероприятий выявлено значительное количество недостатков, связанных с:
– незавершенностью работ по классификации ИСПДн;
– формальным подходом при формировании модели угроз безопасности персональных данных;
– использованием технических СЗИ, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении ИСПДн к сети Интернет;
– отсутствием описания системы защиты персональных данных;
– отсутствием надлежащего учета применяемых СЗИ, эксплуатационной и технической документации к ним, носителей ПДн.