Статьи

Любопытные истории проверки операторов персональных данных

1.11.2014

/

За многолетнюю историю проверок операторов персональных данных накопилось несколько поучительных инцидентов, без которых картина правоприменения норм обработки персональных данных была бы неполной.

Я предлагаю вам почитать о нескольких любопытных инцидентах в этой области.


1. 178 протоколов


За 3 месяца работы Роскомнадзор по Краснодарскому краю и Республике Адыгея оштрафовал 178 организаций. Это примерно по 3 штрафа в день. При этом в плане проверок Роскомнадзора по КК и РА на весь 2012 год было всего 18 организаций.

Как такое стало возможно? В 152-ФЗ прописано право РКН на письменный запрос информации у операторов персональных данных в обход положений закона о защите предпринимателей при проверках (294-ФЗ), которым, видимо, Роскомнадзор и воспользовался.

178 организаций проигнорировали такое письмо (а сколько ж всего писем то было?), и Роскомнадзор заработал 200 тысяч рублей на штрафах не вставая со стула.


2. Улыбайтесь, вас мониторят!


Кроме массовой рассылки писем, Роскомнадзор так же имеет полное право осуществлять систематическое наблюдение за вебсайтами (мониторинг).

В ходе такого мониторинга на сайтах нескольких стоматологических клиник Роскомнадзор не обнаружил политику обработки персональных данных. Результаты мониторинга Роскомнадзора направлены в прокуратуру, и клиники ждёт штраф. Собираете персональные данные через сайт? Опубликовали политику конфиденциальности?


3. Слишком хорошо - тоже плохо


Роскомнадзор по Астраханской области провел плановую проверку больницы, в ходе которой было установлено, что больница берет письменные согласия на обработку персональных данных пациентов. Однако в соответствие с нормами 152-ФЗ, письменное согласие на обработку сведений о здоровье брать не нужно, если эти сведения обрабатываются профессиональным врачом (см. п.4 ч.2 ст.10 152-ФЗ). Поэтому больнице было выдано предписание на устранение выявленных недостатков (то есть уничтожение всех собранных согласий).

Примечательно, что если к базе данных пациентов имеют доступ, к примеру, ИТ администраторы, то согласие брать придется заново!


4. Фото в Одноклассниках


Учительница выложила фото учеников на своей страничке в Одноклассниках. Учительницу будут теперь судить.

Даже на бытовом уровне нарушить законодательство о персональных данных легче лёгкого. Результатом нескольких неосторожных кликов мышкой может вполне оказаться суд и штраф.


5. Отзыв лицензии


Роскомнадзор по Ярославской области чуть не отозвал лицензию у МТС за то, что один из дилеров неправильно обрабатывал персональные данные.

Заметьте, нарушил требования по обработке ПДн дилер, а лицензию собрались отзывать у самого оператора связи!

Скорее всего дело было так: полиция выявила симку, зарегистрированную на подставное лицо; нашли дилера, выдавшего симку; чтобы хорошенько наказать дилера и его начальство, решили использовать для этого карательные полномочия регулятора в области персональных данных. К сожалению, недочёты в законодательстве позволяют и такое.


6. Незаконная деятельность


Прокуратура города Уфы выявила нарушения законодательства о защите персональных данных в работе ООО "Исток-Сервис" и ООО "Инфорсер" и признала их деятельность незаконной.

Первое, что бросается в глаза: проверкой в области защиты персональных данных занималась прокуратура, а не Роскомнадзор, ФСТЭК или ФСБ.

Второе - это, конечно, наказание.

Сразу у двух коммерческих организаций не оказалось лицензии ФСТЭК по ТЗКИ для собственных нужд. За это их решили закрыть и признать незаконным всю их предыдущую деятельность. Крупным организациям стоит иметь ввиду, что законодательство в области персональных данных с легкостью может быть использовано для рейдерства.

К сожалению, ясности в процессах лицензирования деятельности по защите информации нет и сегодня. Поэтому мы рекомендуем организациям заключать договоры на аутсорсинг.

Какой вывод из всего вышесказанного можно сделать? Несмотря на исключительный характер подобранных прецедентов, избежать большей части проблем с проверками по персональным данным можно, выполнив несколько базовых мероприятий: разработать документы, закрепить ответственность, установить средства защиты информации.

Если же вы стремитесь максимально обезопасить себя и свой бизнес от возможных проблем, то тут лучше не заниматься самолечением и сразу обратиться к профессионалам, которые знают все тонкости и нюансы правоприменительной практики.

Артем Агеев