Самый открытый РКН: отчет за 2015 год и планы

Самый открытый РКН: отчет за 2015 год и планы

28 января в Международный день защиты персональных данных ("День конфиденциальности") Роскомнадзор провел (впервые) День открытых дверей . В рамках него рассказали несколько презентаций о работе Службы в области защиты прав субъектов ПДн, провели тематический круглый стол и консультации субъектов и операторов ПДн. Мероприятие оказалось довольно полезным, и об этом я сейчас расскажу подробнее.

День открытых дверей был организован очень странно. Информации о мероприятии практически не было, я узнал о нем буквально за неделю до даты из твиттера.

Программа также была не доступна:

На День ОТКРЫТЫХ дверей нельзя было просто взять и прийти, необходимо было заранее позвонить и зарегистрироваться. Да, именно позвонить, веб-регистрация не была предусмотрена. Кстати, из-за этого меня могли и не пропустить, почему-то записали "Орлов Андрей Алексеевич" (вместо "Прозоров"). Минут 20 этот эту проблему решали на входе в РКН...

Из-за сложности регистрации и отсутствия информационной поддержки на мероприятие пришло всего порядка 60-70 человек. Но, что удивительно, пленарная часть транслировалась в Periscope ( https://periscope.tv/rkn_official ). Но только пленарная часть, сессию вопросов и ответов не записывали.

Вообще, мероприятие было очень информативным. Условно, контент можно разделить на 3 блока: общий отчет о результатах и планах, защита ПДн детей (например, еще раз рассказали про сайт http://персональныеданные.дети , я про него писал тут ) и сессия вопросы/ответы.

РКН представляла делегация в следующем составе: Приезжева Антонина Аркадьевна (заместитель руководителя Роскомнадзора), Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов персональных данных), Гафурова Альфия Хасибулловна (заместитель начальника Управления.), Солдатова Галина Владимировна (Доктор психологических наук, профессор МГУ), Алехина Елена Геннадиевна (представитель консультативного совета). Каждый из них сделал по одному докладу и активно отвечал на вопросы посетителей.

В начале показали социальный ролик, посвященный защите ПДн - https://youtu.be/7xfxn-Jpe3Q  , а потом перешли уже к "классическим" темам: 242-ФЗ, контроль и надзор, обращения субъектов и пр. Выбрал самое важное.

Про обращения граждан
  • Всего в 2015 году поступило 33 327 обращений (в 2014 - 21 065). Количество жалоб на нарушение прав субъектов ПДн увеличилось, но снизился процент подтвержденных нарушений. "Это говорит о недостаточном уровне понимания всех участников процесса обработки ПДн."
 Про контроль и надзор
  • Напомнили, что в связи с выходом Федерального закона от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" теперь деятельность РКН по "контролю и надзору за обработкой персональных данных" выведена из-под действия Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Ограничений по проведению проверок стало меньше...
  • "Тренд - снижение количества проверок". "Количество проверок сократилось на 20%, их результативность увеличилась" (хм, а в чем измеряется результативность проверок???).
  • "Взят курс на обеспечение открытости контроля и надзора".
  • Общая статистика:
    • За 2015 год проведены 1264 проверки операторов ПДн: 1160 (92%), 104 (8%).
    • Выявлено 1448 нарушений в области ПДн по результатам 2090 мероприятий систематического контроля.
    • Выдано 731 предписание.
    • Составлено 7727 протоколов об административном правонарушении.
    • Наложено более 10.4 млн.рублей штрафов.
  • Типичные нарушения:
    • Непредоставление доступа к политике по обработке и иным документам, регламентирующим порядок и условия обработки ПДн - 857.
    • Обработка ПДн без согласия субъектов ПДн либо несоответствие содержания письменного согласия субъекта на обработку его Gly требованиям Федерального закона - 143.
    • Нарушение требований конфиденциальности при обработке ПДн - 98.
    • Обработка ПДн субъекта по достижении цели обработки - 127.
    • Не уведомление уполномоченного органа об осуществлении обработки ПДн - 89.
  • Наибольшее количество нарушений выявлено в ПФО, на втором месте - ЦФО, на третьем - СЗФО.
  • А вот основные результаты контроля, но они уж слишком неконкретные:

Напомнили про НМД про 242-ФЗ

Про реестры операторов ПДн и нарушителей
  • Отныне операторы обязаны сообщать о месте нахождения баз данных ПДн, формы уведомления актуализированы.
  • "Реестр операторов становится надежным ориентиром для субъектов ПДн ,т.к. наличие оператора реестре воспринимается как некий знак соответствия законодательству в области ПДн."
  • В реестр нарушителей прав субъектов ПДн внесено 108 записей и заблокировано 29 ресурсов за последние 3 месяца. "Пресечена неправомерная обработка ПДн более 45 млн.человек" (А почему не 143.5 млн?

Про планы и цели
На мой взгляд, цели и задачи РКН слишком неконкретные. Я бы их назвал "ключевые направления работы". Но если кому-то надо, то вот:



Прочее
  • Еще раз напомнили про научно-практический комментарий к 152-ФЗ. Я уже писал про него , документ очень хорош и полезен.
  • Кратко рассказали про Консультативный совет:
  • Упомянули про Стратегию информационно-разъяснительной работы, которая будет выработана в марте 2016.
Но самой полезной частью Дня открытых дверей считаю сессию вопросов и ответов, которая продолжалась практически 2 часа. На ней можно было задавать любые вопросы регулятору по теме ПДн. В основном спрашивали про трансграничную передачу ПДн, 242-ФЗ, наличие мер защиты (но на это отвечали общими фразами, регулятор отвечает не за это), получение согласия с субъектов ПДн и другое.

Я задал 3 вопроса: 
  • Про инициативу с новым термином/сущностью "личные данные", которую предложили Путину В.В. Если кратко: РКН не видит явной необходимости в выделении данного понятия, оно, очевидно, входит в уже существующее "ПДн".
  • Про ожидаемые много лет повышение штрафов и подход "штрафовать за инциденты". Если кратко: да, законопроект с увеличенными штрафами проходит 2е чтение (ну-ну). А про  подход "штрафовать за инциденты" ничего не сказали...
  • Про совместные с ФСТЭК России и ФСБ России проверки по тематике ПДн. Если кратко: в плане нет.
В целом, мероприятие мне понравилось, было очень полезным.
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Andrey Prozorov

Информационная безопасность в России и мире