Деанонимизация преследуется по закону

Федеральный закон «О персональных данных» № 152-ФЗ был принят ещё в 2006 году, но до сих пор не заработал в полную силу. По мнению специалистов Роскомнадзора, мешает этому недостаточная информированность.

О том, что нужно делать, если управляющая компания вывешивает на двери подъезда имена должников, должны ли работодатели знать подноготную о сотруднике, и являются ли нарушителями закона «О персональных данных» социальные сети - интервью с заместителем руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Забайкальскому краю Владимиром Сафроновым.

- Что относится к персональным данным, и какова цель закона?

- Персональные данные – это любая информация, относящаяся к определённому или определяемому на основании такой информации человеку. Общие данные – это фамилия, имя, отчество, дата и место рождения, адрес и телефон, семейное, социальное и имущественное положение, сведения об образовании, профессии и доходах. Специальные – касающиеся политических, религиозных и философских взглядов, национальности, интимной жизни, состояния здоровья. Биометрические персональные данные – это фото роговицы глаза, отпечатки пальцев, анализ ДНК, то есть те данные, которыми можно идентифицировать человека.

Целью закона является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

- Что подразумевается под понятием «обработка персональных данных», и кто этим занимается?

- Обработка данных – действия или операции с персональными данными: сбор, систематизация, хранение, уточнение, использование, распространение и уничтожение. Более подробно об этом указано в третьей статье Закона «О персональных данных».

В законе все организации, занимающиеся обработкой данных, а также определяющие её цели и содержание, называются операторами. Заниматься этим могут любые организации – государственные и муниципальные органы, юридические или физические лица. Каждое предприятие обрабатывает данные своих сотрудников. Данные об абонентах и клиентах хранятся на предприятиях ЖКХ, в компаниях, предоставляющих услуги связи, банках и так далее.

- Есть ли какие-то условия обработки персональных данных?

- Обработка персональных данных может осуществляться оператором только с согласия субъектов персональных данных, за исключением случаев, предусмотренных законом.

В числе прочих случаев, указанных в законе, согласия человека не требуется, если:

- обработка персональных данных осуществляется для статистических или научных целей при условии обязательного обезличивания информации;

- обработка данных необходима для защиты жизни или здоровья человека, который не может дать своё согласие;

- обработка персональных данных осуществляется в целях профессиональной деятельности журналиста при условии соблюдения закона о СМИ;

- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе данных граждан, занимающих должности государственной гражданской службы и данных кандидатов на выборные государственные или муниципальные должности.

- Каким образом может нарушаться закон «О персональных данных», и каким образом защищаются права граждан?

- Закон может нарушить любой оператор. Самые частые нарушители – это предприятия ЖКХ, которые вывешивают на двери подъезда список с фамилиями должников, указывая, в каких квартирах они проживают, и какую сумму не уплатили. Иногда такие списки появляются в СМИ. Однажды в газете напечатали даже список присяжных заседателей и их адреса.

Мы выявляем такие случаи и направляем материалы по нарушениям в прокуратуру. Затем прокуратура выносит предостережения о недопустимости нарушения закона администрациям, предприятиям ЖКХ, редакциям газет и другим.

В настоящее время наша служба составляет реестр организаций, которые занимаются обработкой персональных данных. Все государственные, муниципальные органы, юридические или физические лица обязаны направить в Управление Роскомнадзора по Забайкальскому краю уведомление, в котором перечисляются основания, методы, способы и сроки обработки персональных данных, меры по обеспечению их безопасности.

На сайте забайкальского управления Роскомнадзора размещены рекомендации по заполнению уведомления, а на портале Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций операторам предоставлена возможность составления уведомлений об обработке персональных данных в электронной форме.

- Есть ли какие-то результаты в защите прав граждан по этому направлению?

- В 2009 году мы предупредили основные СМИ края о недопустимости публикации персональных данных. Сейчас такая информация практически не встречается в печати. Последний случай мы заметили в ноябре прошлого года.

Также мы предупреждаем управляющие компании, которые вывешивают на двери подъезда список с фамилиями должников. Теперь коммунальщики поступают по-другому, пишут номер квартиры и сумму долга. По этой информации нельзя идентифицировать человека, следовательно, закон не нарушен.

Однако напрямую граждане, права которых были нарушены, к нам не обращаются. Знаю, что за три года действия закона были заявления в прокуратуру, но в Роскомнадзор – нет.

- Может ли отсутствие заявлений говорить о том, что права граждан в этом направлении не нарушаются?

- Нет. Скорее это говорит о том, что граждане не привыкли защищать свои права.

- Насколько серьёзны требования к защите персональных данных?

- Сейчас, как я уже говорил, Роскомнадзор составляет реестр организаций, которые занимаются обработкой персональных данных. В нём будет указано, по каким направлениям работают организации. В зависимости от того обрабатывают ли операторы данные только своих работников или каких-то третьих лиц, к ним предъявляются разные требования по обеспечению безопасности данных.

При большом объёме данных операторы обрабатывают их в информационных системах, которые разделяются на четыре класса. В зависимости от класса определяются требования к техническим средствам, применению криптографии при обработке данных... Эти вопросы стоят на контроле Федеральной службы по техническому и экспортному контролю и ФСБ.

- Кому могут быть интересны специальные персональные данные, то есть информация о политических и религиозных взглядах человека?

- Такие данные могут содержаться в досье на работника, какой-либо организации. Нельзя с уверенностью сказать, что какой-то работодатель не собирает такие сведения. Требований к содержанию данных, которыми обладает работодатель, нет, но я думаю, что при приёме на работу и сборе данных организации должны руководствоваться Трудовым кодексом. А сбор излишней информации недопустим и может наводить на размышления.

- Есть ли смысл защищать права граждан, которые деанонимизируются, выкладывая всю информацию о себе в социальных сетях?

- Регистрируясь в социальной сети, человек сам размещает свои данные и решает, что ему стоит указать, фактически даёт согласие на их публикацию на определённом сайте. В этом случае закон соблюдается.

Абсолютно другое дело, если данные человека попали из интернета в какие-то другие источники или из его досье - в Сеть.

В некоторых случаях человек просто обязан предоставить свои данные о себе и опубликовать их в интернете. Это делают госслужащие, в том числе и я.

Егор Захаров

пн вт ср чт пт сб вс