Rambler's Top100
Статьи ИКС № 07-08 2011
Лилия ПАВЛОВА  26 июля 2011

Проверочное слово и дело

В 2010 г. за нарушения законодательства о персональных данных их операторы оштрафованы на общую сумму 4,48 млн руб. – почти в 60 раз больше, чем в 2009 г.; по требованию Роскомнадзора в судебном порядке прекращена деятельность 16 интернет-ресурсов, незаконно распространявших персональные данные граждан РФ.

Тему проверок не могли обойти стороной участники 4-го межотраслевого форума директоров по информационной безопасности.

Контролеры быстрого реагирования

Как сообщила Татьяна Коротаева (PricewaterhouseCoopers Россия), из трех контролирующих органов самый частый визитер к операторам персональных данных – Роскомнадзор. По количеству плановых проверок, информация о которых открыта на сайте Генпрокуратуры, он на порядок опережает ФСТЭК и ФСБ, с их более «узкой специализацией» в этой области – контроль и надзор за выполнением технических требований по обеспечению безопасности персональных данных. Так, ФСТЭК в 2010 г. провела 230 плановых проверок (внеплановые не проводились). «Важно, что Роскомнадзор очень оперативно реагирует на жалобы, организуя внеплановые проверки», – подчеркнула юрист PricewaterhouseCoopers. Характерно, что из проведенных в 2010 г. 1253 проверок (втрое больше, чем в 2009 г.) 449 (36%) – внеплановые.

Растет и активность субъектов персональных данных: от граждан поступило 1829 обращений (против 465 в 2009 г.). Анализируя цифры Роскомнадзора, Олег Кузьмин («Ай-Теко»), отметил, что 596 жалоб признаны необоснованными и факты нарушений не установлены, что свидетельствует о недостаточной правовой грамотности населения. С другой стороны, по 500 жалобам, направленным в прокуратуру, виновные в нарушениях операторы персональных данных были привлечены к административной ответственности. А еще по 157 жалобам операторы добровольно устранили нарушения прав субъектов, чем был достигнут разумный компромисс. Самые частые нарекания вызвали операторы связи (12% жалоб) и организации ЖКХ (11%).

На практикуме была смоделирована проверка регулятораКонтролеры – тоже люди

Признавая в целом адекватность действий Роскомнадзора, О. Кузьмин напомнил операторам персональных данных, что контролеры тоже не застрахованы от ошибок. Соответственно, операторы должны суметь доказать недействительность результатов проверки, если она проведена с грубым нарушением ст. 20 закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

К грубым нарушениям относятся: отсутствие оснований для плановой проверки или нарушение сроков уведомления о ее проведении; отсутствие оснований для внеплановой проверки и согласования с прокуратурой в необходимых случаях; проведение проверки без распоряжения или приказа руководителя органа государственного или муниципального контроля; требование документов, не относящихся к предмету проверки, превышение установленных сроков проведения проверок; непредставление акта проверки. В этом случае оператор должен обжаловать результаты проверки в вышестоящем контрольном (надзорном) органе или в суде. Ну а если проверка действительно нашла нарушения, оператор должен своевременно разработать и выполнить план их устранения.

Ужас со счастливым концом

Знание своих прав и обязанностей при общении с контролирующими органами – несомненное украшение операторов персональных данных. Но лучшие друзья – отраслевые стандарты. По словам Светланы Касиной («Национальный НПФ»), в Национальной ассоциации негосударственных пенсионных фондов с 2007 г. действует отлаженная система стандартизации, однако 2009 г., когда пошли первые нарекания контролеров, стал для фондов «годом ужаса». «Тогда вдруг выявилось, что у нас с надзорными органами по многим пунктам диаметрально противоположные позиции, – пояснила С. Касина. – И главной из проблем выполнения закона «О персональных данных» я бы назвала правовой нигилизм, отсутствие единой точки зрения в трактовке многих спорных вопросов».

Выход из «ужаса» дает отраслевой стандарт защиты персональных данных для негосударственных пенсионных фондов, разработанный в этом году компанией LETA в сотрудничестве с Национальной ассоциацией негосударственных пенсионных фондов. С завершением процедуры согласования с регуляторами он станет основой проектов по созданию систем защиты персональных данных в НПФ. При этом, как заметил Александр Бондаренко (компания LETA), идеи, заложенные при разработке стандарта (доступное изложение текста для людей, не владеющих специальной терминологией; детализация мероприятий и наличие готовых шаблонов, развернутые рекомендации, оригинальная методика составления модели угроз и др.), могут быть полезны для любой отрасли или отдельных операторов персональных данных.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!