Роскомнадзор без особой помпы, тихо и спокойно стал использовать в ходе надзора за соблюдением законодательства о персональных данных такую форму контроля, как систематическое наблюдение. В «Докладе об осуществлении государственного контроля (надзора) и об эффективности такого контроля (надзора) за 2013 год» сообщается, что «в 2013 году центральным аппаратом Роскомнадзора была проведена оценка содержания и правовых оснований деятельности 250 интернет-ресурсов, осуществляющих деятельность в российском сегменте сети Интернет».
В 101 случае нарушений законодательства не было выявлено, а на сайтах размещалась контактно-справочная информация государственных, муниципальных органов и юридических лиц, а также персональная информация, публикация которой разрешена в силу федеральных законов (данные из различных реестров: ЕГРЮЛ, ЕГРИП, Реестр кадастровых инженеров и т.п.). В деятельности 149 интернет-ресурсов выявлены факты нарушения требований законодательства, по результатам принятых Роскомнадзором мер реагирования в 60 случаях персональные данные удалены администраторами, в 19 случаях материалы по результатам мониторинга были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП Российской Федерации.
Аналитики нашего агентства, готовящие ежемесячные отчеты о практике правоприменения законодательства в области персональных данных, только в марте 2014 года отметили, что такие мероприятия были проведены в Республике Калмыкия(соответствие информации, размещаемой в общественных местах, на средствах наружной рекламы (билбордах) и светодиодных экранах требованиям законодательства), Республике Марий Эл, Чувашской Республике (в отношенииоператоров связи, финансово-кредитных организаций, коллекторских агентств и страховых компаний, а также многофункциональных центров по предоставлению государственных и муниципальных услуг и интернет-магазинов), Липецкой области,Рязанской области (в отношении организаций здравоохранения).
В ходе систематического наблюдения выявлены операторы, осуществляющие сбор персданных с использованием сети Интернет и не опубликовавшие документы, определяющие политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных. Судя по четкости и однотипности формулировок пресс-релизов: «в адрес этих операторов направлены требования об устранении вышеуказанного нарушения, материалы мероприятия систематического наблюдения переданы в органы прокуратуры для принятия мер прокурорского реагирования», работа методически проработана. Есть как минимум один результат с привлечением к ответственности: на основании материалов Управления Роскомнадзора по Липецкой области Хамовническая межрайонная прокуратура возбудила в отношении «Фора-Банка» административное дело, на основании которого мировой судья судебного участка № 425 по району Хамовники г. Москвы наложил на банк штраф.
Кстати, на сайтах прокуратуры и Роскомнадзора сообщается, что нарушение в банке устранено. Политики на сайте банка я так и не нашел, а вот «Положение о порядке обработки персональных данных» выложено. Видимо, надзорные органы решили не придираться к мелочам и не проявлять излишнюю принципиальность, и согласились, что в Положении все, что предусмотрено законом, изложено.
И обещанный рецепт. Если ваша организация разместила на своем сайте любую веб-форму, предусматривающую сбор персональных данных (кредитное заявление, анкета соискателя вакантной должности, форма для подготовки договора страхования), создало пользователям личный кабинет, опубликовало списки аффилированных лиц или лиц, оказывающих существенное воздействие на деятельность организации и т.д., на сайте в сети интернет (логично на том же, но закон, строго говоря, этого не требует) должна быть и политика в отношении обработки персональных данных и сведения о реализуемых требованиях к их защите. Есть веб-форма (кабинет, список) и нет политики – административное правонарушение. Выявляется легко и просто за несколько минут, и не нужны никакие выездные и документарные проверки.