Денис Малахов рассказывает, как защитить свои персональные данные от третьих лиц

Сегодня поговорим о защите персональных данных. Знакомая ситуация: звонит мобильный или стационарный телефон, называют вашу фамилию и имя люди, с которыми вы незнакомы, и предлагают ремонт окон, биодобавку или массаж лица? Или, например, вы – самостоятельный покупатель, подбирающий квартиру на информационных интернет-ресурсах, и вам после «прозвона» объявлений начинают звонить сторонние лица и предлагать услуги по подбору объекта. Они даже могут сказать, что вы сами обращались в их компанию и оставили данные для контакта (хотя на самом деле вы не делали этого), но скорее всего ваш телефонный номер был успешно занесен в список для привлечения как владельца объекта в качестве клиента после вашего разговора по одной из квартир.

Профессиональные участники рынка недвижимости, работающие по стандартам Уральской палаты недвижимости, не поддерживают такую агрессию в маркетинге, потому что знают, насколько важна в вопросе недвижимости уверенность клиента в безопасности информации. Но есть на рынке и непрофессионалы, и новички, которые не понимают этого…

Клиент, который обратился в агентство недвижимости за услугой по продаже квартиры, безусловно, не хочет, чтобы о том, что он (Иван Иванович Иванов, проживающий по адресу такому-то) продает квартиру, раззвонили по округе, не хочет этого и покупатель, который накопил (наследовал, получил, взял в долг и так далее) определенную сумму для покупки жилья. Люди не хотят, чтобы их персональные данные «гуляли» по рукам.

Как быть, если вы тоже не хотите этого? В данном случае эксперты советуют изучить права и обязанности по защите персональных данных. В стране работает закон о персональных данных № 152-ФЗ, и в январе мы отметим 10-летие его вступления в действие. О том, как он работает, кем и как должен выполняться, какие санкции применяются к нарушителям, рассказывают наши эксперты. Надеемся, что эта информация вам будет интересна и небесполезна.

Александр Бражников, председатель НП «Союз защитников информации» (Москва):

– Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Персональные данные относятся к информации ограниченного доступа и должны быть защищены. Компания при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Самое обычное хранение персональных данных в файле MS Excel считается обработкой, и, следовательно, должна быть обеспечена их безопасность в соответствии с законом 152-ФЗ. Хранение персональных данных, содержащихся на бумажных носителях, регулируется законом №125-ФЗ «Об архивном деле в Российской Федерации».

Для выполнения закона необходимо иметь пакет организационно-распорядительной документации, назначить ответственных лиц за организацию обработки и обеспечение безопасности персональных данных, подать уведомление об обработке персональных данных в Роскомнадзор, определить уровень защищенности информационных систем персональных данных и принять организационные и технические меры для обеспечения безопасности персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), она осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Федеральная служба по техническому и экспертному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных, содержащихся в государственных информационных системах. Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за криптографическими мерами защиты персональных данных.

Виды ответственности следующие: штраф до 500 тыс. руб. – на оператора персональных данных (юридические лица), приостановка деятельности организации на срок до 90 дней; штраф на должностных лиц – в размере от восемнадцати тысяч до двадцати тысяч рублей либо дисквалификация на срок до трех лет; на юридические лица – от трехсот тысяч до пятисот тысяч рублей.

Помимо этого, за разглашение персональных данных предусмотрена и уголовная ответственность по ст. 137 УК РФ, которая устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 тыс. руб. или в размере заработной платы, или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы, или иного дохода, осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Например, образовательная школа является оператором персональных данных и на нее ложатся все требования законодательства по защите персональных данных.

Есть уже случаи, когда родители, несогласные с деятельностью школьной администрации, пишут жалобу о нарушении законодательства в области защиты персональных данных в Роскомнадзор, в прокуратуру. Данные органы реагируют на заявления граждан и осуществляют внеплановую проверку школы. Директор является непосредственно ответственным за защиту персональных данных в школе. Он должен отреагировать на результаты проверки, но многие директора пока думают, что это ерунда и им за это ничего не будет. Если они в течение месяца не устранят выявленные проверкой недостатки, то вступает в силу статья 19.5. Кодекса об административных правонарушениях. Невыполнение в срок законного предписания надзорного органа об устранении нарушений законодательства влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностные лица – от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридические лица – от десяти тысяч до двадцати тысяч рублей. А это дает возможность уволить директора школы (дисквалификация на три года), не думаю, что данный директор сможет через три года занять снова место директора.

Это можно использовать на любой организации, которая попадает под понятие оператор персональных данных. Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Получается, если правильно юридически составить заявление, а к нему приложить аргументированные доказательства, то можно любого руководителя предприятия лишить его должности. Думаю, граждане разберутся в данном вопросе, появятся юристы в области защиты персональных данных и начнутся активные судебные тяжбы.

Денис Малахов, руководитель юридического отдела компании «Лига защиты должников» (Москва):

– Случаи нарушения закона о защите персональных данных (№ 152-ФЗ) нередки. Возьмем, к примеру, самую распространенную ситуацию: заемщику по кредитному договору названивают из коллекторских агентств, по сути, тут ситуация с передачей персональных данных третьим лицам. Но заемщик изначально дал на это согласие. Что предусмотрено в таких случаях законом: статья 9 данного закона говорит о том, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных. То есть заемщик может запретить банку передавать его личные данные коллекторам и иным лицам. В случае если же и после запрета коллекторы продолжают звонить, то необходимо написать жалобу в Роскомнадзор и приложить ранее отправленное заявление в банк и подтверждение того, что звонки продолжаются. Роскомнадзор обязан провести проверку по данному факту и прислать официальный ответ о проведенной работе. И если факт нарушения будет зафиксирован Роскомнадзором, его нарушителя ждут санкции в виде крупных штрафов. Также при наиболее частых звонках с поступающими угрозами следует уже обращаться в суд с исковым заявлением к банку о понуждении прекратить обработку персональных данных, а также взыскать за моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, правил обработки персональных данных и требований к защите персональных данных, установленных законом.

Олеся Емельянова, юрист юридической компании «Генезис»:

– К персональным данным можно отнести широкий (к тому же открытый) перечень сведений. Многие из них являются объектами отношений, регулируемых ГК РФ и другими законами. Основным правилом обработки персональных данных является наличие согласия субъекта этих данных, исключения устанавливаются федеральными законами. При этом согласие на обработку персональных данных может быть отозвано без объяснения причины – достаточно лишь простого уведомления.

Защиту персональных данных могут осуществлять сами субъекты персональных данных (граждане), Роскомнадзор, работодатель в отношении персональных данных работников. Это наиболее распространённые случаи.

Законом предусмотрен судебный и административный (обращение в уполномоченный орган) порядок защиты персональных данных, но это не отменяет того, что предлагает ГК РФ в части возможности самозащиты нарушенного права.

В зависимости от характера и субъектов правонарушения, наступивших последствий в связи с неправомерным использованием персональных данных различают уголовную, административную, гражданско-правовую ответственность, а также дисциплинарную и материальную в рамках трудовых отношений (ст. 90 ТК РФ). Применение прочих санкций не отменяет право пострадавшего лица на компенсацию морального вреда и возмещение убытков.

Все большую актуальность набирают проблемы защиты персональных данных в Интернете, в том числе в социальных сетях. Стандартный атрибут социальной сети – профиль пользователя, изобилующий персональной информацией. Она указывается пользователем добровольно, но ряд сведений может быть обязательным при регистрации, например, адрес эл. почты, номер телефона, отсканированное изображение документов (паспорта, документа о высшем образовании и прочее). Размещенные в социальных сетях сведения становятся доступны большему числу лиц, нежели пользователи себе представляют. Сбор персональных данных в Интернете осуществляется в том числе с помощью специальных файлов, называемых «куки», которые находятся на диске компьютера пользователя и содержат текстовую информацию, необходимую серверу для функционирования какого-либо сайта. Поддержка куки может отключаться, однако нередко пользователи об этом даже не задумываются. «Куки» позволяют отслеживать их действия и предпочтения, что ставит под угрозу тайну личной жизни, персональные данные, в то время как пользователь даже не задумывается о возможности правонарушения в этой области. А сам факт того, что «куки» не отключили, вовсе не означает согласия на использование персональных данных пользователя.

Если организация обрабатывает персональные данные гражданина (её представитель звонит и предлагает свои услуги), то гражданин имеет право запросить у этой организации как оператора персональных данных информацию, касающуюся обработки персональных данных (п. 7 ст. 17 закона «О персональных данных»): цель обработки данных, основания и т. п. Если по истечении 30 дней ответ не поступит, можно обращаться в Роскомнадзор. Если факт неправомерного использования персональных данных подтвердится, гражданин выбирает для себя судебный или внесудебный порядок защиты.

Алексей Попов, руководитель представительства компании «СёрчИнформ» в УрФО:

– Персональные данные – юридическое, а не техническое понятие, поэтому правила игры устанавливает государство. Законодательная база, которая так или иначе регулирует эту сферу, включает Конституцию, Трудовой кодекс, президентские указы, в том числе указ «Об утверждении Перечня сведений конфиденциального характера» 1997 года, постановления правительства.

Общие принципы закреплены в законе о персональных данных. Конкретные организационные и технические требования в рамках своей компетенции устанавливает Федеральная служба по техническому и экспертному контролю (ФСТЭК). Ведомство разрабатывает методические рекомендации, модели угроз, типовые требования к информационным системам.

Организации должны учитывать категорию персональных данных и цели, с которыми собирают, хранят и обрабатывают информацию. Для обеспечения защиты имеют значение и бизнес-процессы, которые включают обработку данных, и количество сотрудников, которые заняты обработкой, и архитектура системы, в которой все это происходит. Выбор стратегии защиты – ситуативный и во многом индивидуальный. Технические и программные средства защиты включают межсетевые экраны, антивирусы, инструменты VPN, DLP-системы, генераторы шума и устройства экстренного уничтожения информации.

Сохранность и неприкосновенность персональных данных по закону обеспечивает оператор или третья сторона, с которой оператор заключил договор. Теоретически операторы должны использовать инструменты, соответствующие требованиям законодательства и обеспечивающие максимальный уровень защиты. На практике все несколько иначе. Стоимость современных средств информационной безопасности исчисляется миллионами рублей. Не каждая коммерческая компания и тем более бюджетная организация готова тратить такие суммы. Максимальное административное наказание за несоблюдение требований защиты для юридических лиц не превышает 10 тысяч рублей. Действия или скорее бездействие организаций в таких обстоятельствах может выглядеть как сознательное нарушение. Тем более что, согласно требованиям, контроль над соблюдением правил оператор вправе проводить и сам, минимум один раз в три года.

Проблема не решится, пока не будет обратной реакции от государства. Условия должны быть такими, чтобы организациям устанавливать системы защиты стало выгоднее, чем платить штрафы. И пока ответ на вопрос, кто должен защищать персональные данные, – это сам гражданин.

Если судить по новостям, которые попадают в СМИ, в основном за нарушение процедуры обращения с персональными данными наказывают рядовых сотрудников, реже – руководителей. Но сама возможность будущих нарушений при этом не устраняется.

Полицейские и сотрудники служб скорой помощи незаконно передают похоронным бюро сведения об умерших. Истории об этом постоянно на слуху. Недавно в Тюмени судили двух бывших сотрудников дежурной части, которые почти два года передавали данные ритуальному агентству и заработали на этом полмиллиона рублей. Суд наказал их штрафом в трехкратном размере. Приняло ли руководство меры для того, чтобы перекрыть канал утечки? Есть основания для сомнений. В Челябинске диспетчера дежурной части с 20-летней выслугой уволили за то, что та передавала данные умерших в бюро ритуальных услуг. Она утверждает, что делала это по устному распоряжению руководства. СМИ писали, что начальник оперативной части подал рапорт об отставке в связи с выходом на пенсию. О принятых мерах, чтобы впредь избежать подобных ситуаций, – ни слова. И это только последние случаи, которые попали в прессу. Схема продолжает работать по всей России.

– Как реагировать на то, что нам звонят и называют вас по имени-отчеству люди, с которыми мы незнакомы, и навязывают свои услуги?

Александр Бражников:

– Узнайте, кто звонит, скажите, что вам интересно их предложение и попросите оставить координаты для связи с ними. Это необходимо, чтобы идентифицировать звонивших, а после определения компании и места ее расположения уже можно подавать заявление в Роскомнадзор. Но надо понимать, что звонок к вам не является доказательством в суде. Перед заявлением в контролирующий орган необходимо обратиться в организацию, которую вы подозреваете в ненадлежащем хранении ваших персональных данных, тоже с заявлением для разъяснения, как они обрабатывают ваши персональные данные, кто ответственный, кому они их передавали (права на получение какой информации, касающейся обработки ваших персональных данных, вы можете требовать предоставить вам, указаны в ст.14 п.7 ФЗ-152). Если вам не ответят или проигнорируют вас, то вы пишете заявление в Роскомнадзор с приложением копии вашего обращения в компанию, которая нарушает ваши права. Обращение в компанию должно быть заверено компанией о его получении от вас, второй экземпляр с отметкой о получении должен остаться у вас. В общем, если захотите наказать нерадивых, то необходимо готовить доказательства в суде, на слово вам никто не поверит.

Имея доступ к персональным данным, злоумышленник может совершить много противоправных действий, которые могут окончиться большими проблемами для граждан. Сейчас много звонков о предложении установки водяных счетчиков, окон, установки и наладки Интернета и т. п. Кроме того что компании используют ваши персональные данные, среди них много мошенников, которые вводят вас в заблуждение и оказывают вам ненужную услугу. Например, звонят пожилым людям, представляются громким именем «Главное информационное бюро по ЖКХ города» и сообщают, что необходимо провести поверку водяных счетчиков, которые им были поставлены месяц назад, если они это не сделают, то пожилые люди будут платить огромные деньги. Люди пугаются и соглашаются провести поверку, по результатам им сообщают, что счетчик неисправен, надо менять. Вместо нового счетчика ставят старый, получают деньги. А поверка может быть проведена не раньше чем через 5 лет!..

Алексей Попов:

– Если вам позвонили неизвестные и что-то предлагают, следует выяснить, откуда у них ваши данные. Если известно название организации, вы вправе обратиться в Роскомнадзор письменно, форму можно заполнить на сайте ведомства. На рассмотрение жалобы отводится 30 дней. Правда, факт нарушения должен быть установлен решением суда, вступившим в законную силу, но, чтобы привлечь виновного к ответственности, мало установить источник утечки ваших персональных данных, надо доказать сам факт.

Сулин Алексей, управляющий партнер компании Axis Pravo, юрист.

– Если незнакомый человек звонит и предлагает что-то купить или воспользоваться услугой, при этом ему известны ваше имя и другие данные, необходимо сразу занять решительную позицию и сообщить звонящему, что данные действия носят противоправный характер и в случае повторного звонка вы намерены обратиться в правоохранительные органы. Как правило, этого достаточно, чтобы звонков больше не было.

Если звонок совершается от имени известной компании, необходимо сообщить, что одновременно с заявлением в правоохранительные органы вами будет направлена жалоба в Роскомнадзор. Известные на рынке компании дорожат своей репутацией, и новые звонки скорее всего не последуют.

Оригинал публикации: Защита персональных данных

Вам понравилась публикация?
Мы будем рады если вы поделитесь ей с другими.