Считается, что закон «О персональных данных» находится в сфере деятельности таких ведомств, как ФСТЭК и ФСБ. Однако на самом деле контролировать действия операторов персональных данных и выявлять в них нарушения действующего законодательства поручено Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор). Доклад о работе этого органа сделал на конференции InfoSecurity 2008 Алексей Мельников, начальник отдела Россвязькомнадзора по организации контроля и надзора за обработкой персональных данных.
Собственно, в компетенцию Россвязькомнадзора входит ведение реестра операторов и обработка жалоб населения на действия компаний. В ведомстве для исполнения этих функций организовано три отдела: ведения реестра, организации контроля и надзора за обработкой персональных данных, а также анализа и методологического обеспечения. Кроме того, созданы 78 территориальных органов, которые и будут взаимодействовать с операторами. В них же граждане могут нести свои жалобы на неправомерное использование персональных данных.
Весной ведомство Мельникова создало реестр операторов. Этот реестр является открытым — на сайте ведомства по адресу pd.rsoc.ru можно получить информацию об операторе по его имени или ИНН. Например, из мобильных операторов «большой тройки» регистрационные данные есть на МТС и «ВымпелКом». Общее число зарегистрированных операторов на 5 октября — 19 791. Ежемесячно ведомство регистрирует 5 тыс. операторов, однако этого явно недостаточно, чтобы зарегистрировать всех к 1 января 2009 года. По оценкам экспертов, в России под действие закона «О персональных данных» подпадает порядка 1 млн компаний.
Россвязькомнадзор имеет право проводить только плановые проверки операторов или по жалобе граждан. Однако если компания не зарегистрирована в реестре, то и проверять ее ведомство не будет — получается, что в некоторых случаях проще не регистрироваться. К тому же законом предусмотрено восемь случаев, когда это делать не обязательно. Впрочем, по жалобе может быть проведена любая проверка, в том числе и в незарегистрированной компании. Фактически это означает, что уровень соответствия закону «О персональных данных» зависит от количества жалоб граждан. В то же время жалоб, зарегистрированных в системе, всего несколько десятков. Причем максимальное их количество относится к банковскому сектору.
Считается, что сейчас закон «О персональных данных» не работает, но вступит в действие с 1 января 2010 года. Однако это не так. На самом же деле закон вступил в силу с момента опубликования, а с 1 января 2010 года станет обязательным соблюдение требований на системы защиты, которые разработали ФСТЭК и ФСБ. Тем не менее сам закон действует — жалобы на неправомерные действия с персональными данными Россвязькомнадзор принимает уже сейчас. Для этого нужно зафиксировать факт нарушения и обратиться в ближайшее территориальное подразделение ведомства.
Россвязькомнадзор имеет право выписать предписание на остановку деятельности любого оператора персональных данных и потребовать уничтожения данных, которое нужно будет выполнить в трехдневный срок. За невыполнение требований может быть назначен штраф. Кроме того, если ведомство обнаружит серьезные нарушения закона, такие как продажа баз данных, то оно вправе обратиться в МВД или прокуратуру для поиска виновных и привлечения их к ответственности.