Отчет о деятельности Уполномоченного органа по защите



Pdf просмотр
страница1/3
Дата12.02.2017
Размер3.18 Mb.
Просмотров374
Скачиваний0
ТипОтчет
  1   2   3

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год

1. Вступительное слово Руководителя Роскомнадзора А.А. Жарова
1. Вступительное слово руководителя Роскомнадзора А.А. Жарова .......................................... 2
2. Уполномоченный орган по защите прав субъектов персональных данных ........................... 3
3. Основные направления деятельности ...................................................................................... 7
3.1. Рассмотрение обращений и жалоб граждан, юридических лиц .......................................... 10 3.2. Контрольно-надзорная деятельность ..................................................................................... 13 3.3. Судебно-претензионная деятельность ................................................................................... 14 3.4. Ведение реестра операторов, осуществляющих обработку персональных данных ........... 15 3.5. Международная деятельность ................................................................................................. 16 3.6. Информационно-публичная деятельность ............................................................................. 18 3.7. Нормотворческая деятельность .............................................................................................. 20
4. Новации в деятельности Уполномоченного органа ................................................................21
4.1. Понятие персональных данных ............................................................................................... 22 4.2. Локализация баз персональных данных на территории Российской Федерации .............. 23 4.3. Трансграничная передача данных .......................................................................................... 24 4.4. Защита персональных данных в сети Интернет .................................................................... 24
5. Задачи на 2015 год....................................................................................................................25
5.1. Популяризация информации о безопасном обращении с персональными данными граждан и формирование общественного мнения, направленного на безопасное использование личных данных ...................................................................................................... 26 5.2. Подготовка научно-практического комментария к Федеральному закону от 27.07.2006
№ 152-ФЗ «О персональных данных» ............................................................................................ 26 5.3. Организация работы по формированию реестра нарушителей прав субъектов персональных данных ..................................................................................................................... 26 5.4. Разработка предложений в проекты нормативно-правовых актов (в целях реализации норм Федерального закона № 242-ФЗ).......................................................................................... 26
Оглавление

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
2
В эпоху высоких технологий и революционных изобретений тема защиты персональных данных приобретает наиболее востребованный характер.
Стремительное развитие информационных технологий приводит к быстрому вовлечению населения в глобализирующийся мир. Темпы развития современных технологий настолько высоки, что возросли возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Так, угрозы в информационной сфере вырвались вперед, обогнав последовательно развивающийся мир.
Активное использование злоумышленниками средств интеграции и быстрой обработки персональных данных создает угрозу правам и законным интересам человека. Именно поэтому персональные данные нуждаются в самой серьезной защите. И здесь на страже закона в области персональных данных и порядка его соблюдения стоит Уполномоченный орган по защите прав субъектов персональных данных. Государственному регулятору крайне важно на ранних стадиях пресечь, спрогнозировать нарушения законодательства Российской Федерации в области персональных данных.
Уверенно могу сказать, что необходимость обеспечения защиты персональных данных в наше время – объективная реальность. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях. Поэтому необходимость принятия мер по защите персональных данных вызвана также возросшими техническими возможностями по копированию и распространению информации.
Однако современные технологии не настолько страшны, если ими пользоваться умело и с умом.
В этой связи Уполномоченному органу важно донести до субъектов персональных данных правила безопасной обработки персональных данных.
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав граждан, Уполномоченный орган требует от организаций и физических лиц обеспечить надежную защиту персональных данных.
1. Вступительное слово руководителя Роскомнадзора А.А. Жарова

3 2. Уполномоченный орган по защите прав субъектов персональных данных
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ
СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И МАССОВЫХ КОММУНИКАЦИЙ

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
4
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – Уполномоченный орган по защите прав субъектов персональных данных.
Руководство
Жаров Александр Александрович – руководитель
Роскомнадзора
Приезжева Антонина Аркадьевна – заместитель руководителя Роскомнадзора
Профильное законодательство
• Конституция Российской Федерации от 12 декабря 1993 года
• Федеральный закон от 19 декабря 2005 года № 160-
ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
• Федеральный закон от 27 июля 2006 года № 152-
ФЗ «О персональных данных»
• Постановление Правительства РФ от 1 ноября
2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• Постановление Правительства РФ от 15 сентября
2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановление Правительства РФ от 6 июля
2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
• Постановление Правительства РФ от 21 марта
2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 21 декабря 2011 года № 346 «Об утверждении
Административного регламента по предоставлению государственной услуги
«Ведение реестра операторов, осуществляющих обработку персональных данных»
• Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 года № 312 «Об утверждении
Административного регламента исполнения государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской
Федерации в области персональных данных»
Международные акты
• Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года ETS
№ 108 и Дополнительный протокол к ней ETS № 181
• Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»
• Директива 97/66/ЕС Европейского парламента и Совета Европейского союза от 15 декабря 1997 года по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе
Российская Федерация является стороной
Конвенции, Федеральным законом от 19 декабря
2005 года № 160-ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Конвенция была ратифицирована с отдельными заявлениями, в частности о неприменении Конвенции к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к персональным данным, отнесенным к государственной тайне. Завершение процедуры ратификации Конвенции состоялось в мае 2013 года.
Виды ответственности и меры реагирования:
• административная;
• уголовная;
• меры пресекательного и профилактического характера;
• судебная защита прав и законных интересов граждан;
• взаимодействие с органами прокуратуры, правоохранительными органами и с уполномоченными органами иностранных государств.
Контакты:
109074, г. Москва, Китайгородский пр., д. 7, стр. 2
Телефоны:
Справочно-информационный центр:
(495) 987-68-00 (тел.)
(495) 987-68-01 (факс)
пн-чт 9.00–18.00, пт 9.00–16.45
Экспедиция Роскомнадзора работает: понедельник, вторник, среда, четверг – с 10.00 до 13.00 и с 14.00 до 17.00; пятница с 10.00 до 13.00 и с 14.00 до 16.00.
Общий электронный адрес Роскомнадзора: rsoc_in@rkn.gov.ru
Адрес официального сайта Роскомнадзора: http://rkn.gov.ru/
Адрес Портала персональных данных: http://
pd.rkn.gov.ru/

5 2. Уполномоченный орган по защите прав субъектов персональных данных
Роскомнадзор осуществляет свою деятельность непосредственно и через свои территориальные органы. Функции Уполномоченного органа реализуются силами центрального аппарата и 71 территориальным органом, из них 9 управлений по федеральным округам. На территории
Российской Федерации контрольно-надзорными и регулирующими полномочиями в области защиты персональных данных наделены более 330 сотрудников центрального аппарата и территориальных органов Роскомнадзора.
Основными задачами Уполномоченного органа по защите прав субъектов персональных данных являются:
• обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области персональных данных;
• ведение реестра операторов, осуществляющих обработку персональных данных, а также проверка сведений, содержащихся в уведомлении об обработке персональных данных;
• рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения;
• подготовка предложений по совершенствованию нормативного правового регулирования в области защиты прав субъектов персональных данных;
• организация международного сотрудничества по вопросам деятельности в области защиты прав субъектов персональных данных и др.
Для решения поставленных задач на уровне центрального аппарата создано Управление по защите прав субъектов персональных данных
(далее – Управление).
В структуре Управления функционируют три отдела:
• отдел организации контроля и надзора за обработкой персональных данных;
• отдел правового и методического обеспечения;
• отдел ведения реестра операторов, осуществляющих обработку персональных данных.

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
6
СТРУКТУРА УПОЛНОМОЧЕННОГО ОРГАНА
Руководитель
Роскомнадзора
А.А. Жаров
Территориальные органы
Заместитель руководителя
Роскомнадзора
А.А. Приезжева
Начальник
Управления по защите прав субъектов персональных данных
Ю.Е. Контемиров
Отдел контроля и надзора за соответствием обработки персональных данных
Отдел правового и методического обеспечения
Отдел ведения реестров, операторов, осуществляющих обработку персональных данных

7 3. Основные направления деятельности

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
8
История защиты личных (персональных) данных берет свое начало с 1976 года, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы.
Данная Конвенция является первым международным договором мирового значения, содержащим юридически обязывающие нормы в области защиты персональных данных. Ее задача – обеспечение реализации прав человека на уважение частной жизни и свободу информации, зафиксированные в Статьях 8 и 10 Европейской конвенции о защите прав человека и основных свобод. Для решения этой задачи Конвенция предусматривает обязанность государств-участников соблюдать при автоматизированной обработке персональных данных принципы справедливости, законности, пропорциональности, адекватности, точности, конфиденциальности, уведомления субъекта данных и его права на доступ к данным о себе.
В России данная Конвенция была подписана и ратифицирована в начале 2000-х годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных.
Федеральным законом от 19 декабря 2005 года
№ 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Конвенция была ратифицирована с отдельными заявлениями, в частности о неприменении Конвенции к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к персональным данным, отнесенным к государственной тайне. Завершение процедуры ратификации Конвенции состоялось в мае 2013 года.
Во исполнение обязательств, предусмотренных положениями Конвенции, 27 июля 2006 года был принят основной закон Российской Федерации в области обработки персональных данных – Федеральный закон № 152-ФЗ «О персональных данных»
(далее – Закон), основанный на конституционных положениях, гарантирующих защиту прав граждан на неприкосновенность частной жизни, личную и семейную тайну. Закон унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые механизмы защиты прав граждан при сборе и обработке персональных данных. В Законе закреплены все общепризнанные европейским сообществом принципы обработки персональных данных.
В целях реализации положений Закона распоряжением Правительства Российской
Федерации 15.08.2007 № 1055 был утвержден
План подготовки проектов нормативных актов, необходимых для реализации Федерального закона
«О персональных данных», к настоящему моменту выполненный в полном объеме.
В связи с этим на начальном этапе Российской
Федерацией были приняты исчерпывающие меры по созданию национальной системы законодательства в области персональных данных. Так, было выпущено несколько постановлений Правительства Российской
Федерации и нормативных актов уполномоченных федеральных органов исполнительной власти по отдельным вопросам в сфере обработки персональных данных.
В целях актуализации действующей нормативной правовой базы, приведения ее в соответствие с международными и общеевропейскими актами в июле
2011 года в Федеральный закон «О персональных данных» были внесены изменения, которые коснулись сферы действия Федерального закона, используемых в нем основных понятий, принципов и условий обработки персональных данных (Федеральный закон от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»). Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. Введено право Уполномоченного органа осуществлять международное сотрудничество с уполномоченными органами иностранных государств, а также утверждать перечень иностранных государств, обеспечивающих адекватную защиту персональных данных. Кроме того, уточнены основания осуществления оператором деятельности по обработке персональных данных без уведомления Уполномоченного органа.
Внесенные изменения обусловили переработку существующих и разработку ряда новых подзаконных нормативных правовых актов.
Последним аккордом данной работы стало подписание Президентом Российской Федерации
7 мая 2013 года Федерального закона № 99-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием
Федерального закона «О ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Внесены изменения в 14 законодательных актов, среди которых
Трудовой кодекс, Гражданский процессуальный кодекс, федеральные законы о прокуратуре, об актах гражданского состояния, о негосударственных пенсионных фондах, о государственной социальной помощи, о государственном банке данных о детях, оставшихся без попечения родителей, о связи, о лотереях и другие. Изменения направлены на введение в действие принципов защиты персональных данных, соблюдение конфиденциальности и обеспечение защиты персональных данных в регулируемых этими актами сферах, а также уточнение случаев получения согласия субъекта персональных данных на их обработку либо случаев, когда такого согласия не требуется.

9 3. Основные направления деятельности
Кроме того, установлены повышенные меры охраны и защиты особых категорий персональных данных, определено, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца, введена регистрация информационных систем персональных данных.
Таким образом, 5 мая 2013 года Российская
Федерация завершила процедуру ратификации
Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
В соответствии со ст. 23 Федерального закона
«О персональных данных» в Российской Федерации определен Уполномоченный орган по защите прав субъектов персональных данных. Им является федеральный орган исполнительной власти, осуществляющий функции по контролю (надзору) в сфере информационных технологий и связи.
В соответствии с постановлением Правительства
Российской Федерации от 16 марта 2009 года № 228 сегодня им является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Впервые полномочия по защите прав субъектов персональных данных были возложены на Уполномоченный орган 15 декабря 2007 года.
Первым руководителем Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия
(Россвязьохранкультуры) с возложенными постановлением Правительства Российской
Федерации от 6 июня 2007 года № 354 функциями по контролю и надзору за соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области персональных данных был Боярсков Борис Антонович.
После преобразования Россвязьохранкультуры в декабре 2008 года в Федеральную службу по надзору в сфере связи и массовых коммуникаций
(Россвязькомнадзор) ее руководителем был назначен
Ситников Сергей Константинович.
Впоследствии Россвязькомнадзор был преобразован в 2009 году в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Распоряжением Председателя Правительства
Российской Федерации от 3 мая 2012 года № 702-р новым руководителем Роскомнадзора был назначен
Жаров Александр Александрович.
В настоящее время функции Уполномоченного федерального органа исполнительной власти по защите прав субъектов персональных данных возложены на Роскомнадзор, который обладает особыми федеральными полномочиями в отношении всех органов власти на федеральном и региональном уровне. Эти полномочия находятся исключительно в ведении Роскомнадзора и не могут быть переданы другим органам власти.
Государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства РФ
(проведение плановых и внеплановых проверок, мониторинг деятельности операторов, осуществляющих обработку персональных данных)
Ведение реестра операторов
(прием и регистрация уведомлений об обработке персональных данных, предоставление выписок из реестра операторов, формирование и ведение реестра операторов)
Подготовка предложений по совершенствованию нормативного правового регулирования в области защиты прав субъектов персональных данных
Направление Отчета о деятельности
Уполномоченного органа Президенту Российской
Федерации, в Правительство
Российской Федерации и Федеральное Собрание
Российской Федерации
Рассмотрение жалоб и обращений субъектов персональных данных
(разъяснение требований законодательства, оценка деятельности операторов и принятие, при наличии оснований, мер реагирования, рассмотрение жалоб на действия территориальных управлений
Роскомнадзора)
функции
Уполномоченного органа по защите прав субъектов персональных данных в РФ
Международное сотрудничество с уполномоченными органами по защите прав субъектов персональных данных иностранных государств
Обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представление их интересов в суде

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
10 3.1. Рассмотрение обращений и жалоб граждан, юридических лиц
Следуя своей правозащитной деятельности,
Уполномоченный орган, в том числе, изучает положение дел в области защиты прав субъектов персональных данных через призму конкретных нарушений.
Именно письменные обращения, личный прием граждан дают возможность определить болевые точки сегодняшней жизни. Уполномоченный орган видит одну из своих задач в том, чтобы реальные проблемы соблюдения прав и свобод человека и гражданина при обработке его персональных данных, выявленные в процессе работы с обращениями граждан, были не только разрешены, а создали условия для выработки мер, направленных на предупреждение, прогнозирование и пресечение нарушений законодательства в области персональных данных.
С учетом обеспечения принципа объективного, всестороннего и своевременного рассмотрения обращения глубокий анализ жалоб позволяет выявить тенденции общего состояния законности, степени удовлетворения потребностей граждан и т. д.
На сегодняшний день реализация прав и свобод человека и гражданина предполагает различные пути взаимодействия граждан с Уполномоченным органом. В частности, обратиться в Уполномоченный орган возможно путем направления письменного обращения, заполнения электронной формы обращения через официальный сайт Уполномоченного органа, а также личного приема граждан
Уполномоченным органом.
Следует отметить, что прогрессивная динамика поступления в Уполномоченный орган обращений граждан с жалобами на нарушения их прав как субъектов персональных данных наблюдается с момента создания Уполномоченного органа. Так, в период с 2009 года (465) по 2010 год (1 829) число обращений граждан выросло в 4 раза. Начиная с 2011 года (3 920) их количество ежегодно увеличивалось в 2 раза, и по состоянию на 2014 год количество обращений составляло 20 132.
Тематика жалоб соответствует тенденциям последних лет. В последнее время каждая вторая жалоба поступает в отношении интернет-ресурсов
(в том числе социальных сетей), а также на действия кредитных учреждений и коллекторских агентств.
Необходимо отметить появление в 2014 году спланированных акций по направлению от значительного количества граждан однотипных обращений, касающихся контрольно- надзорных мероприятий и порядка применения законодательства Российской Федерации в области персональных данных.
Положение дел в области защиты прав субъектов персональных данных
Активность граждан – залог успешного развития

11 3. Основные направления деятельности
Указанным способом отдельные граждане злоупотребляют правом на защиту своих интересов.
Также зачастую складывается ситуация, когда граждане не знают о наличии в Уполномоченном органе обращений от их лица.
Отнюдь не малую долю поступления имеют обращения, связанные с разъяснениями порядка применения законодательства Российской Федерации в области персональных данных, в том числе, порядка хранения персональных данных на серверах, находящихся за пределами Российской Федерации, а также порядка трансграничной передачи персональных данных.
Предмет жалоб на действия владельцев интернет- сайтов, как правило, связан с предоставлением доступа неограниченному кругу лиц к персональным данным заявителя.
Темы обращений касались и разъяснения порядка применения законодательства Российской Федерации в области персональных данных, в том числе:
• возможности обработки и передачи персональных данных граждан в рамках различных гражданско- правовых договоров;
• передачи персональных данных третьим лицам
(коллекторам, рекламным агентствам и другим сторонним компаниям);
• порядка и условий обработки биометрических персональных данных;
• требований к оформлению согласия путем проставления субъектом персональных данных
«галочки» в веб-форме пользовательского соглашения при оказании услуг через сеть Интернет;
• порядка и условий установки видеокамер, а также хранения полученных видеозаписей;
• правомочности запросов о предоставлении персональных данных;
• порядка хранения персональных данных на серверах, находящихся за пределами
Российской Федерации, а также порядка трансграничной передачи персональных данных;
• условий размещения персональных данных на интернет-сайтах (открытые базы персональных данных граждан, создание фейковых аккаунтов в социальных сетях, размещение фотографий и иных данных на различных сайтах, размещение персональных данных несовершеннолетних, размещение официальных документов органов власти, в которых содержатся персональные данные граждан);
• обработки персональных данных, превышающей цели сбора данных (например, когда нормативными правовыми актами предусмотрен сбор и размещение в общем доступе избыточного объема персональных данных, то есть не соответствующего цели, ради которой такие данные были собраны).
При этом в 2014 году из общего числа обращений подтвердилось лишь 10% доводов. Одной из причин подобной тенденции является непредставление гражданами дополнительной информации по запросу Уполномоченного органа. Также на момент рассмотрения обращения имеет место недействительность указанных гражданином фактов.
Следует также отметить, что каждый вид обращений имеет специфику и, следовательно, индивидуальный подход к его рассмотрению.
В частности, в отношении кредитных учреждений многочисленны жалобы на действия, связанные с передачей персональных данных без согласия клиентов, а в отношении коллекторских агентств – жалобы на действия, связанные с обработкой персональных данных, в том числе их распространением, без согласия граждан.
Так, граждане жалуются, что их данные незаконно передаются коллекторам или иным третьим лицам и не уничтожаются банками в случае отзыва согласия на обработку данных.
количество обращений
2008 146 2009 465 2010 1 829 2011 3 920 2012 5 677 2013 10 016 2014 20 132

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
12
Обработка кредитными учреждениями либо коллекторскими агентствами персональных данных граждан в данном случае подтверждается наличием договорных отношений, установленных законодательством Российской Федерации.
Зачастую отзыв согласия на обработку персональных данных не является основанием для прекращения обработки банками персональных данных при наличии существующих договорных отношений. Российское законодательство в области персональных данных предоставляет банкам право обрабатывать персональные данные граждан на основании заключенного договора, а также реализовывать свое право на взыскание задолженности в рамках агентской схемы и уступки права требования по кредитному договору (цессия).
Между тем возникают вопросы, связанные с отзывом согласия на обработку персональных данных, в частности имеются нюансы с временным периодом отзыва согласия. Так, с одной стороны, осуществление обработки персональных данных в рамках исполнения кредитного или банковского договора оператором (банком) после направления субъектом отзыва согласия не противоречит требованиям законодательства РФ в области персональных данных. С другой стороны, в случае если договором предусмотрено при возникновении задолженности согласие клиента на передачу его персональных данных коллекторскому агентству и до возникновения задолженности клиент отзывает свое согласие, то необходимо уточнить, данное согласие было условием договора и прописано в теле договора или согласие давалось отдельно от договора. В случае если согласие было условием договора и отзыв согласия оформлен в виде дополнительного соглашения к договору, то передача оператором без согласия клиента будет неправомерной. Если согласие изначально не являлось условием договора, то его отзыв впоследствии будет расцениваться как неправомерная передача персональных данных.
При осуществлении деятельности по взысканию задолженности на основании агентских договоров банки и коллекторские агентства должны соблюдать требования конфиденциальности и безопасности.
Представителям коллекторского агентства необходимо убедиться в том, что у банка имеется согласие должников на передачу их персональных данных.
Кроме того, в Гражданском кодексе предусмотрена возможность переуступки прав. При этом согласие должника на передачу его персональных данных в рамках переуступки права требования не требуется.
Но ввиду того, что персональные данные получены не от субъекта персональных данных, коллекторское агентство обязано проинформировать его о факте заключения договора цессии и предоставить ему информацию, предусмотренную ч. 3 ст. 18
Федерального закона «О персональных данных».
Следующий вопрос, с которым мы столкнулись, – это хранение персональных данных граждан банками после прекращения обработки персональных данных.
Граждане жалуются, что их данные незаконно хранятся банками после прекращения договорных отношений.
В соответствии с п. 1 ч. 1 ст. 7 Федерального закона от 07.08.2011 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны до приема на обслуживание идентифицировать клиента, представителя клиента и (или) выгодоприобретателя, за исключением случаев, установленных пунктами 1.1, 1.2 и 1.4 указанной статьи.
Согласно ч. 4 ст. 7 Федерального закона от 07.08.2011 № 115-ФЗ банк вправе хранить документы, содержащие сведения, необходимые для идентификации личности, не менее пяти лет.
Таким образом, хранение банками указанной информации предусмотрено ч. 7 ст. 5 Федерального закона «О персональных данных».
Достаточно большое количество обращений связано с привлечением управляющими компаниями третьих лиц для осуществления расчетов с собственниками жилых помещений.
Граждане жалуются на незаконность осуществления расчетов за помещения и коммунальные услуги третьими лицами в отсутствие согласия на передачу персональных данных.
Частью 15 ст. 155 Жилищного кодекса предусмотрено право управляющей организации осуществлять расчеты с нанимателями и собственниками жилых помещений при участии платежных агентов.
Кроме того, в соответствии с ч. 16 ст. 155
Жилищного кодекса в указанных случаях согласие нанимателей и собственников жилых помещений на передачу их персональных данных платежным агентам не требуется.
Возникают также вопросы, связанные с получением согласия. Например, необходимо ли получать согласие физических лиц на передачу их персональных данных третьим лицам – юридическим представителям оператора для представления интересов оператора в суде в целях осуществления правосудия и защиты его прав и законных интересов?
В соответствии с ч. 3 ст. 6 Федерального закона
«О персональных данных» оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.

13 3. Основные направления деятельности
Согласно ч. 2 ст. 48 ГПК РФ дела организаций ведут в суде их органы, действующие в пределах полномочий, предоставленных им федеральным законом, иными правовыми актами или учредительными документами, либо представители.
Положениями ст. 54 ГПК РФ закреплено право представителя совершать от имени представляемого все процессуальные действия.
Таким образом, согласие гражданина
(ответчика) на обработку его персональных данных, осуществляемую в рамках гражданского и гражданско-процессуального законодательства, не требуется.
Рассматривались в отчетном периоде и обращения по вопросу о порядке обработки образовательными организациями персональных данных обучающихся при предоставлении государственной услуги по ведению электронных дневников и журналов в случае отказа законных представителей несовершеннолетних предоставить согласие на обработку персональных данных.
В случае оказания услуги по ведению электронных дневников и журналов посредством единого портала государственных и муниципальных услуг согласия субъекта персональных данных на обработку данных не требуется.
В случае если оператор поручил обработку персональных данных другому лицу с согласия субъекта персональных данных и в случае последующего отказа законных представителей от предоставления согласия на обработку персональных данных образовательные учреждения не имеют оснований для передачи персональных данных обучающихся третьему лицу.
Рассматривался вопрос о правомерности действий организации по обработке информации, полученной с видеокамер, расположенных на фасаде здания. В данном случае применяются нормы ч. 1 ст. 152.1 Гражданского кодекса РФ.
Так, обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина.
Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
3.2. Контрольно-надзорная деятельность
В соответствии с требованиями
Федерального закона
«О персональных данных», на основании
Административного регламента исполнения
Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных территориальными органами
Роскомнадзора проводятся плановые проверки операторов, осуществляющих обработку персональных данных (далее – Операторы).
В ходе проверок проверяется соблюдение требований следующих нормативных правовых актов:
• Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных» и иных федеральных законов, устанавливающих случаи и особенности обработки персональных данных.
• Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных
Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным Постановлением Правительства РФ от 21.03.2012 № 211 (далее – Перечень).
• Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства
Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В рамках осуществления контрольно-надзорных полномочий в сфере защиты прав субъектов персональных данных Роскомнадзором в 2014 году проведено 1 006 плановых проверок, в том числе 263 в отношении государственных органов, муниципальных органов, организующих и (или) осуществляющих обработку персональных данных, а также 184 внеплановых проверки.
По результатам проведенных контрольно- надзорных мероприятий выдано 680 предписаний об устранении выявленных нарушений.
Выявленные нарушения требований Федерального закона «О персональных данных» и принятых на его основе подзаконных актов, в основном, сводились к следующим:
• непринятие мер или несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
14
• обработка персональных данных без согласия субъекта персональных данных либо несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
• нарушение требований конфиденциальности при обработке персональных данных;
• обработка персональных данных субъекта по достижению цели обработки;
• неуведомление Уполномоченного органа об осуществлении деятельности по обработке персональных данных.
В отчетном периоде составлено и направлено на рассмотрение в суды 7 127 протоколов об административных правонарушениях, по результатам рассмотрения которых наложено административных штрафов на общую сумму 9 926 300 рублей.
Установленные факты правонарушений были классифицированы по ст. 19.7 КоАП
РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.4.1 и 19.5 КоАП РФ за воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора) и неисполнение ранее выданных предписаний.
Помимо участия представителей Роскомнадзора в судебных заседаниях по административным делам, возбужденным по фактам нарушения требований законодательства в области персональных данных, функция судебной защиты прав и законных интересов граждан включает в себя обращения в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц.
За 2014 год Роскомнадзором и его территориальными органами подано в суд 28 исковых заявлений в отношении 96 интернет-ресурсов.
Принято 9 судебных решений о блокировке 16 интернет-ресурсов, 19 дел по состоянию на конец 2014 года находились на рассмотрении.
В рамках мониторинга сети Интернет Роскомнадзор впервые применил дифференцированный подход, который заключался в поиске размещенных в Сети персональных данных несовершеннолетних.
По результатам мониторинга было выявлено более
2 тыс. интернет-ресурсов с незаконно размещенными персональными данными детей, опубликованными образовательными учреждениями, органами власти субъектов, ответственных за образовательную деятельность. В добровольном порядке было удалено
90% противоправной информации.
Следует отметить, что нарушения требований законодательства Российской Федерации в части размещения персональных данных детей вызваны не злым умыслом, а действиями, возникшими в связи с неверной трактовкой определенных положений
Закона о персональных данных.
В рамках методической работы с государственными инспекторами Роскомнадзора, осуществляющими государственный контроль (надзор), в 2014 году на плановой основе проводились рабочие совещания в режиме видео-конференц-связи по проблемным вопросам правоприменительной практики законодательства Российской Федерации в области персональных данных, а также обучающие семинары по основным направлениям деятельности.
Подготовлены методические разъяснения по организации судебно-претензионной работы, реализации мер пресекательного характера в рамках мероприятий систематического наблюдения.
Для повышения эффективности государственного контроля в области персональных данных в 2014 году акцент был сделан на комплексный, системный подход по обеспечению прозрачности контрольно-надзорных процедур.
На официальном сайте Роскомнадзора и Портале персональных данных, на интернет-страницах территориальных органов Роскомнадзора постоянно обновляется информация о результатах контрольно- надзорной деятельности, публикуются нормативные акты в сфере персональных данных, новостные ленты, а также сведения о реестре операторов персональных данных.
Важным новшеством года стало повышение открытости деятельности Роскомнадзора по защите прав субъектов персональных данных, привлечение к публичным процессам представителей операторского сообщества.
Так, был организован и проведен «День защиты персональных данных детей». Основной целью мероприятия стало доведение до целевой аудитории информации о негативных последствиях, которые может повлечь размещение данных о детях в интернете, разъяснение основных и принципиальных положений Закона о персональных данных. В рамках мероприятия широко обсуждались проблемы культуры поведения в сети Интернет как учителей, так и детей, необходимость формирования у детей культуры общения в Сети, вопросы медиаграмотности и т. д.
3.3. Судебно-претензионная деятельность
Одним из главных результатов деятельности
Роскомнадзора как
Уполномоченного органа по защите прав субъектов персональных данных следует считать формирование судебной практики в области защиты прав субъектов персональных данных и создание системы пресечения незаконной деятельности по обработке персональных данных в сети Интернет.

15 3. Основные направления деятельности
11%
2%
7%
муниципальные органы государственные органы физические лица
Основной проблемой, связанной с рассмотрением обращений граждан, стала защита их прав в связи с нарушениями посредством сети Интернет. Эта проблема выражалась в отсутствии действенных механизмов устранения нарушений операторов, владельцев российских сайтов, а в большей степени – владельцев иностранных сайтов.
В 2014 году, реализуя свое право на подачу исковых заявлений в защиту прав субъектов персональных данных, Уполномоченный орган стал формировать новую судебную практику по защите прав граждан при незаконной обработке их персональных данных в сети Интернет.
В 2014 году был преобразован формат исковых заявлений. В частности, в исковые заявления были включены требования о признании деятельности интернет-сайтов незаконной и нарушающей права граждан на неприкосновенность частной жизни, личную и семейную тайну, а распространяемой ими информации – запрещенной к распространению на всей территории Российской Федерации.
Впервые мы включили в наши требования к суду просьбу блокировать сайты нарушителей или отдельные страницы этих сайтов. До этого практики принудительного исполнения судебных актов по блокировке сайтов в связи с нарушением законодательства о персональных данных не существовало. Кроме того, победой Уполномоченного органа стало введение практики блокировки сайтов до вынесения судебного решения на основании процедуры предварительного обеспечения иска.
Необходимо отметить, что нами был модернизирован сам подход к судебной работе. Это позволило Уполномоченному органу на основании решения суда осуществлять блокировку не только интернет-сайтов, но и их дубликатов (зеркал).
За 2014 год Роскомнадзором и его территориальными органами подано в суд 28 исковых заявлений в отношении 96 интернет-ресурсов.
Нарушения законодательства в области персональных данных в основном связаны с опубликованием сайтами ксерокопий паспорта, фотографий с указанием контактной информации конкретного гражданина, а также различных баз данных с персональными данными граждан Российской Федерации.
В 2014 году принято 9 судебных решений о блокировке 16 интернет-ресурсов, 19 дел находятся на рассмотрении.
3.4. Ведение реестра операторов, осуществляющих обработку персональных данных
В результате информационно- публичной деятельности
Роскомнадзора и сбора данных об операторах в рамках ведения реестра операторов, осуществляющих обработку персональных данных, в 2014 году зарегистрировано более 27 тыс. операторов.
Всего по состоянию на 31.12.2014 в реестре зарегистрировано 314 697 операторов. В их числе:
• государственные органы – 7 837,
• муниципальные органы – 33 974,
• юридические лица – 252 417,
• физические лица – 20 469.
Из общего числа операторов, внесенных в реестр:
• общеобразовательные учреждения – 31 533,
• дошкольные учреждения – 33 684,
• учреждения здравоохранения и социального обеспечения – 8 394,
• учреждения ЖКХ (ТСЖ) – 10 392,
• средние и высшие учебные заведения профессионального образования – 3 221,
• кредитные учреждения – 1 138,
• туроператоры – 952,
• коллекторские агентства – 152.
Всего в реестре зарегистрировано более
3 200 операторов, предоставивших сведения об осуществлении трансграничной передачи персональных данных. Как показывает анализ представленных уведомлений, трансграничная передача персональных данных в основном осуществляется в страны, присоединившиеся к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), а также в Китай, Египет, Турцию и Таиланд.
В реестр операторов, осуществляющих обработку персональных данных, на основании представленных уведомлений об обработке (о намерении осуществлять обработку), вносятся следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
количество операторов, внесенных в реестр
80%
юридические лица

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 год
16 3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных
(криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными
Правительством Российской Федерации.
Дополнительно, во исполнение требований
Федерального закона от 21.07.2014 № 242-ФЗ, вступающего в силу с 1 сентября 2015 года, уведомление должно содержать сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской
Федерации.
Отмечается, что наличие в реестре операторов, осуществляющих обработку персональных данных, контактных данных о лице, ответственном за организацию обработки персональных данных, позволяет Уполномоченному органу оперативно взаимодействовать с оператором при возникновении проблемных ситуаций.
Ведение реестра операторов, осуществляющих обработку персональных данных, проводится в Единой информационной системе Роскомнадзора.
По результатам практической деятельности по ведению реестра был выявлен проблемный вопрос: действующее законодательство в области персональных данных не предусматривает инициативное исключение сведений об операторе из реестра, в том числе при наступлении заявленного оператором срока прекращения обработки персональных данных (при отсутствии соответствующего заявления от оператора). В 2015 году планируется проработать вопрос о возможности законодательного установления принудительного исключения сведений о лице из реестра операторов, обрабатывающих персональные данные. В качестве оснований для такого исключения предлагается наступление срока прекращения обработки персональных данных, а также ликвидация юридического лица.
3.5. Международная деятельность
В 2014 году Роскомнадзор принимал участие в переговорных процессах по проектам международных соглашений, в том числе предусматривающих обработку персональных данных.
В консультациях по проекту
Соглашения между Российской Федерацией и Евроюстом о сотрудничестве в составе российской делегации принял участие представитель Роскомнадзора.
В рамках встречи российская сторона проинформировала об изменениях в законодательстве, произошедших за последнее время в сфере защиты персональных данных.
В рамках проводимой работы по поручению
Президента Российской Федерации по заключению соглашения между Российской Федерацией и Европейской полицейской организацией
(далее – Европол) о стратегическом и оперативном сотрудничестве в 2014 году представитель
Роскомнадзора принял участие в трехсторонних переговорах между представителями России,
Европола и Объединенной наблюдательной комиссии.
В ходе переговоров для Объединенной наблюдательной комиссии были даны разъяснения относительно аспекта независимости деятельности
Уполномоченного органа по защите прав субъектов персональных данных, а также приведены примеры успешного двустороннего полицейского сотрудничества между российскими и зарубежными правоохранительными органами.
В отчетном периоде представители Роскомнадзора были привлечены к плану реализации мероприятий по присоединению к Организации экономического сотрудничества и развития.
С 23 по 24 октября 2014 года прошло 9-е заседание
Рабочей группы по безопасности потребительской продукции, а с 27 по 29 октября 2014 года – 88-е заседание Комитета по потребительской политике
ОЭСР (г. Париж).
По вопросам, которые обсуждались на указанных мероприятиях, Роскомнадзором были даны предложения для формирования позиции межведомственной делегации Российской Федерации.
С 1 по 3 декабря 2014 года представители
Роскомнадзора в составе межведомственной российской делегации приняли участие в заседании
Комитета экспертов по вопросам модернизации
Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
(далее – Конвенция № 108).

17 3. Основные направления деятельности
В отношении текста модернизированной
Конвенции № 108 в установленном порядке были подготовлены и представлены в Минкомсвязь России предложения для формирования позиции Российской
Федерации.
В ноябре 2014 года состоялась V Международная конференция «Защита персональных данных», в которой приняли участие 15 иностранных делегаций, в том числе представители Совета Европы.
На конференции собрались ведущие российские и зарубежные специалисты в сфере обеспечения прав граждан на неприкосновенность персональной информации, представители различных сфер деятельности, ответственные за защиту персональных данных (кредитно-финансовых организаций, телекоммуникационных компаний, учреждений здравоохранения и образования, предприятий промышленного и топливного комплекса), эксперты по информационной безопасности.
Традиционно в конференции приняли участие и выступили с докладами представители заинтересованных министерств и ведомств.
В повестку дня юбилейного форума были включены наиболее актуальные вопросы защиты персональных данных. В частности, были даны необходимые комментарии к новациям российского законодательства в сфере персональных данных, состоялся обмен опытом по надлежащему обеспечению безопасности и конфиденциальности сведений о гражданах в разных сегментах финансово- хозяйственной деятельности и т. д.
Иностранные участники конференции рассказали об особенностях национальных законодательств, принятых в развитие положений Конвенции № 108.
В ходе конференции участники обсудили проблемы правового регулирования трансграничной передачи данных, обработки и защиты персональных данных в интернете, в том числе с точки зрения обеспечения права на частную жизнь.
Также следует отметить, что в рамках международной деятельности во исполнение требований Федерального закона «О персональных данных» Роскомнадзор уполномочен утверждать перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных.
С учетом присоединения Российской Федерации к Конвенции № 108 при подготовке указанного перечня стран Роскомнадзор руководствуется подходами Европейского Союза к передаче персональных данных в страны, не присоединившиеся к Конвенции № 108, и оценке адекватности защиты персональных данных, закрепленными в рабочем документе Рабочей группы по защите прав частных лиц применительно к обработке персональных данных, принятом 24 июля 1998 года WP12 (DG XV D/5025/98).
В настоящее время перечень иностранных государств, соответствующих указанным критериям, состоит из 17 стран. В 2014 году из указанного перечня ввиду несоответствия указанным критериям исключены Швейцарская Конфедерация и Гонконг.


Поделитесь с Вашими друзьями:
  1   2   3


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал