Страницы

Любопытные, забавные и пугающие прецеденты проверок по персональным данным

Есть у меня несколько любопытных прецедентов проверок регуляторов, о которых я люблю вспоминать, когда дело доходит до защиты персональных данных.

Под катом моя личная подборка Топ-5.



1. 178 протоколов


За 3 месяца работы Роскомнадзор по Краснодарскому краю и Республике Адыгея оштрафовал 178 юрлиц в двух субъектах РФ. Это примерно 3 штрафа в день. При этом в плане проверок Роскомнадзора по КК и РА на весь 2012 год было всего 18 организаций.

Как такое стало возможно? В 152-ФЗ прописано право РКН на письменный запрос информации у операторов персональных данных в обход положений закона о защите  предпринимателей при проверках (294-ФЗ), которым, видимо, Роскомнадзор и воспользовался.
178 организаций проигнорировали такое письмо (а сколько ж всего писем то было?) и Роскомнадзор заработал 200 тысяч рублей на штрафах не вставая со стула.

2. Слишком хорошо - тоже плохо

 Роскомнадзор по Астраханской области провел плановую проверку больницы, в ходе которой было установлено, что больница берет письменные согласия на обработку персональных данных пациентов. Однако в соответствие с нормами 152-ФЗ, письменное согласие на обработку сведений о здоровье брать не нужно, если эти сведения обрабатываются профессиональным врачом (см. п.4 ч.2 ст.10 152-ФЗ). Поэтому больнице было выдано предписание на устранение выявленных недостатков (то есть уничтожение всех собранных согласий). 
 Примечательно, что если к базе данных пациентов имеют доступ, к примеру, ИТ администраторы, то согласие брать придется заново ;).

3. Фото в Одноклассниках

Учительница выложила фото учеников на своей страничке в Одноклассниках. Учительницу будут теперь судить.
Пока Роскомнадзор отлавливает учителей в Одноклассниках, РЖД, к примеру, спокойно игнорирует законодательство в области персональных данных и лишает права на конфиденциальность персональных данных миллионы граждан.

4. Отзыв лицензии

Роскомнадзор по Ярославской области чуть не отозвал лицензию у МТС за то, что один из дилеров неправильно обрабатывал персональные данные.

Заметьте, нарушил требования по обработке ПДн дилер, а лицензию собрались отзывать у самого опсоса!
Скорее всего дело было так: полиция выявила симку, зарегистрированную на подставное лицо; нашли дилера, выдавшего симку; настучали дилеру и его начальству по башке, использовав для этого карательные полномочия регулятора в области персональных данных. Собственно, использовать защиту ПДн как повод для наказания недовольных нашим силовикам не впервой.

5. Незаконная деятельность

Прокуратура города Уфы выявила нарушения законодательства о защите персональных данных в работе ООО "Исток-Сервис" и ООО "Инфорсер" и признала их деятельность незаконной.
Первое, что бросается в глаза: проверкой в области защиты персональных данных занималась прокуратура, а не Роскомнадзор, ФСТЭК или ФСБ.
Второе - это, конечно, наказание.

Сразу у двух коммерческих организаций не оказалось лицензии ФСТЭК по ТЗКИ для собственных нужд (!). За это их решили закрыть и признать незаконным всю их предыдущую деятельность. Круто, да?
Как и в предыдущем примере, я уверен, что истинный повод тут был совершенно другой. 
Крупным организациям стоит иметь ввиду, что законодательство в области персональных данных с легкостью может быть использовано для рейдерства.

Какой вывод из этого можно сделать? Закон, что дышло...  Закон суров, но это закон. Выполнять требования законодательства в области персональных данных нужно всегда, хоть, к удивлению, это и не даст вам 100% гарантии от отечественных ревизоров.

PS Если у вас есть любопытные прецеденты в этой области, поделитесь, пожалуйста, ссылками в комментариях! 

8 комментариев:

  1. Любопытная подборка :)

    Штрафовать компании, не вставая со стула, можно не только с помощью «писем счастья»: если под рукой есть компьютер с интернетом, можно проверять, выполнили ли компании требования по публикации политики в отношении обработки персональных данных на своём сайте. Вот примеры: http://25.rkn.gov.ru/news/news63517.htm и http://pd.rkn.gov.ru/press-service/subject1/news4034/

    ОтветитьУдалить
    Ответы
    1. Интересно. Спасибо за ссылки!

      Удалить
    2. Ещё один прецендент.
      Краснодарские автолюбители против МВД
      http://sborisov.blogspot.ru/2014/08/blog-post_19.html

      Удалить
    3. А я думаю, куда все письма счастья с камер попропадали?

      Кстати на них еще и электронная подпись инспектора должна быть
      http://www.zr.ru/content/news/693407-pisma-schastya-bez-cifrovoj-podpisi-inspektora-gibdd-priznany-nedejstvitelnymi/

      Удалить
  2. Есть прецеденты, когда за отсутствие сертифицированных по требованиям безопасности информации средств защиты в ИСПДн штрафовали коммерческую (не Госы) компанию?

    ОтветитьУдалить
    Ответы
    1. У ФСТЭКа, к сожалению, нет такой ветки новостей с проверками как у РКН. Поэтому отслеживать кого и за что они наказали очень сложно.

      Удалить
  3. Интересная подборка, спасибо за ваш труд!

    ОтветитьУдалить
  4. В марте 2016 года были последние изменения в 273 ФЗ об образовании.

    ОтветитьУдалить