— Согласно ч. 1 ст. 23 Федерального закона от 27.07.2006 г. № 152 «О персональных данных» (далее — Закон) и п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникации, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.
На территории Ивановской области функции по обеспечению контроля и надзора за соответствием обработки персональных данных требованиям настоящего Закона возложены на Управление Роскомнадзора по Ивановской области.
В соответствии с п. 2 ст. 3 Закона государственные органы, муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными являются операторами (далее — Оператор). В соответствии с требованиями ч. 1 ст. 22 Закона Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
О том, как обстоят дела с сохранностью персональных данных в Ивановской области, нам рассказал начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Ивановской области Лощинин Эдуард Иванович.
— Как много операторов региона, работающих с персональными данными граждан, направили в Роскомнадзор соответствующие уведомления?
— В соответствии с требованиями Закона уполномоченный орган по защите прав субъектов персональных данных обязан вести реестр операторов.
В настоящее время в реестр внесено 966 операторов. С изменениями сведений, указанных в ранее поданных уведомлениях об обработке (о намерении) осуществлять обработку персональных данных их насчитывается 1018. Между тем даже с учетом возможных исключений, предусмотренных ч. 2 ст. 22 Закона, в Ивановской области порядка 100 тысяч Операторов, которые занимаются обработкой персональных данных. Законопослушными, соответственно можно пока, что признать из них всего 1%. Причем основная проблема в этом у нас не с госорганами, а с муниципальными органами, юрлицами и физлицами.
— Насколько активно применяются к нарушителям штрафные санкции?
— Кодеком Российской Федерации об административных правонарушениях право возбуждать дела об административных правонарушениях в области персональных данных предоставлено прокурорам и поэтому материалы, содержащие нарушения законодательства для принятия решения о привлечении виновных лиц к ответственности направляются в прокуратуру Ивановской области.
В рамках активизации работы по формированию реестра мы вынуждены рассылать операторам, проигнорировавшим требования закона, письма с просьбой предоставить информацию об обработке персональных данных. Ведь бывает, скажем, что у юрлица, кроме директора других сотрудников просто нет. Тогда ему достаточно написать нам, что обработкой персональных данных это юрлицо не занимается, и вопрос на данном этапе закрыт. Однако на наши письма реагируют также далеко не все. Материалы с возбужденными административными делами, по тем операторам, которые не сделали этого в 30-дневный срок после нашего запроса, направляются для рассмотрения в суды.
Правда, судебная практика в этой сфере начала складываться лишь недавно. Но радует, что сейчас наши суды стали более активно привлекать нарушителей к ответственности — в основном речь идет о штрафах от 3 до 5 тыс. рублей. В общей сложности к административной ответственности в регионе было привлечено 16 Операторов.
— То, что операторы не предоставляют эти уведомления, говорит о том, что персональные данные жителей региона недостаточно защищены?
— Не совсем так. Скорее, из-за отсутствия информации от Операторов мы в принципе не можем сказать что-либо о защищенности имеющихся в их распоряжении персональных данных. Ведь уведомления требуются в первую очередь для того, чтобы сами операторы могли понять, как им организовывать такую защиту — какой степени сложности она должна быть. Мы же в свою очередь, опираясь на уведомления, можем организовать проведение плановых и внеплановых проверок в том, числе принятые Оператором меры по обеспечению безопасности персональных данных при их обработке.
— Как дорого стоит установка такой защиты и по карману ли она, скажем так, небогатым операторам?
— Уровень защиты зависит от массы факторов и высчитывается по соответствующей достаточно сложной формуле. В первую очередь это зависит от категорий обрабатываемых персональных данных, но в любом случае это необходимо для определения объема обрабатываемых персональных данных, он устанавливается Оператором, а уже от этого зависят затраты на приобретение средств необходимых для защиты персональных данных, обрабатываемых с использованием средств автоматизации. За частую, больших затрат не требуется: это вполне разумные суммы, которые по силам и бюджетникам.
— Каким образом персональные данные граждан могут использоваться во вред им?
— Примеров масса. Не так давно, скажем, проходила информация, что некий гражданин из Кинешмы утерял паспорт. В итоге на этот паспорт была совершена сделка с недвижимостью на 12 млн. рублей, и теперь этот гражданин вынужден скрываться от кредиторов. Другой свежий пример — руководитель одного из дошкольного муниципального учреждения, используя копии паспортов кандидатов на замещение вакантных должностей, оформлял в банке кредиты. В результате соискатели, не ведая того, становились должниками и ими занимались коллекторские агентства.
— То есть теоретически утечки информации из отделов кадров любой компании могут привести к подобным результатам?
— Это вполне возможно. Более того, для причинения вреда гражданам совсем необязательны паспортные данные — часто оказывается достаточно сведений, содержащихся, скажем, в квитанциях на оплату коммунальных услуг: воды, газа, которые бросают нам в почтовые ящики и которыми кто угодно (например, так называемые «черные риелторы») может воспользоваться в своих корыстных целях. Там указано все, что нужно знать злоумышленникам, — ФИО собственника, количество зарегистрированных по этому адресу лиц, льготы...
Обратите внимание, что квитанции от ОАО «Ростелеком» приходят к нам в конвертированном, запечатанном виде, тем самым скрывая информацию о наших звонках от тех, кто хотел бы воспользоваться нашей телефонной линией. Теоретически также должны выглядеть и квитанции от управляющих компаний, Водоканала, Межрегионгаза и проч. Также теоретически мы имеем право лично получать квитанции в офисах этих организаций. Но поскольку последних слишком много, это достаточно утопично...
Кстати, вывешивание списков должников на дверях подъездов — это тоже нарушение закона «О персональных данных». Трудно сказать, как кому-то придет в голову распорядиться этими сведениями...
— Как вы оцениваете имевший место в прошедшем году скандал вокруг сбора персональной информации о гражданах при оплате ими счетов за газ (Газпром-межрегионгазом)?
— Мне эта ситуация интересна хотя бы потому, что я сам получил такую информацию. Но, к сожалению, сам себе я подать жалобу не могу, а из всех граждан, возмущавшихся инициативой Межрегионгаза, жалобу в Роскомнадзор так никто и не подал.
В принципе, намерение Межрегионгаза не противоречит законодательству, но понятнее от этого она не становится. Ведь все необходимые персональные данные уже должны содержаться в договорах на оказание услуг, подписанных гражданами. Зачем же собирать их дополнительно, не объясняя при этом причин?..
— Если не секрет, лично вы свои данные в этих квитках указывали?
— Конечно, нет. Наши персональные данные — это как честь: их следует беречь смолоду. И без лишней нужды о себе ничего не сообщать. Скажем, на Западе люди очень неохотно рассказывают о себе и личную информацию кому попало не предоставляют. У нас же по сей день для большинства является большой новостью тот факт, что уже ваши ФИО — это тоже персональные данные, которые лишний раз лучше нигде не указывать и которые могут быть использованы вам во вред.
Возьмем хотя бы массовое поветрие последнего времени — социальные сети: большинство их пользователей в аккаунтах выкладывают достаточно полную информацию о себе. Хорошо, если вас зовут Иванов Иван Иванович, но бывают ФИО, уникальные для всего региона или даже страны. В этом случае идентифицировать того или иного гражданина — не сложно. И это может привести к самым разнообразным печальным последствиям для него. Кстати, любой сисадмин вам скажет, что около 5% информации, когда-либо размещавшейся в интернете, «застревает» там даже после многочисленных удалений.
Получается, что над вами всегда будет занесен дамоклов меч...
Тоже относится и к проведению различных акций в магазинах, когда участников просят заполнить подробные анкеты объемом в два листа, и к выдаче скидочных карточек... Во всех случаях нам следует сначала подумать, а стоит ли оно того.
— Пострадавшие от незаконного использования их персональных данных могут как-то защитить свои права?
— Конечно. Для начала им следует написать обращение нам. Наша первоочередная задача — сделать так, чтобы нарушитель понес наказание, а само нарушение было устранено. В случае необходимости Законом нам предоставлено право обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
— Насколько реально жителям нашей области в таких случаях получить какую-то компенсацию?
— К сожалению, такого рода прецедентов у нас в регионе еще не было: судебная практика еще только складывается. Однако думаю, что теперь это уже вопрос ближайшего будущего.
— В идеале вы будете работать по обращениям граждан и с администраторами сайтов?
— Мы уже это делаем. Как правило, администраторы идут нам навстречу, удаляя незаконно размещенные персональные данные. Скажем, были случаи размещения работодателями данных на своих бывших работников в так называемых «черных списках». После наших обращений их удаляли.
Правда, порой персональные данные российских граждан выкладываются на сайтах, зарегистрированных в других доменных именах за пределами РФ. В таких случаях мы направляем материал в наш центральный аппарат, и он уже принимает меры, работая с уполномоченными органами других стран по защите персональных данных. В 2011 году таким образом было закрыто порядка 25 сайтов.
— Персональные данные нередко требуют, скажем, при покупке ж/д билетов. Стоит ли их предоставлять?
— Это как раз одно из немногих исключений, оговоренных законом «О персональных данных». Необходимость предоставления данных в этом случае связана с транспортной безопасностью и с обязательным страхованием пассажиров. Кстати, законодательно определено число регионов, где ваши персональные данные потребуются и при покупке билета на автобус.
При этом следует учесть: если закон это разрешает, то априори предусматривается, что ваши персональные данные будут должным образом защищены. Вообще, первейшая обязанность любого оператора, работающего с такими данными, — обеспечить их сохранность и конфиденциальность.
— Часты сегодня и случаи передачи персональных данных коллекторским агентствам. Является ли это нарушением?
— Согласно разъяснению генпрокуратуры, те же банки могут передавать персональные данные, если перекупаются и сами долги. Тогда как просто передавать эти сведения без получения письменного согласия субъекта персональных данных — это уже незаконно. Правда, про коллекторов сегодня в принципе сложно говорить, поскольку их деятельность законодательно фактически никак не регулируется...
— То есть если коллектор требует с вас долг, а вы не давали согласия на передачу ему персональных данных, то вы можете смело обращаться в суд?
— Вполне. Другое дело, что, возможно, пункт о передаче данных коллектору может уже содержаться в договоре с банком или оператором связи, подписанном вами. В этом случае ваши претензии будут напрасны. Отсюда главный совет — всегда очень внимательно читайте договора, которые вы подписываете. Скажем, в каждом стандартном договоре операторов связи есть пункт о согласии субъекта персональных данных на передачу его персональных данных другим операторам связи для исполнения условий договора. Это нормально. Но если другие варианты договором не предусмотрены, то больше никому передавать ваши данные оператор не имеет права.
Кстати, обязанность предоставить письменное согласие субъекта на передачу его данных тоже лежит на Операторе.
— Практический вопрос: если субъект считает, что его права нарушены, как он может подать обращение в Роскомнадзор?
— Во-первых, с октября прошлого года любое лицо может обратиться в любой уполномоченный орган на портале госуслуг. Во-вторых, граждане могут направить свои обращения и жалобы в адрес территориального органа Роскомнадзора как обычным письмом, так и по электронной почте. Или же придя лично на прием. Всю необходимую контактную информацию можно найти на нашем сайте по адресу http://37.rsoc. ru./ Все обращения граждан у нас регистрируются, на их рассмотрение дается определенный срок, по истечении которого мы либо даем разъяснения, либо принимаем необходимые меры.
— И все же создается впечатление, что жители Ивановской области пока не могут быть спокойны за судьбу своих персональных данных?
— Учитывая менталитет самих жителей, думаю, что каких-то значительных подвижек мы тут не увидим еще лет пять. Повторюсь: наши граждане фактически не обращаются к нам по случаям нарушений их прав в этой сфере. Тогда как в других регионах — в Москве, Московской, Свердловской и других крупных областях, такие жалобы подаются весьма активно. И в основном они связаны с работой ЖКХ. Так что это не в последнюю очередь
вопрос гражданской сознательности самих граждан...Источник: Газета «Частник-среда»
Теги: интервью ЗПДн