В реестре[1] Роскомнадзора (по состоянию на 07.11.2017), на территории нашей страны обработку персональных данных (ПД) осуществляют 400 955 операторов. Практика показывает, что даже крупные компании не всегда соблюдают требования законодательства в этой сфере.
Недавно оказалось, что «Почта России» не имеет права требовать от получателей заказных писем указывать сведения из паспорта в извещении.
Защита персональных данных требует комплексного подхода. Задача государства – регламентировать деятельность по обработке ПД и контролировать выполнение требований законодательства со стороны операторов. Но и сами граждане должны заботиться о сохранности личной информации. 9 ноября в Москве пройдет ежегодная конференция «Защита персональных данных», которая обобщит опыт регуляторов и игроков рынка ПД и поможет ответить на самые актуальные вопросы отрасли.
Базовый принцип – согласие
Отправной точкой для регулирования отрасли ПД можно считать Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке ПД» (ETS №108), принятую в 1981 году в Страсбурге, и сопутствующие ей директивы. Россия подписала и ратифицировала Конвенцию в 2001 году. Сейчас сфера защиты персональных данных (ПД) в РФ регулируется рядом нормативно-правовых актов. Полный список НПА содержится на порталеуполномоченного органа (Роскомнадзор). Базовыми документами, кроме Конвенции, являются:
• Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
• Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации» (в части порядка блокирования информации в интернете).
Основной принцип регулирования этой сферы заключается во взятии согласия на обработку персональных данных у субъекта ПД.
1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 №242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Этот документ обязал операторов ПД обеспечить локализацию баз персональных данных российских граждан на территории РФ, что оказало серьезное влияние на отрасль. Также законом предусмотрено создание «Реестра нарушителей прав субъектов персональных данных», ведением которого занимается Роскомнадзор.
Последнее законодательное нововведение в сфере защиты ПД – это принятие Федерального закона от 07.02.2017 №13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (вступил в силу 1 июля текущего года). Поправки увеличили ответственность за нарушения прав субъектов персональных данных.
Раньше ст. 13.11. КоАП РФ предусматривала административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Новый закон ввел семь составов правонарушений в сфере обработки ПД и увеличил суммы штрафов за неисполнение соответствующих требований.
Нарушение требований
В первом полугодии 2017 года территориальные органы РКН провели 532 плановые проверки в сфере защиты прав субъектов ПД. По результатам 65% из них выявлены нарушения, которые можно разделить на основные типы:
• представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения – 143 нарушения (11 % от общего количества);
• непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами – 108 (9%);
• несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства - 86 (7%);
• непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных – 81 (7%);
• несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации - 80 (6%);
• несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации – 79 (6%);
• обработка персональных данных в случаях, непредусмотренных Федеральным законом «О персональных данных» - 71 (6%);
• отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ - 70 (6%).
Данные на 01.09.2017
Дайте жалобную книгу
За шесть месяцев 2017 года в адрес Роскомнадзора поступило более 16 тыс. обращений по тематике защиты прав субъектов персональных данных (на 6,8% меньше, чем за аналогичный период 2016 года). 91,2% - это жалобы на действия операторов, осуществляющих, по мнению заявителей, незаконную обработку ПД. Больше всего вопросов у населения вызвали действия кредитных учреждений, организаций ЖКХ, владельцев интернет-сайтов (в том числе социальных сетей), коллекторских агентств. Доводы заявителей подтвердились в 6,9% случаев.
В 8,3% обращений содержатся просьбы разъяснить отдельные положения законодательства РФ в области персональных данных. Оставшиеся 0,5% касаются обжалования действий территориальных органов РКН.
Профилактическая помощь
Проверки – не единственный способ улучшить ситуацию в сфере защиты персональных данных. Большое внимание Роскомнадзор уделяет профилактике нарушений, информированию операторов об изменениях в нормативной базе отрасли и обучению граждан основам кибербезопасности. Все эти направления – этапы реализации «Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года», разработанной в РКН.
В конце июля Роскомнадзор опубликовал рекомендации по составлению политики обработки персональных данных. Документ состоит из трех разделов. В первом сформулированы цели разработки рекомендаций, во втором определены основные используемые понятия. Третий раздел закрепляет рекомендуемые структурные компоненты политики оператора.
В подготовке документа приняла участие Молодежная палата при РКН, которая была создана в марте 2017 года.
РКН уделяет много сил профилактике защиты персональных данных детей и подростков. Ведомство создало сайт (http://персональныеданные.дети) для объяснения основ защиты личной информации, выпустило тематический ролик, регулярно организует уроки информационной безопасности для школьников, проводит конкурсы среди младшего поколения.
Подписывают добросовестные
Еще один проект РКН – это Кодекс добросовестных практик (Кодекс этической деятельности (работы) в интернете). Как следует из названия, в документе содержится свод правил и принципов для компаний и организаций, которые работают в Сети. Цель документа – защитить государство, общество и гражданина от угроз, связанных с развитием инфокоммуникационных технологий, и создать максимально безопасное цифровое пространство.
Первые 24 компании подписали Кодекс на конференции «Защита персональных данных» в ноябре 2016 года. Сейчас к проекту присоединились уже 580 операторов персональных данных, среди которых представители министерств, автономных некоммерческих организаций, высших и средних специальных учебных заведений и бизнеса. Подписание Кодекса продолжится в рамках VIII Конференции «Защита персональных данных».
Мероприятие имеет статус международного. В этом году на конференцию впервые приедут эксперты из Китайской народной республики. Всего планируется участие делегатов из 11 стран.
Выступления иностранных специалистов посвящены взаимодействию РФ и других стран в области защиты ПД, новым тенденциям и угрозам. В программе конференции указаны такие темы как «Международная информационная безопасность частной жизни», «Цифровой суверенитет и информационная безопасность государства, общества и гражданина», «Соотношение GDPR[1] и российского регулирования в сфере персональных данных».
Спикеры не обойдут вниманием и сугубо российские вопросы защиты персональных данных, дадут конкретные рекомендации операторам и специалистам по обработке ПД, обсудят проблемные темы. http://https://rspectr.com/articles/370/kak-obespechivaetsya-zashita-personalnyh-dannyh-v-rf
______________________________
[1] Реестр операторов, осуществляющих обработку персональных данных.
[2] Регламент защиты персональных данных Евросоюза.