19 Августа, 2014

Любопытные, забавные и пугающие прецеденты проверок по персональным данным

Артем Агеев
Есть у меня несколько любопытных прецедентов проверок регуляторов, о которых я люблю вспоминать, когда дело доходит до защиты персональных данных.

Под катом моя личная подборка Топ-5.

name='more'>

1. 178 протоколов


За 3 месяца работы Роскомнадзор по Краснодарскому краю и Республике Адыгея оштрафовал 178 юрлиц в двух субъектах РФ. Это примерно 3 штрафа в день. При этом в плане проверок Роскомнадзора по КК и РА на весь 2012 годбыло всего 18 организаций.

Как такое стало возможно? В 152-ФЗ прописано право РКН на письменный запрос информации у операторов персональных данных в обход положений закона о защите  предпринимателей при проверках ( 294-ФЗ ), которым, видимо, Роскомнадзор и воспользовался.
178 организаций проигнорировали такое письмо (а сколько ж всего писем то было?) и Роскомнадзор заработал 200 тысяч рублей на штрафах не вставая со стула.

2. Слишком хорошо - тоже плохо

 Роскомнадзор по Астраханской области провел плановую проверку больницы, в ходе которой было установлено , что больница берет письменные согласия на обработку персональных данных пациентов. Однако в соответствие с нормами 152-ФЗ, письменное согласие на обработку сведений о здоровье брать не нужно, если эти сведения обрабатываются профессиональным врачом (см. п.4 ч.2 ст.10 152-ФЗ). Поэтому больнице было выдано предписание на устранение выявленных недостатков (то есть уничтожение всех собранных согласий). 
 Примечательно, что если к базе данных пациентов имеют доступ, к примеру, ИТ администраторы, то согласие брать придется заново ;).

3. Фото в Одноклассниках

Учительница выложила фото учеников на своей страничке в Одноклассниках. Учительницу будут теперь судить .
Пока Роскомнадзор отлавливает учителей в Одноклассниках, РЖД, к примеру, спокойно игнорирует законодательство в области персональных данных и лишает права на конфиденциальность персональных данных миллионы граждан.

4. Отзыв лицензии

Роскомнадзор по Ярославской области чуть не отозвал лицензию у МТС за то, что один из дилеров неправильно обрабатывал персональные данные.

Заметьте, нарушил требования по обработке ПДн дилер, а лицензию собрались отзывать у самого опсоса!
Скорее всего дело было так: полиция выявила симку, зарегистрированную на подставное лицо; нашли дилера, выдавшего симку; настучали дилеру и его начальству по башке, использовав для этого карательные полномочия регулятора в области персональных данных. Собственно, использовать защиту ПДн как повод для наказания недовольных нашим силовикам не впервой .

5. Незаконная деятельность

Прокуратура города Уфы выявила нарушения законодательства о защите персональных данных в работе ООО "Исток-Сервис" и ООО "Инфорсер" и признала их деятельность незаконной.
Первое, что бросается в глаза: проверкой в области защиты персональных данных занималась прокуратура, а не Роскомнадзор, ФСТЭК или ФСБ.
Второе - это, конечно, наказание.

Сразу у двух коммерческих организаций не оказалось лицензии ФСТЭК по ТЗКИ для собственных нужд (!). За это их решили закрыть и признать незаконным всю их предыдущую деятельность. Круто, да?
Как и в предыдущем примере, я уверен, что истинный повод тут был совершенно другой. 
Крупным организациям стоит иметь ввиду, что законодательство в области персональных данных с легкостью может быть использовано для рейдерства.

Какой вывод из этого можно сделать? Закон, что дышло...  Закон суров, но это закон. Выполнять требования законодательства в области персональных данных нужно всегда, хоть, к удивлению, это и не даст вам 100% гарантии от отечественных ревизоров.

PS Если у вас есть любопытные прецеденты в этой области, поделитесь, пожалуйста, ссылками в комментариях!