За 9 месяцев текущего года в Енисейское управление Роскомнадзора поступило 504 обращения по различным вопросам в сфере персональных данных. В Управлении отмечают, что в течение уже нескольких лет больше всего жалоб поступает на действия банков и кредитных учреждений, на интернет-ресурсы, в том числе социальные сети, на деятельность коллекторских агентств, а также на организации, оказывающие услуги в сфере ЖКХ. Насколько серьезные штрафы грозят юридическим лицам за передачу персональных данных гражданина без его согласия, какая информация относится к специальной категории персональных данных – об этом и многом другом рассказала руководитель Енисейского управления Роскомнадзора Наталья Бурдюкова.
Тайна, охраняемая законом
По словам Натальи Бурдюковой, персональные данные - это любая информация, относящаяся к прямо или косвенно определяемому или определенному физическому лицу. Фамилия, имя и отчество человека, его доходы, место проживания, семейное положение и многое другое – вся эта информация относится к персональным данным. Все это прописано в Федеральном законе «О персональных данных» №152-ФЗ, который был принят в 2006 году. На сегодняшний день данный закон является основным нормативным правовым актом, регулирующим вопросы обработки персональных данных. В законе закреплено, что все, кто занимается обработкой персональных данных, являются операторами, а граждане – субъектами персональных данных.
Как отмечает Наталья Бурдюкова, закон возложил на операторов целый ряд обязанностей по обработке персональных данных, а гражданам предоставил достаточно прав по их защите.
«Наши с вами права производны от цели закона, а целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. В том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Кроме того, мы с вами имеем право на получение информации, касающейся обработки наших данных. Например, это информация о правовых основаниях и цели обработки персональных данных, каким способом они обрабатываются, кто имеет доступ к нашим персональным данным, сроки их обработки, в том числе хранения, и многое другое», - отмечает Наталья Бурдюкова.
Гражданам также важно знать, что они вправе требовать от оператора уточнения своих персональных данных, если они являются неполными, устаревшими, неточными. Законно требование гражданина и об уничтожении своих персональных данных, если они были получены незаконно или не являются необходимыми для заявленной цели обработки.
Специальная категория – на особых условиях
Как отмечает Наталья Бурдюкова, в течение нескольких последних лет больше всего жалоб от граждан поступает на действия банков и кредитных учреждений, интернет-ресурсы, в том числе социальные сети, на деятельность коллекторских агентств, а также организации, оказывающие услуги в сфере ЖКХ. В 2020 году много жалоб поступило на организации, оказывающие услуги по обработке данных в рамках вывоза твердых коммунальных отходов.
За 3 квартала 2020 года граждане 112 раз обращались в Енисейское управление Роскомнадзора с жалобами на действия банковских структур, 80 раз – на действия жилищников, 55 обращений поступило в отношении владельцев интернет-ресурсов.
«На кредитные организации жалобы поступают в связи с незаконной, по мнению граждан, обработкой их данных в целях рассылки рекламных предложений, телефонными звонками рекламной тематики. Также много жалоб поступает относительно передачи коллекторским агентствам персональных данных граждан без их согласия. Согласно требованиям закона, обработка персональных данных в целях продвижения товаров, работ, услуг путем рекламной рассылки либо звонков, допускается только при условии предварительного согласия субъекта. То есть, прежде, чем предпринимать подобные действия, компания должна получить от человека согласие. Если вы этого согласия не выражали, это является нарушением», - рассказывает Наталья Бурдюкова.
По ее словам, в федеральном законе выделены категории персональных данных, которые требуют соблюдения особых условий обработки. К так называемым специальным категориям относятся, например, политические взгляды человека, его религиозные или философские убеждения, состояние здоровья. Эту информацию по общим правилам обрабатывать нельзя. Но есть исключения. Например, если оператор получил на это письменное согласие человека, или обработка осуществляется в соответствии с законодательством о безопасности, противодействии терроризму, об оперативно-разыскной деятельности.
От миллиона рублей и больше
Специалисты Енисейского управления Роскомнадзора наделены серьезными полномочиями в сфере защиты прав субъектов персональных данных. В ходе проведения проверки, при выявлении нарушения законодательства, они имеют право составить протокол об административном правонарушении, выдать предписание об устранении выявленного нарушения в определенные сроки.
Также они могут потребовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Еще один эффективный инструмент защиты прав граждан — обращения Управления в суды с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц. В 2018-2020 годах Управлением в защиту граждан было подано 8 исковых заявлений. Как правило, по решению суда доступ к интернет-ресурсам ограничивается. Нарушение прав граждан прекращается.
Что касается штрафов, то в данном вопросе, по словам Натальи Бурдюковой, все зависит от допущенного нарушения.
«Штрафы на юридических лиц по разным составам административного правонарушения составляют от пятнадцати тысяч до несколько миллионов рублей. Например, за обработку персональных данных без согласия в письменной форме размер штрафа варьируется от пятнадцати до семидесяти пяти тысяч рублей. А вот за невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан с использованием баз данных, находящихся на территории России, штрафы гораздо серьезнее: от одного миллиона до шести миллионов рублей», - отмечает Наталья Бурдюкова.
Перед началом работы - уведомить
По закону до начала обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку. Уведомление подается в адрес Управления и, по словам Натальи Бурдюковой, содержит всю необходимую информацию об обработке персональных данных, помогает операторам избегать нарушений в дальнейшей работе.
«Когда оператор начинает заполнять данный документ, ему очень многое становится понятно. Поскольку сразу возникают вопросы: на основании чего ведется обработка такого объема персональных данных, какие действия оператор совершает при обработке, какие организационные и технические меры он принимает и многое другое. Например, в уведомлении должны быть указаны сведения о лице, ответственном за организацию обработки персональных данных. На сегодняшний день не все операторы знают, что это лицо должно быть назначено, хотя в его полномочия входят очень важные аспекты. Это, например, внутренний контроль обработки персональных данных, доведение до сведений работников оператора положений законодательства, локальных актов о персональных данных и другие полномочия. Четкое исполнение данным лицом предусмотренных законом норм поможет предотвратить нарушения и, соответственно, исключит случаи привлечения к административной ответственности», - подчеркивает Наталья Бурдюкова.
Кроме того, по словам Натальи Бурдюковой, Управлением на постоянной основе проводится профилактическая работа: актуальная для операторов информация размещается на официальном сайте госоргана, специалисты организуют семинары и консультации в различных форматах, активно взаимодействуют с профессиональными сообществами и объединениями операторов персональных данных, проводят Дни открытых дверей.
«У нас нет цели во что бы то ни стало наказать. Мы стремимся предотвратить возможные нарушения прав граждан. Хотела бы обратить внимание, что операторы должны стремиться к саморегуляции, соблюдать разработанные и принятые кодексы профессионального поведения, например, «Кодекс добросовестных практик в сети Интернет». Приглашаем операторов подписать документ, подтвердить тем самым свою готовность содействовать созданию безопасного и комфортного информационного пространства.
«Регулярные профилактические мероприятия приносят результат. Операторы начинают лучше разбираться в требованиях закона, допускают меньше нарушений», - рассказала Наталья Бурдюкова.
Для справки:
Граждане могут направить обращение в Енисейское управление Роскомнадзора через электронную почту rsockanc24@rkn.gov.ru, официальный сайт Управления https://24.rkn.gov.ru.
