(1).jpg)
Актуальные вопросы защиты прав субъектов персональных данных на территории города Москвы и Московской области: проблемы правоприменения
Предлагаем ознакомиться с видеозаписью интернет-интервью.
29 мая 2013 года в 11-00 часов состоялось интернет-интервью с руководителем Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу Сокоушиным Дмитрием Валерьевичем.
Тема интернет-интервью: "Актуальные вопросы защиты прав субъектов персональных данных на территории города Москвы и Московской области: проблемы правоприменения".
Ведущая интернет-интервью – Наталия Карпунина (ИА "ГАРАНТ").
Ведущая: Добрый день, уважаемые дамы и господа! Здравствуйте, уважаемая интернет-аудитория!
Мы начинаем наше интернет-интервью. Разрешите представить нашего гостя Сокоушина Дмитрия Валерьевича — руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному Федеральному округу.
Сокоушин Д.В.: Всем добрый день! Спасибо за приглашение!
Ведущая: Уважаемый Дмитрий Валерьевич, позвольте поприветствовать Вас в ИА "Гарант" и поблагодарить за то, что Вы нашли время приехать к нам и ответить на вопросы нашей интернет-аудитории!
Тема сегодняшнего интервью: "Актуальные вопросы защиты прав субъектов персональных данных на территории города Москвы и Московской области: проблемы правоприменения".
Позвольте напомнить, что сегодняшнее интернет-интервью транслируется в on-line режиме на правовом портале www.garant.ru.
К моменту начала нашего интернет-интервью поступило несколько десятков разных интересных и проблемных вопросов, которые мы сегодня и хотим предложить нашему уважаемому гостю.
Дмитрий Валерьевич, с Вашего позволения, задам первый вопрос. В соответствии со ст. 22 Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 указанной статьи. Оператор осуществляет обработку лишь тех персональных данных, которые он вправе обрабатывать без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку. Однако оператор по ошибке направил уведомление в уполномоченный орган. Каким образом оператор может отозвать свое уведомление и попросить исключить его из реестра операторов? Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных" не предусматривает случаи исключения оператора из реестра в случае ошибочного направления уведомления.
Сокоушин Д.В.: Существующий сегодня Административный регламент предусматривает исчерпывающий перечень оснований для исключения Оператора из Реестра, и действительно, такое основание как ошибочное направление уведомления им не предусмотрено. Административный регламент в этой части требует изменений, однако решение о внесении таких изменений будет приниматься Роскомнадзором.
Тем не менее, возникает вопрос, почему Оператор хочет исключиться из реестра. В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок. Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некого оператора нет в реестре, и далее звучит просьба его проверить. Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если еще не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую сомнения оставить и уведомление подать, от этого больше плюсов, чем минусов.
Ведущая: Спасибо! Дмитрий Валерьевич, а какой процент операторов от прогнозной численности Операторов, подлежащих включению в Реестр, представили в 2012 году в Уполномоченный орган Уведомления?
Сокоушин Д.В.: Всего в 2012 году в Реестр операторов персональных данных было внесено 36 965 операторов, из них 6487 операторов внесено Уполномоченными органами в Центральном федеральном округе. К сожалению, назвать цифру в процентном соотношении от прогнозной численности практически невозможно, так как количество операторов, подлежащих включению в реестр, постоянно изменяется и спрогнозировать то количество, которое следует включить в реестр в определенном периоде, не представляется возможным. Говоря простыми словами – почти каждый день появляется новый оператор, которого следует включить в данный реестр.
Ведущая: В соответствии со ст. 1. Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Относится ли почерк и подпись человека к биометрическим данным. Если да, нужно ли брать согласие субъекта биометрических данных на их обработку, если обработка (хранение) этих данных осуществляется оператором в связи с исполнением субъектом персональных данных своей трудовой функции (например, подписывает договоры, приказы по кадрам).
Сокоушин Д.В.: Почерк и подпись человека не относится к биометрическим персональным данным. Подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы, не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
Ведущая: В соответствии со ст. 9 Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
В соответствии со ст. 5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Должен ли субъект персональных данных в согласии указывать все данные, перечисленные в данной статье, если, например, оператор не планирует обрабатывать эти данные субъекта. Иными словами, должно ли согласие на обработку данных содержать больше персональных данных, чем обрабатывает оператор? Например, оператору для обработки не нужны данные о месте жительства субъекта.
Сокоушин Д.В.: В определенных федеральным законом случаях, обработка персональных данных может осуществляться только с согласия в письменной форме. В частности, согласие в письменной форме необходимо, когда требуется обработка специальных категорий персональных данных, биометрических персональных данных, трансграничная передача персональных данных, а также в случаях принятия решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных. Обязательные требования к письменной форме согласия предусмотрены ч. 4 ст. 9 Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и должны неукоснительно соблюдаться операторами. Отвечая на Ваш вопрос, сообщаю, что сбор и хранение всей содержащейся в согласии информации — это обязанность, установленная для операторов федеральным законом и в данном случае говорить об избыточности персональных данных по отношению к заявленным целям их обработки некорректно.
Ведущая: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит. Достаточно ли в этом случае выражения согласия субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде. Например, при предоставлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернет).
Сокоушин Д.В.: При наличии требования федерального закона об обязательном получении в конкретных случаях письменного согласия, документ должен быть подписан либо на бумажном носителе, либо в электронной форме (посредством электронной подписи как аналога собственноручной).
Федеральный Закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" регламентирует, что согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае, если наличие письменного согласия в силу закона не обязательно, гражданин может выразить свое согласие на обработку персональных данных любым способом, в частности проставлением отметки в электронном виде. При этом необходимо помнить, что обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора.
Ведущая: Спасибо! Дмитрий Валерьевич, а какие нарушения законодательства о персональных данных чаще всего выявляются при проведении проверок Управлением Роскомнадзора по ЦФО? Какие нарушения в области персональных данных выявляет Управление Роскомнадзора по ЦФО сегодня чаще всего в ходе своих проверок? Какова статистика?
Сокоушин Д.В.: Самыми частыми нарушениями, выявляемыми при проведении контрольно-надзорных мероприятий, являются нарушения, связанные с непредставлением или представлением с недостоверными или неполными сведениями, уведомления об обработке персональных данных (ч. 1, 3, 7 ст. 22). В большинстве случаев операторы просто не знают о необходимости подачи уведомления, а также своевременного внесения изменений в него. Существуют также и другие нарушения, выявляемые в ходе проведения проверок, а именно: нарушения требований конфиденциальности при обработке категорий персональных данных, не являющихся общедоступными (ч. 1 ст. 7), несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства (ч. 4 ст. 9), отсутствие в поручении лицу, которому оператор поручает обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности (ч. 3 ст. 6). Реже встречаются нарушения в части отсутствия у оператора согласия субъекта персональных данных на обработку его персональных данных в целях продвижения товаров, работ, услуг (ч. 1 ст. 15).
Ведущая: Российские школы активно внедряют электронные формы дневников и журналов. В связи с этим от родителей требуется предоставление для регистрации (а, следовательно, для обработки и распространения) большого числа сведений о ребенке и родителях. Каким образом они будут использованы и защищены – не знают ни родители, ни работники школ. Насколько правомерны эти действия, и могут ли родители отказаться от участия в названных мероприятиях? Вопрос очень актуален, поскольку, с одной стороны, постоянно говорится о вреде распространения детьми информации о себе в социальных сетях, а с другой — обязывают родителей участвовать в распространении такой информации.
Сокоушин Д.В.: В настоящее время обязательное ведение дневников и журналов в электронном виде законодательно не закреплено. В указанном случае обработка персональных данных должна осуществляться с согласия родителей, как законных представителей несовершеннолетних детей. Гражданин, как субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Необходимо учитывать, что в случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Предоставив свои персональные данные оператору, гражданин вправе, в соответствии со ст. 14 Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", потребовать у него информацию относительно дальнейшей обработки его персональных данных (сроки обработки персональных данных, в том числе сроки их хранения, порядок уничтожения, сведения о лицах, которые имеют доступ к персональным данным и т.д.). Кроме того, требованиями законодательства в области персональных данных предусмотрена обязанность оператора, осуществляющего сбор персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющей его политику в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.
Подробную информацию об операторах можно в любое время посмотреть в Реестре операторов персональных данных по адресу pd.rsoc.ru.
Ведущая: Следующий вопрос. Некоторое время назад я подавал заявку на получение ипотечного кредита в один из известных банков. Заполнил все соответствующие анкеты, предоставил все необходимые документы. Получил одобрение на получение кредита. Но, по истечение времени, возможностью получения кредита так и не воспользовался. Но буквально через некоторое время на мой домашний адрес стали приходить различные коммерческие предложения от иных банков (в которые я никогда не обращался) с их условиями кредитования. В данных письмах были сведения и о моем дне рождения, и ФИО, и домашний адрес, и телефон. Откуда, спрашивается, банки получили данную информацию? И по какому праву они считают возможным слать мне такие предложения, используя мои персональные данные без моего согласия? Как в данном случае мне следует поступить, чтобы защитить свои персональные данные от дальнейшего распространения, а так же как наказать банк за разглашение? И могу ли я обратиться в суд, например, за возмещением какой-либо денежной компенсации (морального ущерба), в связи с тем, что здесь явное нарушение законодательства?
Сокоушин Д.В.: Прежде всего, необходимо отметить, что надо быть крайне внимательными при подписании документов, имеющих юридическое значение. В большинстве случаев подписываемые документы содержат в себе согласие на обработку персональных данных, в том числе и на передачу персональных данных третьим лицам – партнерам организации для рассылки рекламных материалов. В указанном случае ситуация разрешается отзывом согласия на обработку персональных данных. Если же Вы уверены, что рассылка рекламных материалов с использованием Ваших персональных данных осуществляется без согласия, Вы вправе обратиться в Управление с обращением с подробным описанием ситуации и приложением подтверждающих документов. Кроме того, Вы вправе обжаловать действия Оператора и требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке. Отмечу, что в настоящее время случаи возмещения морального вреда в связи с нарушением прав субъектов персональных данных нам не известны.
Ведущая: Какие требования предъявляются к организациям, предоставляющим услуги в сфере проведения мероприятий по защите персональных данных в организациях?
Сокоушин Д.В.: Данный вопрос находится в компетенции Федеральной службы по техническому и экспортному контролю, а также Федеральной службы безопасности России. Можно порекомендовать обратиться к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21, согласно которому для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. Кроме того, если организации требуется криптографическая защита, то в этом случае необходима лицензия ФСБ России.
Ведущая: Дмитрий Валерьевич! Как Вы оцениваете статистику правонарушений в области персональных данных 2012 года по сравнению с прошедшим периодом 2013 года? В какую сторону она изменилась?
Сокоушин Д.В.: Всего в 2012 году Управлением проведено 23 проверки в области персональных данных, из них 16 плановых и 7 внеплановых. По результатам проведенных проверок выявлено 16 нарушений и выдано 10 предписаний. Относительно проведенных проверок отмечу, что по сравнению с аналогичным периодом 2012 года, в 1 квартале 2013 года Управлением уже проведено 7 контрольно-надзорных мероприятий и выявлено большее количество нарушений (5). Это нарушения, связанные с несоблюдением оператором установленных требований обработки персональных данных после достижения цели их обработки, отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, нарушение оператором обязательных требований при обработке специальных категорий персональных данных, отсутствие согласия при обработке биометрических персональных данных, а также было выявлено нарушение п. 14 "Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" в части не обеспечения оператором раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации.
Отмечается также и динамика роста поступающих обращений граждан и выявленных в ходе их рассмотрения нарушений, так в 2012 году в адрес Управления поступило 1577 обращений, из которых в 36 случаях органами прокуратуры было возбуждено административное производство. Для сравнения, в 1 квартале 2013 года число поступивших обращений достигло 745, по результатам рассмотрения 23 обращений материалы были направлены в органы прокуратуры, в10 случаях факты нарушений подтвердились и были приняты меры прокурорского реагирования.
Анализируя показатели, можно сказать, что в целом наблюдается тенденция к увеличению числа выявленных нарушений как при проведении контрольно-надзорных мероприятий, так и при рассмотрении обращений граждан. Прежде всего, это связано с увеличением общего числа проводимых проверок и поступающих обращений граждан, что в свою очередь, может свидетельствовать о том, что граждане воспринимают Уполномоченный орган, как надежного защитника их прав и законных интересов в области персональных данных.
Ведущая: С каждым днем законодательство о персональных данных все более усложняется и "совершенствуется". Тогда, как Вы можете объяснить постоянное появление в интернете различных баз данных, содержащих чуть ли не исчерпывающий перечень данных о гражданах? Никто не боится ответственности? Или же Закон как не работал, так и продолжает не работать? Каким образом Вы реагируете на случаи распространения баз данных, предположительно имеющих принадлежность к информационным системам госорганов?
Сокоушин Д.В.: В большинстве случаев базы данных, содержащие персональные данные граждан, размещены на интернет-ресурсах, зарегистрированных за пределами Российской Федерации и не подпадающих под юрисдикцию законодательства РФ. Роскомнадзором ведется постоянная работа в этом направлении. Так по запросам Роскомнадзора уполномоченные органы Украины и Беларуси оказали содействие в удалении персональных данных граждан России, размещенных на четырех интернет-сайтах, которые зарегистрированы в этих странах. Всего с момента возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных при содействии иностранных коллег прекращена деятельность 35 интернет-сайтов, на которых незаконно размещались персональные данные граждан России. Еще с 35 интернет-ресурсов подобная информация удалена.
Стоит отметить, что при проведении совместных рейдов с ГУВД г. Москвы на рынки по пресечению незаконного распространения баз данных, содержащих персональные данные граждан, были изъяты базы данных "ФМС", "ФНС", "МГТС" и др. В ходе анализа этих баз было установлено, что база данных "ФНС" содержит информацию из ЕГРЮЛ, которая является открытой и получить ее возможно через официальный сайт ФНС России. В базах ФМС и МГТС информация была далеко не первой свежести, собрана явно из разных источников, много информации недостоверной. Поэтому случаев утечки информации в последнее время фиксируется крайне мало, а на рынках предлагается устаревшая и недостоверная информация.
Ведущая: Дмитрий Валерьевич! После удаления своего аккаунта из соцсети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в соцсети о лице, давно удалившемся из нее?
Сокоушин Д.В.: Принимая решение о регистрации в социальной сети, пользователю необходимо внимательно ознакомиться с пользовательским соглашением или иным документом, регламентирующим отношения между пользователем и администратором интернет-ресурса. Как правило, в указанном соглашении оговариваются вопросы, связанные с обработкой персональных данных, в том числе вопрос о возможности обработки персональных данных пользователя после его удаления из социальной сети. Статья 9 Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" предусматривает право субъекта отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.
Ведущая: Посещая социальную сеть от меня требуют мои персональные данные. На каком основании они это делают? Можно ли полагать, что социальная сеть является информационной системой обработки персональных данных? Законно ли это?
Сокоушин Д.В.: Администрация социальной сети оказывает услуги по предоставлению пользования интернет-сервисом на основании размещенных на сайте правил (соглашение), которые являются публичной офертой в соответствии со ст. 437 Гражданского кодекса Российской Федерации. Правила пользования сайтом являются юридически обязательным соглашением между пользователем и администрацией сайта. Пользователь обязан полностью ознакомиться с правилами до момента регистрации на сайте социальной сети и в случае несогласия с ними прекратить использование интернет-сервиса. Таким образом, если правилами сайта установлена обязанность пользователя предоставить персональные данные и Вы с этими правилами согласились, то данное требование не противоречит действующему законодательству. Что касается вопроса об информационной системе персональных данных необходимо отметить, что социальная сеть, как совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку технических средств, безусловно будет являться таковой.
Ведущая: Сегодня компьютеры и Интернет все шире используются в здравоохранении. Уважаемый Дмитрий Валерьевич, как обстоят дела с обеспечением конфиденциальности информации и сохранением служебной тайны в процессе профессиональной деятельности медицинских работников, осуществляющих обработку персональных данных пациентов на территории ЦФО? Существуют ли какие-либо особенности применения ФЗ "О персональных данных" для медицинских учреждений (в т.ч. наркологического профиля)? Какие нарушения выявляются Вами чаще всего в этой сфере?
Сокоушин Д.В.: В период с 2009 по 2012 Управлением были проведены проверки пяти учреждений здравоохранения и выявлены нарушения требований ч. 7 ст. 22 (непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных), ч. 4 ст. 21 (несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки) Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", п. 6 (несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации), п. 13 (отсутствие у оператора мест хранения персональных данных, перечня лиц, осуществляющих обработку персональных данных либо имеющим к ним доступ) Постановления Правительства от 15 сентября 2008 г. № 687. При этом ни в одном из учреждений не были выявлены нарушения, связанные с несоблюдением режима конфиденциальности персональных данных. Также необходимо отметить, малое количество обращений граждан в сфере здравоохранения. К особенностям применения Федерального Закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" для медицинских учреждений можно отнести тот факт, что в законе отдельным пунктом регламентировано право обрабатывать специальные категории персональных данных лицами, профессионально занимающимися медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
Ведущая: Дмитрий Валерьевич, может ли работодатель передавать персональные данные своих бывших сотрудников новым работодателям по их официальному запросу, в котором они просят подтвердить факт того, что работник действительно работал в организации, и подтвердить причину его увольнения?
Сокоушин Д.В.: Передача персональных данных бывших сотрудников на основании запроса возможна только в случаях, когда мотивированный запрос включает в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия организации, направившей запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие бывшего работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет соблюдено.
Ведущая: Дмитрий Валерьевич, активно ли россияне обращаются в Управление Роскомнадзора по ЦФО с жалобами и разъяснениями по вопросам защиты персональных данных? На какие нарушения они жалуются чаще всего? Куда предпочитают обращаться граждане, если считают, что их права нарушены – к Вам, в прокуратуру, суд? Спасибо!
Сокоушин Д.В.: Граждане активно обращаются в Уполномоченный орган и с вопросами, касающимися разъяснения законодательства, и с жалобами на Операторов. Количество поступающих в Управление жалоб постоянно растет. Если в 2012 году в адрес Управления поступило 1577 обращений, то за 1 квартал 2013 года количество обращений составило 745. В основном, граждане жалуются на финансово-кредитные организации и коллекторские агентства (в части передачи персональных данных третьим лицам без согласия субъекта в нарушение ч. 1 ст. 6), также много жалоб в сфере жилищно-коммунального хозяйства (в части обработки персональных данных без согласия субъекта в нарушение ч. 1 ст. 6) , на интернет-сайты (в части конфиденциальности при обработке категорий персональных данных, не являющихся общедоступными в нарушение (ч. 1 ст. 7).
Отдельно отмечу, что по переданным в прокуратуру материалам обращений в 2012 году органами прокуратуры было возбуждено 4 административного производства, вынесено 32 представления, в 42 случаях было отказано в возбуждении административного производства в связи с истечением срока привлечения к административной ответственности.
За 1 квартал 2013 года в органы прокуратуры были направлены материалы по 23 обращениям. В настоящее время органами прокуратуры выдано 8 представлений об устранении нарушений, по остальным материалам решения не приняты.
Ведущая: Дмитрий Валерьевич! Насколько, на Ваш взгляд, сегодня развит институт судебной защиты прав субъектов персональных данных? Активно ли граждане прибегают к судебной защите своих прав? Расскажите, пожалуйста, о сложившейся судебной практике по данному вопросу? Как Вы оцениваете судебную практику, которая позволит создать прецедентную практику прекращения деятельности интернет-ресурсов, незаконно распространявших персональные данные граждан?
Сокоушин Д.В.: Действительно, судебная защита прав субъектов персональных данных предусмотрена действующим законодательством РФ, однако, как показывает практика, граждане предпочитают обращаться в Уполномоченный орган. Если в прошлые годы судебная практика по вопросам защиты прав субъектов персональных данных практически отсутствовала, то в настоящее время судебные решения в данной области уже не редкость.
К ответственности привлекаются как юридические, так и физические лица. Ранее существовала проблема с определением подсудности дел с участием интернет-ресурсов, зарегистрированных за рубежом, и вот, буквально, в начале месяца, были внесены поправки в Гражданский процессуальный кодекс РФ, согласно которым иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться также в суд по месту жительства истца. Будем надеяться, что данные меры позволят еще более эффективно защищать права наших граждан.
Ведущая: Могли бы Вы предложить какие-то новые меры, на Ваш взгляд необходимые для предотвращения массовой утечки персональных данных и повышения уровня их защиты в нашей стране?
Сокоушин Д.В.: Как уже упоминалось, уполномоченным органом проводятся различные мероприятия, направленные на предотвращение и пресечение незаконного распространения персональных данных граждан. По результатам проведенных рейдов на рынки Москвы по прекращению незаконной реализации баз данных, содержащих персональные данные граждан, установлено, что предложение незаконной продукции существенно сократилось, а в некоторых случаях прекратилось полностью, а информация в базах данных, которые предлагаются к продаже, является устаревшей и недостоверной. Кроме того, проведение уполномоченным органом проверок операторов и разъяснительная работа положительно сказываются на соблюдении законодательства в области персональных данных операторским сообществом. Повышение правовой грамотности операторов приводит к снижению нарушений, выявляемых в процессе проведения надзорно-контрольных мероприятий. Ну, и, конечно, лучшая защита – это не передавать свои ПД лишний раз в незнакомые, непроверенные руки.
Ведущая: В соответствии с п. 4 ст. 32 Закона РФ от 10 июля 1992 г. № 3266-I "Об образовании" образовательное учреждение обязано размещать информацию о персональных данных своих работников на официальном сайте, в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" персональные данные работников – это конфиденциальная информация. Свое согласие на размещение персональных данных в Интернете работники дают неохотно, под давлением администрации. Обязано ли образовательное учреждение размещать информацию о персональных данных своих работников на официальном сайте?
Сокоушин Д.В.: Действительно, Федеральный Закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" регламентирует режим конфиденциальности персональных данных и ответственность за его нарушение, однако необходимо учитывать, что законом также регламентируются случаи, когда обработка персональных данных допускается, в частности, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Таким образом, в случае, если обязанность образовательного учреждения размещать информацию, содержащую персональные данные, установлена Федеральным законом, указанное размещение не противоречит требованиям законодательства в области персональных данных.
Ведущая: Дмитрий Валерьевич! Каков теперь механизм реализации правомочия адвоката на получение ответа по адвокатскому запросу? В настоящее время право адвоката на получение информации в целях защиты своего клиента (и в целом относящихся к персональным данным клиента) путем направления адвокатского запроса систематически нарушается под “прикрытием” защиты персональных данных в соответствии с Федеральным Законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
Сокоушин Д.В.: В соответствии с п. 1 ч. 3 ст. 6 Федерального закона от 31 мая 2002 г. № 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации", адвокат вправе собирать сведения, необходимые для оказания юридической помощи, в том числе запрашивать справки, характеристики и иные документы от органов государственной власти, органов местного самоуправления, а также общественных объединений и иных организаций. Федеральный Закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" допускает обработку персональных данных, когда обработка персональных данных необходима для достижения целей, предусмотренных законом. Важно не забывать, что за неправомерный отказ в предоставлении информации по запросу адвоката предусмотрена ответственность по ст. 5.39 КоАП РФ.
Ведущая: Нужно ли упаковывать в конверт квитанции на оплату оказанных услуг абоненту, где указывается адрес, ФИО, номер лицевого счета, суммы платежа, количество прописанных человек? Как часто поступают жалобы в отношении организаций жилищно-коммунального хозяйства на действия, связанные с рассылкой платежных документов в открытом виде, с передачей персональных данных собственников жилых помещений в иные организации?
Сокоушин Д.В.: Направление единых платежных документов за предоставленные коммунальные услуги в неконвертируемом виде противоречит требованиям действующего законодательства в области персональных данных, т.к. не обеспечивается достаточная конфиденциальность персональных данных. В 2011 году Управлением были направлены письма-требования в адрес ГУИС города Москвы о необходимости обеспечения доставки в закрытой (защищенной) форме, данные требования были исполнены. Результатом проделанной работы явилось снижение количества поступивших обращений граждан по фактам рассылки единых платежных документов в открытом виде, так в 2011 году – 25 обращений, в 2012 – 12 обращений, за 1 квартал 2013 – 3 обращения.
Ведущая: Дмитрий Валерьевич, спасибо за Ваши подробные ответы. От лица ИА "Гарант" позвольте пожелать Вам успехов в Вашей работе, а также снижения количества правонарушений, связанных с незаконным использованием персональных данных граждан.
Сокоушин Д.В.: Спасибо!
