"АТВ-регион" на сегодня единственная компания в Бурятии, которая занимается защитой персональных данных (ПД) в автоматизированных информационных системах, а также там, где автоматизации нет. К первым относятся, например, банки, ко вторым — те же детские сады и школы, где нет информационных систем, и они обрабатывают ПД детей и родителей на бумажных носителях. В большинстве учреждений, бюджетных и финансовых, куда обращаются граждане, а также при трудоустройстве, с них требуют подписать согласие на обработку ПД. Многие люди просто не понимают, зачем это нужно. Малый и средний бизнес тоже пока что не осознали насколько важным является защита ПД. Об этом исполнительный директор "АТВ-Регион" рассказал корр. ИА UlanMedia.
— Насколько бизнес сейчас стремится защищать ПД? Например, мы знаем, что для бюджетных учреждений это в последнее время является одним из обязательных требований. А вот коммерческие структуры?
-Требования федерального закона "О персональных данных" для всех одинаковы. Бюджетные организации: здравоохранение, образование, администрации различные, комитеты и ведомства – они, действительно, заботятся об этом и уделяют больше внимания защите ПД. Что касается коммерции, то сегодня у них нет понимания необходимости в этом. Связано это с несколькими факторами, например, недостаточно большими штрафами за нарушения порядка обработкии ПД. Коммерческие организации сегодня мало заботятся о защите данных своих клиентов и работников.
— Кто занимается проблемой ПД из надзирающих организаций? Кто контролирует их оборот?
— Этим занимаются три государственных органа. Это ФСБ, которая занимается вопросами криптографической защиты информации и гостайны. Это Федеральная служба по техническому и экспортному контролю (ФСТЭК), которая занимается вопросами в части технической стороны защиты информации, то есть железа, которое защищает от утечки информации из баз данных. И Роскомнадзор – это федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. У нас в республике есть управление данной структуры. Роскомнадзор является также еще и уполномоченным органом по защите прав граждан в сфере ПД.
Владислав Аникеев: "В Роскомнадзор поступает много жалоб о сохранности персональных данных". Фото: Александра Данилова, UlanMedia
— Вам известны случаи обращения в Роскомнадзор по защите прав в сфере ПД?
— По итогам мониторинга, можно сказать, что очень много поступает обращений в Роскомнадзор. Обращения разные, в основном, обращения граждан в части передачи данных, например, банков в коллекторские агентства. Либо распространение ПД в свободном доступе. К примеру, энергоснабжающие организации публиковали списки должников за услуги снабжения. ЖКХ тоже вывешивали списки неплательщиков.
— Часто в универмагах вывешиваются фотографии людей, которые якобы что-то украли или хотели украсть...
— Да, с этим фактом также сталкивались в ряде магазинов. Магазины размещают фотоизображения с надписями, что данные граждане забыли заплатить за товар. Эти изображения тоже являются персональными данными. Если цель фото – идентификация, то соответственно оно является биометрическими ПД. Также публикуются списки на различных сайтах. Или на дверях кабинетов вывешивают очередность. Это тоже неправомерно.
— Есть ли случаи, когда организации неправомерно собирают ПД?
— Да, например, таким случаем является сбор данных банками. Изначально банки собирают сведения у потенциальных заемщиков о "контактных лицах", якобы с целью проверки сведений указанных в анкете, в том числе проверка платежеспособности. Однако в дальнейшем полученная информация банками используется для продвижения товаров или услуг. Либо, если у заемщика возникли трудности с оплатой, то "контактным лицам", чьи данные собирались при получении заявки на кредит, банками осуществляется обзвон, с просьбой оплатить, либо оказать содействие для оплаты. Хотя этих граждан с банком не связывают какие-либо правовые отношения. Они не являются ни заемщиками, ни поручителями. Это неправомерно со стороны банка.
Владислав Аникеев: "Банки зачастую используют собранную информацию о заемщиках для продвижения своих продуктов". Фото: Александра Данилова, UlanMedia
— Все ли персональные данные нуждаются в хранении? Есть ли часть ПД, которая может быть доступной?
— Законом определено такое понятие как общедоступные ПД. Есть категории субъектов, в отношении которых определенные законом персональные данные обязательны для публикования. Это касается, например, гражданских служащих, которые должны публиковать сведения о доходах. Это предусмотрено 79-ФЗ "О гражданской службе в РФ". Либо же сведения, которые обязательны для размещения и определены законом об образовании в РФ, например, в отношении педагогического состава и квалификации педагогов. А также сведения в отношении медработников, их квалификации, занимаемой должности. Эта информация также необходима, чтобы записаться на прием к врачу. Различными законами регламентируется определенный перечень сведений, который является общедоступным. Если же нормами закона определено, что эти сведения обязательно должны быть опубликованы, то требования в отношении соблюдения конфиденциальности со стороны федерального закона "О персональных данных" на эти сведения не распространяются.
— Ну, например, ФИО является ли общедоступными данными для всех граждан? Есть ли ПД, которые являются доступными для всех?
— Нужно понимать, что такое персональные данные. Это информация о гражданине, о субъекте. Если по этой информации можно идентифицировать субъекта, то это персональные данные. Если к этим сведениям относятся ФИО, место работы, должность, сведения о доходах, состояние здоровья и так далее, то это сведения конфиденциального характера. Если же мы говорим, что Иванов Иван Иванович получил премию или выговор, то в масштабах города сложно его идентифицировать, если неизвестно на каком он предприятии работает. Если же к этой информации добавить дополнительные сведения, что Иванов Иван Иванович такого-то года рождения, работающий на таком-то предприятии, получил выговор или премирован на такую-то сумму, то это уже ПД, его можно идентифицировать. Законом определено, что этот гражданин имеет право на соблюдение конфиденциальности своих ПД.
"АТВ-Регион": "Граждане имеют право на сохранение конфиденциальности своих персональных данных". Фото: Александра Данилова, UlanMedia
— Организации, которые недостаточно хорошо хранят ПД, подвергаются наказанию? Например, сегодняшний слух или, может быть, факт из "ФБ". Человек написал пост о том, что приходит сообщение от кого-либо, и при его открытии кто-то получает доступ к его данным и может списать какую-то сумму со счета в "Сбербанке".
— Все организации должны предпринимать организационные и технические меры по защите информации. Если организация не приняла достаточных мер, повлекших утечку информации, то она будет привлечена к административной, а может даже к уголовной ответственности. Если же происходит утечка информации, в том числе сведения об обладателе счета, то это персональные данные. Что касается списания денег со счета. В каждом случае необходимо разбираться индивидуально, и установить экономическое преступление или мошенничество произошло в результате нарушения норм закона "О ПД" или нет.
— В каких случаях гражданин может вообще отказаться предоставлять свои персональные данные?
— Это право гражданина — не предоставлять свои сведения в какую-либо организацию. Другое дело, если это предоставление определено законом. К примеру, в рамках трудовых отношений данные предоставляются работодателю, а тот, в свою очередь, обязан предоставить эти сведения в государственные органы: в налоговую, в Фонд социального страхования, Пенсионный фонд. Это обязанность юридического лица. Соответственно, гражданин не может запретить работодателю передавать эти сведения в данные государственные органы.
Владислав Аникеев: "Сведения о своей частной и семейной жизни гражданин вправе не раскрывать". Фото: Александра Данилова, UlanMedia
— Но есть все-таки персональные данные, которые гражданин может не раскрывать?
— Это сведения, скажем, о частной семейной жизни, которые субъект вправе не раскрывать.
— А состояние здоровья?
— Если в рамках трудовых отношений, то сведения работодателю предоставляются только в том объеме, который необходим для осуществления своих трудовых функций.
— Как выглядит защита ПД? В каком виде они должны храниться?
— Организация работы по защите ПД делится на два сегмента: это организационная работа и техническая. Техническая — это очень затратное мероприятие. Программные комплексы очень дорогостоящие. Должны быть приняты все меры, как организационные, так и технические. Наша задача – помочь разобраться в требованиях 152-ФЗ, и помочь выполнить организационные мероприятия
— На сегодняшний день бизнес в республике несет убытки за счет того, что не соблюдаются все правила хранения данных?
— Да, в виде штрафов, а также страдает репутация. Но больше всего страдают граждане, так как нарушаются их права в сфере персональных данных и конституционные права.
— Значит, представители бизнеса могут пострадать, только если физическое лицо обратится в надзорный орган или в суд?
— Роскомнадзор рассматривает эти обращения или жалобы. Он же осуществляет плановые и внеплановые проверки, а также систематическое наблюдение в части размещения ПД в свободном доступе в Интернете. Размещение данных в открытом доступе на различных баннерах, списках выявляются в ходе проверок надзорных органов. Сейчас кто-то в большей мере задумывается о защите информации, кто-то – менее. Если брать бизнес и бюджетные организации, то бюджетные организации подходят к этому вопросу более осознанно.
— Хранение ПД – насколько это дорогостоящее мероприятие?
— Все зависит от организации. Есть организации крупные, у них большие массивы информации в электронном виде, им необходимы серверные комнаты, оборудование для защиты информации, у них есть межведомственный оборот документов, в том числе, который содержит ПД. Для этих организаций необходимо проводить техническую защиту и в зависимости от объема и задач зависит цена. А есть маленькие организации, в которых даже программы 1С нет, ПД хранятся на бумажных носителях, в картотеках. Для этих организаций основные работы – это организационные мероприятия, они менее затратные.
— В ближайшее время должны быть внесены изменения в порядок обращения с контрольно-кассовой техникой. Суть в том, что все данные из каких-то торговых точек, из магазинов будут поступать непосредственно в налоговую службу. Насколько это может быть правомерно с точки зрения граждан? Могут ли таким образом нарушаться их права? По платежной карте могут вычислить, что именно человек покупал.
— Если в налоговую службу будут предоставляться сведения не только о транзакциях денег, просто о сумме, которая поступила с определенного счета, в этом нет ничего страшного. Если налоговая получит сведения о покупателе, то есть его фамилию, номер счета, то возможно какие-то права граждан будут ущемлены. Но, на мой взгляд, прежде чем ввести в действие данную услугу, необходимо предусмотреть это на законодательном уровне. Если это будет регулироваться нормой закона, то это будет правомерно. Налоговые и так имеют информацию о гражданах: ИНН, ФИО, сведения об имуществе. Единственно, нарушения могут касаться частной жизни, то есть где и что ты приобрел. Если ты приобрел бытовую технику или автомобиль, либо ты приобрел в магазине интимных услуг что-то, то раскрываются сведения о твоей частной семейной жизни, твоих предпочтениях. Именно в этом контексте могут быть нарушены права гражданина.
— Расскажите о правомерности требования некоторых персональных данных операторами. Буквально на днях была подана жалоба в Роспотребнадзор республики. Женщина жаловалась, что в школе с нее требуют персональные данные, к которым школа не должна иметь отношения, например, СНИЛС родителей или что-то еще.
— Образовательные учреждения оказывают договорные образовательные услуги. И они требуют те сведения, которые необходимы для получения данной услуги. Если запрашивается избыточный объем информации, то организация нарушает права гражданина в части обработки избыточных сведений.
Насколько мне известно, в образовательные учреждения внедряется новая информационная система, которая предполагает получение доступа родителями в эту систему и ознакомление с успеваемостью своих детей. Предполагалось, что это будет госуслуга. Тот же СНИЛС предполагался как идентификатор для входа в данную систему. Поэтому необходимо разобраться в данном вопросе, не быть голословным, посмотреть нормативно-правовые документы, которые регламентируют сбор тех или иных сведений. Это может быть установлено нормой закона или распоряжением правительства, то есть каким-либо законом, обязывающим осуществлять сбор этих сведений со стороны образовательных учреждений. Скорее всего, Роспотребнадзор перенаправит эту информацию в Роскомнадзор для дачи правовой оценки. Роскомнадзор должен определить, был ли правомерен сбор данной информации или нет.
"АТВ-Регион": "У нас проект, в котором мы разъясняем детям и их родителям вопросы безопасности в Интернете". Фото: Александра Данилова, UlanMedia
— Сейчас остро стоит вопрос о детях в интернете, вообще об информационной безопасности в школах. Вы этим занимаетесь?
— Да, у нас запущен проект, в котором мы разъясняем родителям и учащимся, как необходимо себя вести в интернете. Разъясняем им, что такое персональные данные, что необходимо соблюдать защиту данных, меры предосторожности. Не стоит приглашать в "Контакт" незнакомых людей, не надо скачивать неизвестные программы, которые могут повлечь за собой утечку информации. Человек скачал игру, и с ней утилита скачалась. Вся информация с компьютера может просто куда-то передаваться, на какой-то сервер. Мы на родительских собраниях и на классных часах объясняем, что необходимо бережно относиться к информации.
— А семинары для бизнеса вы тоже проводите?
— Да. Мы проводим и для бизнесменов семинары, и для государственных и муниципальных органов. Разъясняем нормы 152 ФЗ и других нормативно-правовых актов, рассказываем, с чего нужно начинать организацию защиты данных, какие документы должны быть в организации.
— Помимо проведения обучающих семинаров ваша работа с предприятиями в чем заключается?
— Наша задача – помочь организациям разобраться в требованиях законодательства и помочь им организовать защиту ПД на должном уровне. Необходимо провести аудит организации, чтобы выявить недостатки организации защиты, уязвимости. Мы проводим аудит на предмет соответствия обработки данных требованиям законодательства. Далее мы разрабатываем локальные документы в части защиты ПД. Также у нас есть организации на сопровождении. Проводим обучение.
— Вы являетесь субъектом малого предпринимательства. Вы получаете какие-то преференции от правительства республики либо администрации города?
— Мы являемся резидентами Республиканского бизнес-инкубатора. Это тоже существенная поддержка для начинающих предпринимателей в части представления офисов на льготных условиях. Это первая поддержка. Также мы пользовались господдержкой республиканского фонда малого предпринимательства, когда организовывали компанию. Пока это единственная поддержка.
— Ваша сфера деятельности лежит в юридической плоскости?
— Да, в сфере юриспруденции и в сфере информационной безопасности.
— Есть ли у вас подразделение, которое занимается этим на уровне железа?
— Такого подразделения пока нет. Это в планах. Что касается технической защиты, то нужны лицензии контролирующих органов: ФСБ и ФСТЭК. Выполнение всех требований для предоставления услуг по технической защите очень затратное мероприятие.
