Территориальные управления

Выступление заместителя руководителя Роскомнадзора Р.В. Шередина на заседании Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных

10 февраля 2011 года

(Москва, 9 февраля 2011 г.)

 

Уважаемые дамы и господа!

 

Целью моей презентации является освещение деятельности Уполномоченного органа по защите прав субъектов персональных данных в Российской Федерации.

В России Уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, Федеральная служба). Впервые полномочия по защите прав субъектов персональных данных были возложены на Федеральную службу 15 декабря 2007 года.

Деятельность Роскомнадзора в системе государственных органов исполнительной власти курируется Министерством связи и массовых коммуникаций Российской Федерации, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных.

 

В своей деятельности Роскомнадзор руководствуется положениями международных правовых актов.

В первую очередь, это Конвенция Совета Европы № 108 о защите личности в связи с автоматической обработкой персональных данных, а также Директивы № 95/46/ЕС и № 2002/58/ЕС Европейского Парламента и Совета Европейского Союза. Подписав Конвенцию в 2001 году Российская Федерация возложила на себя обязательства по приведению в соответствие с нормами европейского законодательства как национального законодательства так и деятельности в области защиты прав субъектов персональных данных.

Первым шагом в реализации вышеназванных обязательств стало принятие Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»   (далее – Федеральный закон).

 Федеральный закон, установил права субъектов персональных данных, обязанности и ответственность операторов, осуществляющих обработку персональных данных, определил Уполномоченный орган по защите прав субъектов персональных данных.

В соответствии с дополнительным протоколом к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации ETS № 181, подписанным уполномоченным представителем Российской Федерацией во исполнение распоряжения Президента Российской Федерации от 10 февраля 2006 г. № 54-рп, каждая Сторона предусматривает один или более наблюдательный орган, который осуществляет контрольно – надзорные функции по защите прав субъектов персональных данных, в том числе посредством проведения расследований, участия в судебных процессах, а также заслушивания претензий, поданных любым лицом относительно защиты его прав.

В соответствии с Федеральным законом «О персональных данных» указанные контрольно – надзорные функции возложены на федеральный орган исполнительной власти, осуществляющий контроль в сфере информационных технологий и связи. Согласно постановления Правительства Российской Федерации от 16 марта № 228 этим уполномоченным федеральным органом исполнительной власти является Роскомнадзор.

 

 В целях правового обеспечения реализации  возложенных полномочий Роскомнадзором был принят Административный регламент проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Регламент устанавливает порядок, сроки и основания проведения проверок в области персональных данных. Одним из оснований проведения внеплановой проверки Оператора является заявление субъекта персональных данных.

Приказом Министерства связи и массовых коммуникаций Российской Федерации от 30 января 2010 г. № 18 утвержден Административный регламент по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных»».

Этим актом регламентируется все административные процедуры, связанные с ведением реестра, начиная с внесения сведений об операторе в реестр и завершая его исключением из реестра, а также определен порядок и формы контроля за исполнением этой государственной функции.

Принятие указанных нормативных актов создает условия, отвечающие принципам независимости, изложенным в дополнительном протоколе к евроконвенции  и позволяет осуществлять функции Уполномоченного органа по защите прав субъектов персональных данных эффективно, качественно и в полном объеме.

 

Далее несколько слов о структуре и результатах деятельности Уполномоченного органа по защите прав субъектов персональных данных в Российской Федерации.

Руководитель Уполномоченного органа назначается на должность Председателем Правительства Российской Федерации. Руководитель имеет заместителя, отвечающего за вопросы, связанные с защитой прав субъектов персональных данных.

Для решения поставленных задач Федеральной службой 28 декабря 2007 г. было создано Управление по защите прав субъектов персональных данных.

В Правовом управлении Федеральной службы создан отдел правового обеспечения деятельности в сфере защиты прав субъектов персональных данных и информационных технологий.

В составе Федеральной службы функционируют 75 территориальных органов, из них в 67-ми созданы профильные отделы, в остальных управлениях введены отдельные должности для выполнения функций по осуществлению государственного контроля и надзора на территории Российской Федерации за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Таким образом, в настоящее время создана и функционирует территориально-распределенная организационно-штатная структура Уполномоченного органа, которая имеет координационный центр на федеральном уровне и территориальные органы во всех субъектах Российской Федерации.

 

 

Основными функциями Уполномоченного органа по защите прав субъектов персональных данных являются:

- осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;

- рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения;

- ведение реестра операторов, осуществляющих обработку персональных данных, а также проверка сведений, содержащихся в уведомлениях об обработке персональных данных.

 

К основным функциям также относятся:

 

- обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление их интересов в суде;

- подготовка предложений по совершенствованию нормативного правового регулирования в области защиты прав субъектов персональных данных;

- организация международного сотрудничества по вопросам деятельности в области защиты прав субъектов персональных данных;

- направление ежегодного Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации.

Приведенный перечень функций Уполномоченного органа в полной мере соответствуют Евроконвенции и дополнительному протоколу.

 

При осуществлении надзорной деятельности Уполномоченный орган взаимодействует с Федеральной службой безопасности (ФСБ России), Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Министерством внутренних дел Российской Федерации, а также Генеральной прокуратурой Российской Федерации.

Организация взаимодействия Уполномоченного органа с органами государственной власти Российской Федерации в 2010 году осуществлялась по следующим направлениям:

- во-первых, проведение совместных проверок (в период с 2008 по 2010 год проведено 10 проверок, по результатам которых выдано 11 предписаний об устранении выявленных нарушений и составлен  протокол об административном правонарушении).

- во-вторых, выработка практических рекомендаций по приведению деятельности операторов, осуществляющих обработку персональных данных, в соответствие требованиям Федерального закона «О персональных данных». В результате этой деятельности были выданы рекомендации по приведению 27-ми ведомственных нормативных актов в соответствие с требованиями законодательства Российской Федерации в области персональных данных.

 

Статьей 24 Федерального закона предусмотрена ответственность операторов за нарушения требований законодательства в области персональных данных, включая уголовную и административную ответственность.

Уголовным Кодексом установлены три состава преступлений: ст.ст. 137, 140 и 272 с максимальной санкцией в виде лишения свободы на срок до 5 лет.

 

Справочно:

ст. 137 Уголовного Кодекса РФ – незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении;

 ст. 140 Уголовного Кодекса РФ – неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации;

 ст. 272 Уголовного Кодекса РФ – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

 

 

Кодексом Российской Федерации об административных правонарушениях предусмотрены четыре состава административных проступков: ст.ст. 5.39, 13.11, 13.14 и 19.7 с максимальной санкцией в виде штрафа до 10 тысяч рублей.

 

Справочно:

ст. 5.39 Кодекса РФ об административных правонарушениях – отказ в предоставлении гражданину документов и материалов, непосредственно затрагивающих права и свободы гражданина либо несвоевременное представление таких материалов, либо  предоставление гражданину неполной или заведомо недостоверной информации

 ст. 13.11 Кодекса РФ об административных правонарушениях  –  нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных

 ст. 13.14 Кодекса РФ об административных правонарушениях –  разглашение информации доступ к которой ограничен федеральным законом

 ст. 19.7 Кодекса РФ об административных правонарушениях – непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа.

 

 Учитывая незначительный размер существующих штрафных санкций, мы вышли с инициативой существенно ужесточить административную ответственность за нарушение требований законодательства Российской Федерации в области персональных данных при условии её дифференциации в зависимости от причиненного вреда правам и законным интересам субъектов персональных данных.

Эта инициатива была поддержана Министерством связи и массовых коммуникаций Российской Федерации, Правительством Российской Федерации и представителями Государственной Думы Российской Федерации в рамках обсуждения на заседаниях межведомственной рабочей группы при Минкомсвязи России.

Вместе с тем, до настоящего времени  законопроект, предусматривающий внесение изменений в КоАП РФ, Государственной Думой Российской Федерации так и не рассмотрен.

Это крайне негативно отражается на эффективности защиты прав и законных интересов граждан как субъектов персональных данных.

 

Роскомнадзором был определен ряд приоритетных категорий операторов, в отношении которых в первоочередном порядке планировалось проведение контрольно-надзорных меропритяий в области персональных данных. Условно указанные категории операторов можно разделить на 3 группы:

  1. Операторы, на деятельность которых поступали жалобы граждан о нарушении их прав и законных интересов.
  2. Операторы, к ведению которых предположительно, относятся информационные системы, базы данных которых, незаконно распространяются в сети Интернет и на розничных рынках.
  3. Операторы, осуществляющих обработку персональных данных особых категорий граждан. В частности в 2010 году была проведена проверка Минобразования России, органов управления образованием в субъектах Российской Федерации. Широкий перечень полномочий Роскомнадзора позволил не только проверить деятельность указанных органов государственной власти на предмет соответствия требованиям законодательства в области персональных данных, но и соблюдение требований обязательной сертификации федеральной государственной информационной системы, содержащей сведения о детях, содержащихся без попечения родителей.

 

В целом с момента возложения полномочий      Уполномоченным органом проведено  1781  проверка в области персональных данных, из них:

плановые проверки                        – 1121

внеплановые проверки                   – 660

По результатам проверок:

устранено более 5000 нарушений в области защиты персональных данных;

выдано 2557 предписаний;

составлено и направлено в суды 3267 протоколов об административных правонарушениях;

судами  вынесено постановлений о привлечении нарушителей к административной ответственности в форме штрафа на общую сумму свыше 5115 тыс. рублей;

 

Принимая во внимание тот факт, что персональные данные значительного числа субъектов, в большинстве своем,  концентрируются в информационных системах органов государственной власти, мы большое внимание уделяем  их деятельности, связанной с обработкой персональных данных, которая, по – нашему мнению, как никакая другая должна соответствовать установленным требованиям Федерального закона «О персональных данных».

В 2009-2010 годах Федеральной службой было проведено 215 проверок в отношении указанной категории операторов (это органы ГИБДД, органы внутренних дел в субъектах Российской Федерации), а также в отношении силовых структур: Министерство обороны Российской Федерации, Федеральная миграционная служба, Федеральная таможенная служба, Федеральная налоговая служба и другие.

По результатам проведенных проверок:

выдано 147 предписаний об устранении выявленных нарушений;

составлено и направлено в суды 15 протоколов об административных правонарушениях.

Наиболее типичными являются следующие нарушения:

- несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности (справочно: указанные действия нарушают требования  ч. 3, ч.7 ст. 22 Федерального закона «О персональных данных»);

- в единичных случаях - непринятие мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (справочно: указанные действия нарушают требования п. 15 постановления Правительства РФ от 15 сентября 2008 г. № 687).

Проведя сравнительный анализ итогов контрольно – надзорной деятельности Федеральной службы, необходимо отметить, что объем нарушений, допускаемый  органами государственной власти не превышает 8 % от общего количества выявленных нарушений, что свидетельствует о достаточно высоком уровне организации деятельности по защите персональных данных в органах государственной власти Российской Федерации.

 

В целях защиты конституционных прав и свобод человека и гражданина при обработке его персональных данных нами особое внимание уделяется рассмотрению обращений граждан.

С момента возложения на Федеральную службу полномочий по защите прав субъектов персональных данных по состоянию на 1 февраля 2011 года поступило 2440 обращений.

В 2008 году всего - 146 обращений;

В 2009 году - 465 (уже более чем в 3 раза);

В 2010 году  - 1829

 «Лидерами» по числу жалоб на их деятельность при обработке персональных данных граждан являются операторы связи, организации жилищно– коммунального хозяйства, средства массовой информации, кредитные организации. Вместе с тем, необходимо отметить отраслевую специфику предмета жалоб граждан. Так, у операторов связи, чаще всего обжалуются действия, связанные с передачей персональных данных третьим лицам, с заключением фиктивных договоров на оказание услуг связи. Для сферы ЖКХ наиболее распространенными являются жалобы на действия, связанные с предоставлением доступа неограниченного круга лиц к персональным данным граждан (размещение различных списков, содержащих персональные данные  граждан, имеющих задолженность по оплате коммунальных услуг). Средства массовой информации чаще всего нарушают требования Федерального закона «О персональных данных» в части, касающейся опубликования персональной информации без соответствующего согласия. Наконец, в деятельности кредитных организаций чаще всего подтверждаются факты неправомерной передачи персональных данных граждан третьим лицам (коллекторским агентствам), а также продвижения своих услуг без предварительного согласия граждан.

 

Граждане обращаются в Уполномоченный орган как с просьбой разъяснить положения законодательства (396  обращений (22 %)), так и с жалобами на неправомерные действия в отношении них (1433 обращений (78 %)).

Из 1433  жалоб, по 511 (36 %) соответствующие материалы были направлены в органы прокуратуры для привлечения виновных к административной ответственности, по 596 (42 %) обращениям по результатам рассмотрения факты нарушений не установлены,  в 157 (11 %) случаях операторы в добровольном порядке приняли меры по восстановлению нарушенных прав и законных интересов граждан, 169 (11 %) жалоб находятся на рассмотрении.

Необходимо отметить, что в последнее время из-за профессиональной загруженности органов прокуратуры и двухмесячного срока давности, предусмотренного ст. 4.5 КоАП РФ, увеличилось количество отказов органов прокуратуры в возбуждении административного производства.

 

Особое внимание мы уделяем борьбе с незаконным распространением персональных данных в СМИ и сети «Интернет».

Так, за период 2009 – начало 2011 года Федеральной службой вынесено 36 предупреждений средствам массовой информации за нарушение требований ст. 4 Закона «О СМИ», которая, в том числе запрещает распространять персональные данные без согласия субъекта.

Нами активно реализуются меры как профилактического, так и пресекательного характера, в том числе по предотвращению и прекращению распространения персональных данных в общественных местах, особенно на средствах наружной рекламы. В случаях выявления таких фактов по требованию Роскомнадзора указанная информация оперативно удаляется.

Мы отслеживаем деятельность интернет – ресурсов, которые предоставляют незаконные услуги по поиску и предоставлению персональной информации.

Во втором полугодии 2010 года   Роскомнадзором по результатам рассмотрения обращения граждан, а также по итогам мониторинга деятельности интернет-сайтов,   активно проводилась работа по  борьбе с незаконной обработкой персональных данных в сети Интернет.  

На сегодняшний день направлено в суды 21 исковое заявление с требованием уничтожить персональные данные граждан, незаконно размещенные в сети Интернет. По результатам рассмотрения судами   приняты решения об уничтожении незаконно обрабатываемых персональных данных и прекращении делегирования 16 доменных имен.

Признавая необходимость комплексного межведомственного подхода к решению указанной проблемы, нами было инициировано заключение соглашения о взаимодействии с ГУВД г. Москвы, целью которого является пресечение противоправных действий, связанных с распространением персональных данных, в том числе, посредством проведения совместных контрольных мероприятий в местах реализации баз данных на физических носителях и в информационно-телекоммуникационной сети «Интернет».

С целью пресечения деятельности интернет – ресурсов, расположенных за пределами Российской Федерации, ведется подготовительная работа по организации соответствующего взаимодействия с уполномоченными органами иностранных государств.

Ведение реестра операторов, осуществляющих обработку персональных данных (краткое наименование – Реестр), а также завершение процедуры его формирования, является одной из приоритетных задач Роскомнадзора.

В октябре 2009 года в сети Интернет мы реализовали электронный сервис, предоставляющий возможность интерактивного заполнения Оператором электронной формы уведомления об обработке персональных данных с последующим ее направлением в информационную систему Роскомнадзора для принятия управленческого решения.

 

Растущий интерес к электронной форме взаимодействия подтверждается цифрами. Если в октябре 2009 года через Портал поступило всего 123 уведомления, что составило 2,6 % от общего количества Операторов, включенных в Реестр в указанном периоде, то в феврале 2011 года эта цифра возросла до 47 %.   В среднем, с момента реализации интерактивных форм взаимодействия в 38% случаях операторы    воспользовались   электронной формой.

Так же, наряду с интерактивным заполнением электронной формы уведомления об обработке персональных данных, на официальном сайте Роскомнадзора и портале «Персональные данные» реализована возможность заполнения и направления электронных заявлений о предоставлении  выписки из реестра операторов. По состоянию на 1 февраля 2011 г. этой услугой воспользовались 468 заявителей, то есть 24 % от поступивших заявлений.

Сегодня в реестре более 172 тысяч операторов, осуществляющих обработку персональных данных.

Необходимо отметить, что в результате активизации деятельности, связанной с формированием реестра, мы определились с прогнозной численностью операторов, подлежащих включению в реестр Роскомнадзора. Она существенно отличается от ранее озвученного общего прогнозного числа операторов, осуществляющих деятельность по обработке персональных данных, на территории Российской Федерации.

 

2010 год стал этапом активизации деятельности операторов по выработке предложений, направленных  на унификацию отраслевых подходов в деятельности по обработке персональных данных. Одной из форм указанной деятельности является  разработка  отраслевых стандартов или рекомендаций по реализации требований законодательства Российской Федерации в области персональных данных в конкретных сферах деятельности.

Принимая во внимание актуальность вопроса, связанного с выработкой унифицированных подходов к деятельности по обработке персональных данных, Роскомнадзор поддерживает разработку операторами указанных стандартов, поскольку это позволяет обеспечить реализации требований Федерального закона «О персональных данных»  с учетом особенностей профессиональной деятельности оператора.

В 2010 году нами был согласован комплект документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», подготовлены предложения в Концепцию защиты персональных данных информационных системах персональных данных оператора связи.

В настоящий момент на рассмотрении в Роскомнадзоре находится проект Стандарта Национальной ассоциации участников фондового рынка, направленный на обеспечение безопасности персональных данных при их обработке в информационных системах профессиональных участников рынка ценных бумаг.

 

Одним из важных направлений в работе Уполномоченного органа является информирование Операторов и субъектов персональных данных по их обращениям и запросам о положении дел в области защиты персональных данных. В целях информационного обеспечения на официальных сайтах  Уполномоченного органа в сети «Интернет» www.rsoc.ru, www.роскомнадзор.рф, Портале «Персональные данные» (www.pd.rsoc.ru), и на официальных сайтах наших территориальных органов размещена полная информация о структуре и деятельности Уполномоченного органа, все законодательные, и нормативные документы в сфере персональных данных, новостные ленты, сведения о Реестре операторов и План проведения  проверок.

Популяризация деятельности в сфере защиты прав субъектов персональных данных и повышение правовой культуры российских граждан осуществляется путем ведения специальных рубрик, публикации тематических сообщений, регулярных консультаций на страницах региональных сайтов, в печатных и электронных средствах массовой информации. 

В целях разъяснения положений законодательства Российской Федерации в области персональных данных мы принимаем активное участие в тематических конференциях и форумах.

При информационной поддержке Роскомнадзора в 2010 году проведено шесть образовательно-практических семинаров для операторов, в которых приняло участие более 600 человек.

 

В рамках международной деятельности представители Уполномоченного органа в составе российских делегаций участвуют в переговорах по заключению Базового Соглашения между Российской Федерацией и Советом Европы, Соглашения между Российской Федерацией и Евроюстом, Оперативного Соглашения между Российской Федерацией и Европолом. Мы привлечены к реализации плана мероприятий в рамках подготовки процесса присоединения Российской Федерации к Организации экономического сотрудничества и развития (ОЭСР), а также участвуем в международных мероприятиях по вопросам защиты прав субъектов персональных данных.

27-28 октября 2010 г. при поддержке Министерства связи и массовых коммуникаций Российской Федерации мы впервые провели Международную конференцию «Защита персональных данных». 

  Проведенная конференция получила положительные отзывы участников, позволила выработать эффективные решения проблемных вопросов в области персональных данных и действенные механизмы взаимодействия уполномоченных органов по защите прав субъектов персональных данных на территории СНГ.

Ключевым моментом данного мероприятия стало подписание Меморандума о сотрудничестве между уполномоченными органами России, Республики Молдова, Кыргызстана. Остальным странам-участникам Содружества Независимых Государств Меморандум был направлен для подписания в установленном порядке. В настоящий момент поступил ответ из Республики Беларусь, мнение остальных коллег мы ожидаем в ближайшее время.

 

Уважаемые коллеги!

 

Я надеюсь, что эта презентация, отражающая практические результаты деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных, исключительно положительную динамику   2009 - 2010 годов наглядно продемонстрировала то, что существующий статус Уполномоченного органа по защите прав субъектов персональных данных, основанный на принципах независимости осуществления своей деятельности, имеющиеся в его распоряжении организационные, кадровые и иные ресурсы позволяют нам сегодня в полном объеме и на высоком уровне решать задачи по защите прав субъектов персональных данных в России.

Благодарю Вас за внимание, спасибо!

Поделиться:

Время публикации: 10.02.2011 18:48
Последнее изменение: 11.02.2011 14:27