Персональные данные: хранить и защищать

Текст: Александр Белов Фото: архив Енисейского управления Роскомнадзора

Несоблюдение требований законодательства грозит оператору серьезными неприятностями.

Уже более десяти лет в России действует Федеральный закон «О персональных данных». Однако до сих пор не все граждане знают о своих правах, установленных данным законом, а юридические лица — о возложенных на них обязанностях. Тем временем административные штрафы за нарушения ФЗ «О персональных данных» могут достигать 75 тыс. рублей. О том, как за прошедшие годы изменилось законодательство в данной сфере и на какие аспекты юридическим лицам следует обратить особое внимание, рассказывает руководитель Енисейского управления Роскомнадзора Наталья Бурдюкова.

— Наталья Анатольевна, насколько изменилось за прошедшие годы действующее законодательство в области персональных данных?

— Для начала я хотела бы напомнить основную задачу, цель принятия ФЗ №152 «О персональных данных». Этот закон закрепил гарантированное ст. 23 Конституции России право на неприкосновенность частной жизни, личную и семейную тайну, а также требование ст. 24 Конституции о том, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Естественно, законодательство в этой сфере менялось в соответствии с требованиями времени и практикой применения законодательства. Например, в законе появилась статья, которая определяет, какие меры обязан предпринять оператор персональных данных. А оператором, напомню, является любое юридическое лицо, обрабатывающее персональные данные. Теперь в любой организации должен быть назначен специалист, ответственный за организацию обработки персональных данных, который обязан проводить внутренний контроль, организовывать прием и обработку обращений граждан, если они жалуются на нарушение их прав, выполнять ряд других обязанностей. Также четко указано, какие документы обязательно должны быть разработаны в организации в части обработки персональных данных.

— Верно ли, что теперь формирование баз данных, которые при сборе содержат персональные данные, должно осуществляться на территории нашей страны?

— Это действительно так. Новое и важное правило гласит, что при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

А сведения о месте нахождения базы данных информации, содержащей персональные данные граждан России, должны быть указаны в уведомлении об обработке персональных данных, направляемом в Роскомнадзор. К сожалению, еще не все операторы направили нам эти сведения.

Хотела бы особо отметить, что, прежде чем начать собирать личные данные о человеке, оператор должен определить для себя: на основании чего он имеет право это делать? Например, когда человек устраивается на работу, организация имеет право обрабатывать данные на основании Трудового кодекса. Но тут есть нюансы. Можно вести сбор только тех данных, которые указаны в законе. А, например, данные о национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни обрабатывать по общему правилу нельзя. Это так называемые специальные категории персональных данных, которые можно обрабатывать в строго установленных случаях.

— Если персональные данные, например, устарели либо обрабатывались незаконно, то как гражданину добиться прекращения их обработки?

— Необходимо помнить о том, что гражданин вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Также граждане имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей подтверждение самого факта их обработки, правовые основания, цели, способы и сроки.

Операторы, к сожалению, не всегда дают ответ гражданам, хотя невыполнение данной обязанности влечет наложение административного штрафа до 40 тыс. рублей.

— Существуют ли специальные требования для хранения документов, содержащих персональные данные?

— Такие требование есть. Во-первых, при хранении необходимо исключить несанкционированный доступ к данным документам тех сотрудников, которые в силу своих должностных обязанностей не имеют право их обрабатывать. Как правило, в учреждениях, компаниях в одном рабочем помещении находятся сотрудники с разными правами доступа к документам, содержащим персональные данные. Поэтому рекомендуется хранить подобные документы в запираемых шкафах, сейфах.

Если оператор халатно отнесся к исполнению своих обязанностей, и это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, предоставление, распространение либо иные неправомерные действия, это влечет наложение административного штрафа на должностных лиц — до 10 тыс. рублей, а на юридических лиц — от 25 до 50 тыс. рублей.

— С какими жалобами чаще всего обращаются граждане в Енисейское управление Роскомнадзора?

— В большинстве случаев люди жалуются на банковские организации, коллекторские агентства. Например, человеку звонят и предлагают взять кредит, либо поступают звонки с требованием погасить долг третьего лица. Наши сотрудники рассматривают каждое обращение и, в случае выявления факта неправомерной обработки персональных данных, требуют прекратить обработку полученных сведений о человеке.

Довольно часто обращаются с жалобами на управляющие компании по поводу размещения информации о долге за жилищно-коммунальные услуги на сайте компании или информационных щитах в подъездах домов. Здесь нужно понимать, что если указаны номер квартиры, сумма задолженности, фамилия, имя и отчество должника — это является нарушением закона, и управление направляет в адрес УК требование прекратить неправомерную обработку. Если же указаны только номер квартиры и сумма долга без иной информации, то нарушения закона нет.

Навязчивая реклама товаров либо услуг — постоянный фигурант обращений граждан. Опять же здесь важно понимать, что, если к вам обращаются обезличенно, не называя по фамилии, имени и отчеству, нарушения закона о персональных данных нет. Так как номер телефона сам по себе не является персональными данными. Отдельно хотелось бы обратить внимание на одно важное для операторов правило: нельзя раскрывать третьим лицам и распространять персональные данные без согласия человека, если только иное не предусмотрено федеральным законом.

— Проводится ли Роскомнадзором профилактика нарушений в сфере персональных данных?

— Хотела бы напомнить, что Роскомнадзором разработана Стратегия институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года. И один из важнейших аспектов этой Стратегии — именно профилактика правонарушений в данной сфере. Управление активно взаимодействует с профессиональными сообществами и объединениями операторов персональных данных. Это образовательные и медицинские организации, управляющие, страховые, туристические компании и так далее.

Кроме того, операторы персональных данных должны стремиться к саморегуляции, соблюдать разработанные и принятые кодексы профессионального поведения. Например, мы приглашаем операторов персональных данных подписать «Кодекс добросовестных практик в сети Интернет»: тем самым они подтверждают свою готовность содействовать созданию безопасного и комфортного информационного пространства. Регулярные семинары, консультации, дни открытых дверей — эти и другие мероприятия проводятся специалистами нашего управления на постоянной основе и приносят хороший результат: нарушений в сфере персональных данных становится меньше.

просмотры: 1026