Анкеты для получения скидочных карт, договоры с финансовыми организациями или операторами сотовой связи – во всех этих документах южноуральцам приходится указывать свои персональные данные. Однако не всегда компании, обрабатывающие ценные сведения, добросовестны в их использовании. Так что утечка персональных данных, передача их третьим лицам не редкость. Кто и как может нарушить права южноуральцев, каким образом защитить их, рассказывает руководитель управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области Дмитрий Михайлов.
– Дмитрий Владимирович, что такое персональные данные и почему их необходимо защищать?
– По закону персональные данные – это любая информация, прямо или косвенно относящаяся к определенному физическому лицу. Например, фамилия, имя, отчество, адрес, место жительства, место работы, контактные телефоны, состав семьи, профессия и другие. Это та информация, по которой можно определить конкретное лицо. Зная эти данные, можно влиять на жизнь человека, использовать их в противоправных действиях.
– Расскажите о наиболее частных нарушениях? В каких сферах деятельности чаще всего происходят утечки информации и почему?
В прошлом году специалистами Роскомнадзора рассмотрено 4270 жалоб на действия операторов, осуществляющих незаконную обработку персональных данных. По результатам рассмотрения жалоб доводы заявителей подтвердились только в 27% случаев. В прокуратуру направлены материалы по 710 случаям. По итогам их рассмотрения в 164 случаях были приняты решения о возбуждении дела об административном правонарушении и вынесены постановления суда о штрафах операторам.
– В Роскомнадзор поступают жалобы граждан на неправомерность использования их персональных данных. Отмечу, что в последнее время большая часть обращений относится к действиям коллекторских агентств, занимающихся выбиванием долгов. Иногда они проводят не совсем правомерную работу и беспокоят граждан своими звонками, посещениями по домашнему адресу. Определенную долю занимают и жалобы на жилищно-коммунальные организации, банки, которые передают персональные данные без согласия граждан. Количество жалоб увеличивается прогрессивно из года в год. Это связано с тем, что южноуральцы больше узнают о своих правах, о том, как их можно защитить.
– Как изменилась работа Роскомнадзора с распространением Интернета? Сложнее ли в этих случаях привлекать нарушителей к ответственности?
– Мы наблюдаем за Сетью. Процедура имеется, и были прецеденты. Например, было установлено, что один из интернет-ресурсов зарегистрирован в другом государстве. В адрес других стран Роскомнадзор направляет требование удалить персональные данные наших граждан. На территории Российской Федерации имеется практика направления исковых заявлений в суд о надлежащем исполнении законодательства в области обработки персональных данных.
– Каков характер нарушений в Интернете?
– В основном это незаконное размещение данных человека на каком-либо сайте без его согласия. Очень часто размещают информацию о деятельности какого-то человека, контактные данные. Чаще всего такая информация не соответствует действительности. Мы направляем требования об ее удалении, а также материалы в прокуратуру для принятия решения о возбуждении административного производства. Также Роскомнадзор уполномочен подавать исковые заявления в суд для того, чтобы обязать владельца ресурса устранить нарушение прав субъектов персональных данных или запретить их распространение в Интернете .
– Больше всего информации о персональных данных у операторов сотовой связи. Насколько добросовестно они исполняют закон?
– Жалобы на операторов сотовой связи действительно поступают, и довольно часто, но в большинстве своем они не подтверждаются. Дело в том, что зачастую граждане невнимательно читают договор, в котором предоставляют право обработки своих персональных данных. Операторы сотовой связи со своей стороны трепетно относятся к соблюдению законодательства РФ.
– В повседневной жизни южноуральцы часто сталкиваются с таким предложением торговых компаний, как оформление скидочных или клубных карт. Как правило, карту предоставляют в обмен на заполненную анкету. Насколько законны такие действия?
– И такие жалобы от жителей поступают. Но в данном случае гражданин по своей воле дает согласие на обработку персональных данных, а взамен хочет получить выгодную скидку. По закону он должен дать разрешение в любой доступной форме, поэтому в магазинах просят заполнить анкеты, где в нижней части есть галочка о согласии на обработку персональных данных. Крупные магазины и торговые марки стараются соблюдать закон. Люди, желая получить бонусную и скидочную карты, не задумываются о своих действиях. А когда начинают приходить SMS или сообщения на электронную почту о распродажах и акциях, они подают жалобы. При выяснении всех обстоятельств оператор представляет анкету с подписью гражданина, который указал там все свои данные.
– В каких случаях необходимо обратить особое внимание при запросе персональных данных?
– Когда пытаются снять копию паспорта. Один из принципов обработки персональных данных говорит о том, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Между тем не совсем добросовестные сотрудники финансовых учреждений могут использовать полученные таким образом сведения для получения кредитов, мелкосрочных займов, залогов.
– Что могут сделать в случае нарушения своих прав обычные жители Челябинска и области?
– Граждане, заподозрившие, что кто-то неправомерно использует их данные, могут обратиться по вопросам защиты своих прав в наше управление, в том числе через сайт. По закону мы будем рассматривать жалобу до 30 дней. Однако срок может быть продлен, если ответ от возможного нарушителя не пришел.
– Какая ответственность предусмотрена в случае нарушения закона?
Поправки в законодательство должны привести к росту штрафов до 500 тысяч рублей. В тех случаях, когда обработка персональных данных повлекла причинение вреда жизни или здоровью, нарушитель будет караться штрафом в четыре-пять тысяч рублей для физических лиц, 10-15 тысяч рублей для должностных лиц, штрафом в 1,5% совокупного дохода за прошедший отчетный год, но не менее 300 тысяч рублей для индивидуальных предпринимателей и штрафом в размере 1,5% совокупного дохода за прошедший отчетный год, но не менее 500 тысяч рублей для юридических лиц.
– В отношении физических и юридических лиц, нарушающих закон, предусмотрена административная и уголовная ответственность. В наших полномочиях провести проверку, и, если факты нарушения выявлены, материалы, в зависимости от нарушения, могут направляться в прокуратуру, следственный комитет, суд. По Административному кодексу предусматривается ответственность в виде штрафа в размере от 5 до 10 тысяч рублей.
– Насколько необходимы поправки в закон «О персональных данных»? Повысят ли эффективность исполнения закона эти изменения?
– В настоящее время на рассмотрении находится законопроект, предусматривающий поправки в части административной ответственности. Предполагается увеличить штрафы до 500 тысяч рублей для юридических лиц в зависимости от тяжести нарушений. Увеличение штрафов связано с тем, что для некоторых операторов нынешняя цена вопроса не является весомым наказанием. Поправки же предусматривают дифференцированный подход в отношении юридических лиц.
Кроме того, надеемся, что будут внесены изменения в части передачи полномочий по составлению протоколов об административной ответственности на инспекторов службы. Если новый порядок будет принят, то мы не будем отправлять материалы в прокуратуру, а будем самостоятельно составлять протоколы. При этом увеличения штата не потребуется. Но значительно сократятся временные рамки рассмотрения обращений и жалоб.
– Вы привлекаете к ответственности банки, которые передали персональные данные коллекторским агентствам, или последних также можно привлечь?
– Мы направляем требования об исключении персональных данных из информационной системы коллекторского агентства и банка, не имеющих никаких отношений с физическим лицом. Они должны исключить их. Но если усматриваются нарушения, то привлекается лицо, которое его допустило. Мы обращаемся в лицензирующий орган, и тот может лишить организацию лицензии. Но такие случаи достаточно редки.
– Дмитрий Владимирович, всегда ли нарушения устраняются по вашему первому требованию?
– В целом все всегда исключают данные по первому требованию, но основные нарушения допускаются в рамках неисполнения требований по защите информации, несоблюдения конфиденциальности в организациях. Чаще всего сбои происходят из-за обыкновенного человеческого фактора: халатного отношения отдельно взятого должностного лица. Системно никто из операторов, обрабатывающих персональные данные, закон не нарушает. Единственное, не все могут до конца довести работу по выполнению требований, установленных законом внутри организации.
– Как операторы объясняют несоблюдение требований законодательства?
– Где-то трудности связаны с отсутствием специалистов, но в большинстве случаев все сводится к финансовой составляющей. Некоторым компаниям необходимо нанимать организацию, которая приведет документацию в соответствующее состояние. Не так все это трудно, но объем работы большой. Так, помимо организационных мер, требуется назначить ответственных за обработку персональных данных, произвести учет компьютеров, на которых они обрабатываются, ознакомить лиц с ответственностью. Один из важных компонентов этой работы – выработка политики компании по обработке персональных данных.
