Защита персональных данных: новые требования
28 декабря в 10-00 часов в ИА "ГАРАНТ" состоялось интернет-интервью с заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Шерединым Романом Валериевичем.
Тема интернет-интервью: "Защита персональных данных: новые требования".
Ведущий интернет-интервью - Сергей Царь (ИА "ГАРАНТ").
Ведущий: Добрый день, уважаемые дамы и господа! Здравствуйте, уважаемая интернет-аудитория!
Мы начинаем наше интернет-интервью. Разрешите представить нашего сегодняшнего гостя - Романа Валериевича Шередина - Заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Уважаемый Роман Валериевич, позвольте поблагодарить вас за то, что вы нашли время прийти сегодня в ИА "ГАРАНТ" и ответить на вопросы нашей интернет-аудитории.
Тема интернет-интервью: "Защита персональных данных: новые требования".
Позвольте напомнить, что сегодняшнее интернет-интервью транслируется в on-line режиме на сайте www.garant.ru.
За время, прошедшее с момента размещения анонса об интернет-интервью, в ИА "ГАРАНТ" поступило свыше 90 вопросов. Это говорит о большом интересе - как собственно к проблеме защиты прав субъектов персональных данных, так и к деятельности Роскомнадзора – Уполномоченного органа по защите прав субъектов персональных данных в Российской Федерации. Дополнительным стимулом для такой активности стали поправки в Федеральный закон "О персональных данных", которые были приняты летом 2011 года.
Вопросы поступили по самым разным аспектам рассматриваемой сегодня тематики, были и дублирующие. Понятно, что на все в рамках интернет-интервью ответить невозможно.
Поэтому предлагается поступить следующим образом. Романа Валериевича мы попросим ответить на вопросы общего характера, которые интересуют всех, кто, так или иначе, сталкивается с вопросами защиты персональных данных.
Ответы на конкретные вопросы, которые затрагивают особенности применения закона в различных сферах – в банковской, медицинской, образовательной, мы разместим в письменной форме на нашем интернет-портале.
Итак, первый вопрос: Роман Валериевич, сколько проверок было проведено в отношении операторов персональных данных, в том числе в 2011 году? Какие нарушения законодательства чаще всего выявляются? Как Вы оцениваете статистику правонарушений в области персональных данных 2011 года по сравнению с 2010? В какую сторону она изменилась?
Шередин Р.В.: Добрый день, всем кто смотрит нашу трансляцию. Большое спасибо организаторам за приглашение.
Огромное спасибо нашим участникам за интерес, который вы проявили к теме персональных данных и их защиты.
Главное этому подтверждение – количество и тематика заданных вами вопросов. Предложенный формат работы полностью поддерживается, поэтому отвечаю на первый заданный вопрос.
С ноября 2007 года, с момента возложения на Роскомнадзор (в то время Россвязьохранкультуру) полномочий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации нами проведено 3307 проверок операторов, осуществляющих обработку персональных данных.
По результатам этих мероприятий выдано более четырех с половиной тысяч предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 7 591 протокол об административных правонарушениях.
В течение 2011 года проведено 1 743 проверки, из них 954 плановых и 789 - внеплановых.
Наиболее часто встречающимися нарушениями законодательства в области персональных данных, которые выявляются в ходе проверок или при рассмотрении обращений граждан являются:
- непринятие оператором мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- осуществление обработки персональных данных без согласия субъектов;
- а также несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности.
Для достижения конечной цели – безусловного исполнения операторами требований законодательства - мы используем все формы и методы работы, которыми располагает надзорный орган.
Ведем широкомасштабную информационно-разъяснительную работу, активно используем меры профилактического характера, понуждаем операторов к исполнению закона с помощью рычагов административного воздействия.
Применение в совокупности всех этих форм и методов дает положительный синергетический эффект. И он отнюдь не в возросших суммах штрафов, а в снижении общего объема выявленных нарушений у категорий операторов, обрабатывающих персональные данные значительного числа субъектов.
К примеру, за 11 месяцев 2011 года общий уровень нарушений, выявленных в деятельности кредитных организаций, в сравнении с аналогичным периодом 2010 года снизился на 13 процентов, с 61 до 48.
Что касается мер профилактического характера, скажу, что мы стали активно применять механизмы мониторинга деятельности операторов. Это позволяет во многих случаях предотвращать нарушения прав граждан в сфере персональных данных.
Мониторинг включает в себя, в том числе оценку деятельности по обработке персональных данных в сети Интернет, выявление фактов незаконного размещения персональной информации в общедоступных местах и средствах массовой информации.
Подобная практика позволяет на ранней стадии выявлять факты распространения персональных данных граждан. Например, в ходе мониторинга был выявлен сайт "жильцы.ру", на котором размещались персональные данные абонентов МТС. По нашей инициативе деятельность этого ресурса была прекращена в судебном порядке.
Ведущий: Вы сказали, что увеличиваются суммы штрафов. Не могли бы Вы уточнить, какова динамика и о каких суммах идет речь?
Шередин Р.В.: Если по состоянию на конец 2009 года за нарушения в области персональных данных к административной ответственности было привлечено всего 37 операторов и взыскано административных штрафов на общую сумму чуть менее 22 тысяч рублей, то на сегодняшний день эта сумма превысила 12 с половиной миллионов рублей.
Количество нарушителей определить не сложно, учитывая, что размер штрафа в отношении нарушителя составляет 3-5 тысяч рублей. Такова сложившаяся судебная практика.
Ведущий: Сколько операторов, обрабатывающих персональные данные, на сегодняшний день включено в реестр операторов?
Шередин Р.В.: На сегодняшний день в реестр внесено 228 тысяч 99 операторов, осуществляющих обработку персональных данных.
Отмечу, что ведение реестра – одна из приоритетных задач Уполномоченного органа.
С 2008 года Службой реализуется комплекс мероприятий, направленных на повышение уровня информированности операторского сообщества о необходимости соблюдения требований законодательства в части направления уведомлений.
В частности, операторам рассылались информационные письма, содержащие соответствующие разъяснения.
Кроме того, в октябре 2009 года был открыт электронный сервис для интерактивного заполнения формы уведомления об обработке персональных данных с последующим ее направлением в Единую информационную систему Роскомнадзора.
Интерес операторов к интерактивной форме взаимодействия подтверждается цифрами.
Если в октябре 2009 года через Портал персональных данных поступило всего 123 уведомления, что составило 2,6% от общего количества операторов, включенных на тот период в Реестр, то в 2011 году в электронном виде была направлена практически половина уведомлений.
В рамках реализации проекта по предоставлению государственных услуг в электронном виде возможность интерактивного взаимодействия реализована на Едином портале госуслуг.
Ведущий: Как именно сотрудники контролирующих органов будут проводить проверки, какие документы они должны иметь в момент своего первого визита в организацию? Из чего будет производиться оценка вреда, которые мог быть причинен или был причинен субъектам, как будут устанавливаться факты нарушения законодательства – ведь фактически проследить как, например, происходит работа с персональными данными сотрудников внутри организации невозможно. Дифференцирована ли в зависимости от степени вреда ответственность и необходимо ли, на Ваш взгляд, ее ужесточить? С уважением, Дарья.
Шередин Р.В.: Основания, порядок и сроки проведения проверок, перечень проверяемых документов предусмотрены Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Ныне действующий Административный регламент проведения проверок в области персданных был утвержден приказом Роскомнадзора 1 декабря 2009 г. № 630 и зарегистрирован Минюстом России 28 января 2010 г. № 16095.
В рамках мероприятий административной реформы Административный регламент подлежал переработке. Новый Регламент утвержден приказом Минкомсвязи России от 14 ноября 2011 г. № 312 и зарегистрирован Минюстом России 13 декабря 2011 г.
Мы ждем его скорейшего официального опубликования и вступления в силу. Регламент также будет доступен на официальном интернет-сайте Роскомнадзора и Портале персональных данных.
Отвечая на вторую часть вопроса, скажу, что сейчас в российском законодательстве нет дифференцированного подхода к ответственности за нарушения законодательства о персональных данных.
На наш взгляд, такой подход должен быть обязательно разработан в оптимальные сроки. Не говорю в кратчайшие только по одной простой причине: спешка в этом вопросе неуместна. Ведь персональные данные – это так называемая "чувствительная" область, и вред, причиненный субъекту персональных данных в результате неправомерной деятельности оператора, может восприниматься по-разному, в том числе самими пострадавшими.
Одним словом, специфика рассматриваемого вопроса требует его самого внимательного обсуждения и детальной проработки. Работа будет вестись, в том числе в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных, в который входят представители как органов государственной власти так и операторского сообщества.
Что касается ужесточения степени ответственности, отмечу, что в уголовном кодексе имеются три состава с максимальным сроком наказания в виде лишения свободы на срок до пяти лет. Судебная практика по таким делам практически отсутствует.
В КоАПе четыре состава административных проступков с максимальной санкцией в виде штрафа в размере до 10 тысяч рублей. О сложившейся судебной практике я говорил чуть ранее.
Для сравнения - зарубежный опыт в этой сфере.
К примеру, ответственность за нарушения приватности в Германии - уголовная ответственность и штраф в размере 300-500 тысяч евро.
Страны Балтии, например, Эстония – штраф 32 тысячи евро.
Украина. Самый молодой закон о защите персональных данных – штраф за отсутствие регистрации баз персональных данных – 17 тысяч гривен, что-то около 70-80 тысяч рублей.
Америка. Проект закона о защите персональных данных предусматривает ответственность в виде штрафа до пятисот тысяч долларов и так далее.
А у нас на практике, напомню – 3-5 тысяч рублей. Конечно же нашим операторам легче оаплатить такой штраф, нежели чем потратить средства на реализацию адекватных мер защиты персональных данных – организационных, правовых и технических.
Учитывая эти обстоятельства, мы вышли с предложениями об увеличении размера штрафных санкций до пятисот тысяч рублей с обязательной дифференциацией их размера от степени причиненного субъекту вреда.
Ведущий: Как складываются взаимоотношения Роскомнадзора с другими регуляторами в данной области? Есть ли между Роскомнадзором, ФСТЭКом и ФСБ какие-либо противоречия?
Шередин Р.В.: В ходе осуществления контрольно-надзорной деятельности мы выработали механизмы взаимодействия с ФСБ и ФСТЭК.
За три года провели 17 совместных проверок, получили значительный практический опыт совместной деятельности.
Результаты наших совместных мероприятий доказали свою эффективность, поэтому подобная практика будет продолжаться.
Вместе с тем, с учетом изменений, внесенных летом в закон о персональных данных, в 2012 году наше взаимодействие ограничится проверками государственных и муниципальных информационных систем.
Ведущий: Активно ли россияне обращаются в Роскомнадзор с жалобами и разъяснениями по вопросам защиты персональных данных? На какие нарушения они жалуются чаще всего? Куда предпочитают обращаться граждане, если считают, что их права нарушены - к Вам, в прокуратуру, суд? Спасибо!
Шередин Р.В.: Для граждан действующим законодательством установлены широкие возможности для защиты своих прав и законных интересов, но как показывает практика, сегодня одним из самых эффективных способов является обращение в Уполномоченный орган, к нам в Роскомнадзор.
Количество жалоб постоянно растет - с 465 в 2009 году до 3240 на 26 декабря 2011 г.
Граждане обращаются как по вопросам разъяснения законодательства, так и с жалобами на действия операторов, нарушающих условия конфиденциальности (это опубликование и размещение в общественных местах различных списков, перечней, содержащих персональные сведения), по фактам отсутствия согласия на обработку их персональных данных, а также незаконной передачи персональных данных третьим лицам.
Несмотря на возросшие объемы поступающих обращений, при их рассмотрении мы неукоснительно следуем основным принципам, установленным законодательством: принципам всесторонности и объективности.
Вместе с тем следует отметить, что доводы заявителей подтверждаются чуть более, чем в 30% случаев.
При этом в каждом, конкретном случае нами были приняты все необходимые меры реагирования. Только в органы прокуратуры было направлено около 900 материалов.
В целом мы рассматриваем увеличение количества жалоб как высокую оценку эффективности работы Роскомнадзора в качестве уполномоченного органа по защите прав субъектов персональных данных.
Это еще и свидетельствует о том, что граждане знают о нас, видят в нашем лице надежных защитников своих прав на неприкосновенность персональных данных.
Ведущий: Удается ли доводить дела до судов?
Шередин Р.В.: Безусловно да. Мы активно реализуем полномочия по судебной защите прав граждан, в том числе и неопределенного круга.
Первые шаги в этом направлении были сделаны еще в 2009 году, когда в суды были направлены первые иски в защиту прав субъектов персональных данных, ответчиками выступали интернет-сайты, на которых были незаконно размещены персональные данные.
Необходимо отметить, что судебная практика по этим вопросам отсутствовала. Фактически мы ее создавали с нуля.
Результат, пускай в масштабах страны и глобальной сети Интернет на первый взгляд незначительный, уже есть, - в судебном порядке прекращена деятельность 22 ресурсов в доменной зоне "ru", на которых были незаконно размещены персональные данные. Мы уверены, что эта работа будет набирать обороты.
Что касается ресурсов в нероссийском сегменте, то там мы столкнулись с проблемой правил определения подсудности дел, не позволяющей сегодня рассматривать подобные дела в российских судах, по месту нахождения лиц, которым причинен вред нарушениями законодательства о персональных данных. Посмотрели, проанализировали, сейчас готовим предложения по внесению изменений в процессуальное законодательство.
Ведущий: Жалоба субъекта ПД в контролирующие органы должна быть основана или любой субъект может просто обратиться в контролирующие органы с просьбой проверить оператора, потому что ему показалось, что его права нарушают? Будет ли оператор уведомлен, что субъект ПД такой-то, по какой – то причине, пожаловался на оператора? Пожаловаться на оператора может только субъект ПД, клиент оператора или любой субъект ПД, не являясь клиентом оператора?
Шередин Р.В.: В соответствии с п. 2 ч. 5 ст. 23 Федерального закона "О персональных данных" уполномоченный орган по защите прав субъектов персональных данных обязан рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений.
При этом, обжаловать действия оператора вправе любой субъект - гражданин, чьи права в области персональных данных были нарушены неправомерными действиями (бездействием) оператора.
При рассмотрении обращений сотрудники Роскомнадзора вправе запрашивать у оператора, осуществляющего обработку персональных данных, необходимую информацию, связанную с рассмотрением поступившего обращения.
Запросы могут содержать персональные данные заявителя, если это необходимо для его идентификации и истребования либо предоставления информации. В иных случаях информация о заявителе не распространяется и лицу, чьи действия обжалуются, не передается.
Ведущий: Что сделано за годы действия закона "О персональных данных" для того, чтобы прекратить продажу персональных данных граждан в виде электронных баз в хорошо известных местах, сделать этот бизнес невозможным?
Шередин Р.В.: Совместно с правоохранительными органами мы провели ряд мероприятий по прекращению незаконной реализации баз данных на физических носителях, содержащих персональные данные граждан, и распространяющихся на различных радиорынках.
В 2011 году было изъято нескольких сотен физических носителей информации. На них содержались сведения о частной жизни граждан, объединенные в два десятка баз различной тематики и принадлежности.
При проведении повторных рейдов выяснилось, что предложение незаконной продукции существенно сократилось, а в отдельных местах она отсутствовала полностью.
Ведущий: Летом всех взбудоражила новость об утечке персональных данных – пользователей интернет-магазинами. Удалось выявить и наказать виновных?
Шередин Р.В.: С выявлением все получилось, а с наказанием, к сожалению, нет.
Мы оперативно установили владельцев 15 интернет-магазинов, которые допустили утечку наиболее существенного объема личной информации. Материалы направили в органы прокуратуры. Знаю, что дела об административных правонарушениях были возбуждены в установленные сроки только по 6 материалам - прокуратурами Чеховского и Одинцовского районов Московской области и города Владивостока. По этим делам состоялись судебные решения о привлечении виновных к ответственности.
В остальных случаях в связи с различными обстоятельствами виновные лица остались без наказания.
Ведущий: Не в связи ли с этим в СМИ появились сообщения о том, что "Роскомнадзор" намерен отобрать у прокуратуры полномочия по возбуждению административных дел по поводу нарушений закона о защите персональных данных….
Шередин Р.В.: Полагаю, что слово "отобрать" тут абсолютно не уместно. Проблему мы анализировали на протяжении последних двух лет и пришли к выводу о необходимости наделения Роскомнадзора полномочиями по возбуждению и производству по делам об административных правонарушениях по ст. 13.11 КоАП РФ (нарушение порядка сбора, хранения, использования и распространения информации о гражданах (персональных данных)).
Сейчас эти полномочия находятся в компетенции органов прокуратуры. Срок, установленный для привлечения к административной ответственности по статье 13.11 КоАП РФ, составляет три месяца. Органы прокуратуры зачастую перегружены и не всегда могут во время рассмотреть наши документы, а суды привлечь виновных к ответственности. Поэтому нарушители и уходят от ответственности.
Наша инициатива уже поддержана в Генпрокуратуре.
Убежден, что принятие такого решения позволит существенно сократить время рассмотрения и передачи административных дел в суды.
Главное, будет соблюден принцип неотвратимости наказания. Ситуации, подобные той, которая произошла с владельцами интернет-магазинов, будут исключены.
Надеемся, что наши предложения о поправках в КоАП РФ Госдума рассмотрит в ходе весенней сессии.
Ведущий: Что понимается под избыточностью обрабатываемых персональных данных субъекта персональных данных применительно к целям обработки и чем такая избыточность опасна, надо ли за нее наказывать?
Шередин Р.В.: Говоря доступным языком, избыточность – это такое превышение, которое связано со сбором и обработкой персональных данных, которые не относятся к деятельности оператора, осуществляемой им в отношении субъекта либо не относятся непосредственно к тем услугам, которые оператор оказывает субъекту персональных данных.
Например, зачем при выдаче дисконтной, заметьте не именной, карты в какой-либо магазинчик или на заправку, необходимо спрашивать полные паспортные данные, адрес местожительства, все виды контактной информации и прочее.
Я понимаю, если гражданин изъявит желание участвовать в каких-либо суперакциях, получении дополнительного спектра услуг, требующего его идентификации, тогда это как-то объяснимо, но при этом гражданину должен оставаться выбор – сообщать свои данные или нет.
Ведущий: А если это не так?
Шередин Р.В.: Вот это и есть избыточность. Законодательством какой-то минимум собираемых данных не определен. Не установлена ответственность за избыточный сбор данных.
Поэтому операторы зачастую злоупотребляют своим правом и запрашивают у граждан персональные данные, в объеме, который значительно превышает необходимый.
Соответственно, возрастают риски. В случае утечки, весь этот объем информации окажется в свободном доступе, что гражданам грозит самыми большими неприятностями.
Мы, со своей стороны, представили предложения по этому вопросу. Несмотря на то, что они не вошли в 261-ый федеральный закон, мы надеемся на их рассмотрение в 2012 году.
Ведущий: Роман Валериевич! Расскажите, пожалуйста, о международных проектах по защите персональных данных, в которых принимает участие в данный момент Роскомнадзор?
Шередин Р.В.: В нашей практике возникает достаточно много вопросов, требующих международного сотрудничества, особенно, затрагивающих вопросы осуществления трансграничной передачи персональных данных.
С учетом специфики вопросов, направленных на защиту персональных данных и неприкосновенность частной жизни, они требуют тесного и оперативного международного взаимодействия между уполномоченными органами различных стран.
Уже возникла необходимость создания межгосударственной системы защиты прав граждан, включающей в себя организационные и правовые аспекты. Площадкой для выработки эффективных решений в области защиты персональных данных и действенных механизмов взаимодействия уполномоченных органов иностранных государств стала Международная конференция "Защита персональных данных", проведенная Роскомнадзором при поддержке Минкомсвязи России дважды в 2010 и 2011 году.
Мы с удовлетворением отмечаем, что с каждым годом круг стран, поддержавших наши начинания по организации межгосударственной системы защиты персональных данных, неуклонно расширяется.
Так, если в 1-й Конференции приняли участие 6 стран из СНГ, то во второй конференции присутствовали представители 16 государств Восточной и Центральной Европы, Прибалтики и Балканского полуострова.
С рядом государств мы подписали меморандумы о сотрудничестве в области защиты прав субъектов персональных данных. Это – Молдова, Кыргызстан, Армения, Македония. В стадии подписания – Украина, есть договоренности с Боснией и Герцеговиной и Хорватией.
Надеемся, что это позволит в дальнейшем существенно повысить эффективность защиты прав наших граждан, в том числе за пределами Российской Федерации.
Кроме того, представители российского Уполномоченного органа в составе межведомственной делегации принимают участие в переговорах по проекту Соглашения между РФ и Евроюстом, а также в переговорах по проекту Соглашения об оперативном сотрудничестве между Россией и Европолом.
В ходе переговоров одним из главных вопросов стало обсуждение порядка и условий обработки персональных данных. При этом позиция Роскомнадзора по этим вопросам европейским партнерами признана ключевой.
В практическом аспекте международное взаимодействие осуществлялось в форме рассмотрения обращений, в том числе и иностранных граждан, и организации сотрудничества по пресечению незаконной деятельности в сети Интернет.
В 2010 – октябре 2011 года в целях пресечения противоправной деятельности интернет-ресурсов, расположенных за пределами Российской Федерации, по мотивированным запросам Роскомнадзора американскими и индийским регистраторами приостановлена деятельность восьми интернет-сайтов, на которых размещались персональные данные российских граждан.
В достижении этих положительных результатов необходимо отметить действенную помощь Министерства иностранных дел Российской Федерации.
Ведущий: Роман Валериевич, какие проблемы в сфере защиты персональных данных при трансграничной передаче персональных данных существуют на сегодняшний день? Опыт каких зарубежных коллег, на Ваш взгляд, наиболее ценен и приемлем для России?
Шередин Р.В.: Да, в сфере трансграничной передачи персональных данных проблемы есть. Связаны они главным образом с сетью Интернет, не имеющей границ и в целом не регулируемой законодательством отдельных стран.
Основным нашим требованием при трансграничной передаче персональных данных является обеспечение адекватного уровня их защиты на территории иностранного государства, куда оператор предполагает эти сведения передавать.
Выделить кого-либо из иностранных коллег, я считаю, было бы неправильно, так как каждой стране, имеющей законодательство в области защиты персональных данных и соответствующие уполномоченные органы, присущи свои особенности, в том числе в правоприменительной практике.
Поэтому, мы учитываем опыт разных стран при решении возникающих вопросов в области персональных данных и активно используем международное сотрудничество при решении поставленных задач.
Кроме того, согласно дополнений, внесенных в Федеральный закон "О персональных данных" в июле, Роскомнадзором будет утверждаться перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Такой перечеь мы утвердим в конце 2012 года.
Ведущий: Теперь все же задам несколько более конкретных вопросов из тех, которые интересуют широкий круг людей.
Один из пользователей нашего сайта спрашивает: "Недавно я дал согласие на размещение информации о себе в базе коммерческого оператора, а потом передумал. Могу ли я потребовать заблокировать ее или вовсе стереть информацию о себе у коммерческого оператора? Что для этого нужно сделать?"
Шередин Р.В.: Вы вправе, руководствуясь ст. 9 Федерального закона "О персональных данных", отозвать согласие на обработку персональных данных.
Между тем, в случаях, предусмотренных упомянутым федеральным законом, оператор вправе продолжить обработку персональных данных, несмотря на их отзыв. Все эти случаи перечислены в статьях 6, 10 и 11 Федерального закона "О персональных данных".
Ведущий: Вопрос по соцсетям. После удаления своего аккаунта из соцсети, информация о персональных данных все-равно там остается. Правомерно ли оставление информации в соцсети о лице, давно удалившемся из нее?
Шередин Р.В.: Регистрируясь в социальной сети, гражданин добровольно и в своем интересе предоставляет свои персональные данные, соглашаясь тем самым с Правилами пользования указанным интернет-ресурсом, установленными их владельцем.
Поэтому пользователю на этапе регистрации очень важно внимательно ознакомиться со всеми условиями Пользовательского соглашения, чтобы, впоследствии, избежать недопонимания или возможных нарушений его прав.
По общему правилу каждому пользователю - субъекту персональных данных согласно ст. 9 Федерального закона "О персональных данных" предоставлено право отозвать свое согласие на обработку персональных данных, за исключением случаев, предусмотренных федеральным законом.
Таким случаем, например, является право оператора продолжить обработку персональных данных при достижении цели обработки или при отзыве согласия, если данное условие предусмотрено договором или пользовательским соглашением.
Поэтому, еще раз призываю всех пользователей интернетом и не только социальными сетями, самым внимательным образом изучать условия, по которым вам предлагается пользоваться тем или иным ресурсом.
Ведущий: Из закона "О персональных данных" и подзаконных актов не ясен конкретный перечень внутренних документов, которые должна разработать организация. Какой необходимый минимальный комплект документов Вы рекомендуете разработать?
Шередин Р.В.: Жестких требований о количестве подлежащих разработке локальных актов оператора действующим законодательством не установлено.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. Это меры организационного, правового и технического характера.
Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором:
- это общий документ, определяющий политику оператора в отношении обработки персональных данных;
- локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Подчеркиваю, перечень этот не исчерпывающий.
Ведущий: Хотелось бы узнать точку зрения Романа Валериевича Шередина по следующему вопросу. Российские школы активно внедряют электронные формы дневников и журналов. В связи с этим от родителей требуется предоставление для регистрации (а, следовательно, для обработки и распространения) большого числа сведений о ребенке и родителях. Каким образом они будут использованы и защищены - не знают ни родители, ни работники школ. Насколько правомерны эти действия, и могут ли родители отказаться от участия в названных мероприятиях? Вопрос очень актуален, поскольку, с одной стороны, постоянно говорится о вреде распространения детьми информации о себе в социальных сетях, а с другой — обязывают родителей участвовать в распространении такой информации. С уважением, Татьяна Владимировна.
Шередин Р.В.: В настоящее время действующим законодательством Российской Федерации об образовании не предусмотрено обязательное требование о переходе общеобразовательных учреждений на электронные формы обучения, в том числе внедрение и применение электронных форм дневников.
Указанные проекты являются пилотными и, по нашему мнению, могут реализовываться исключительно с согласия родителей как законных представителей несовершеннолетних детей.
Ведущий: Уважаемый Роман Валериевич, время нашего интернет-интервью подходит к концу. Позвольте поблагодарить вас за подробные, исчерпывающие ответы и за ваши комментарии действующего законодательства! Позвольте поздравить вас с наступающим Новым годом и пожалеть вам всего самого наилучшего в Новом году, а Роскомнадзору успехов в защите наших персональных данных!
Шередин Р.В.: Спасибо всем за внимание! С Новым годом! Добра, тепла, надежной защиты персональных данных!