ШТРАФЫ ЗА НАРУШЕНИЯ МОГУТ УВЕЛИЧИТЬ В РАЗЫ
Минкомсвязь и Роскомнадзор России предлагают ужесточить административную ответственность за нарушения при работе с персональными данными граждан.
У КАЖДОЙ СТАТЬИ СВОЯ «СТОИМОСТЬ»
Проект Федерального закона о внесении соответствующих изменений в Кодекс об административных правонарушениях РФ прошел публичное обсуждение и находится на рассмотрении в Госдуме. Сейчас в КоАПе лишь одна, да и то весьма абстрактная статья 13.11 «О нарушениях правил сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Штрафы за нарушения предусмотрены незначительные, к примеру, для юрлиц – до 10 тысяч рублей.
Разработчики проекта предлагают дифференцировать состав административных правонарушений в зависимости от причиненного ущерба и тяжести последствий. То есть речь идет о введении перечня конкретных нарушений, каждое из которых будет иметь отдельную штрафную «стоимость».
К примеру, на обработку персональных данных нужно письменное согласие гражданина (за исключением некоторых случаев) и в установленной законодательством форме. Если эти требования не соблюсти, можно нарваться на штраф – для индивидуальных предпринимателей он предполагается в сумме от 10 до 25 тысяч и от 15 до 50 тысяч – для юридических лиц.
Особо опасна для кошелька операторов незаконная обработка специальных категорий персональных данных. К таким относятся расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, данные о судимости. За такое правонарушение предлагается наказывать юридических лиц штрафом до трехсот тысяч рублей.
Также предлагаются нехилые штрафы за отказ оператора предоставить гражданину информацию, касающуюся обработки его личных ПД, и другие правонарушения. И еще более крупные штрафы предлагаются для юридических лиц за повторные нарушения закона о персональных данных.
Напомним, действующим законодательством, в частности, Трудовым кодексом РФ, к персональным данным отнесены биографические сведения о человеке, его место жительства, семейное, социальное и имущественное положение, образование, профессия, доходы, паспортные данные и другие личные сведения. Много информации о нас копится в налоговых службах, лечебных учреждениях, банках, гостиницах, турфирмах.
Но, как правило, больше всего сведений о гражданах сосредоточено в руках работодателей. И они в первую очередь несут ответственность за незаконное распространение ПД. По мнению авторов законопроекта, новые поправки в КоАП РФ позволят обеспечить высокую степень защиты прав граждан России при обработке их персональных данных.
ОПЕРАТОРЫ ПОД НАБЛЮДЕНИЕМ
По закону о персональных данных, который действует в РФ с 2006 года, функции уполномоченного органа по защите прав субъектов персональных данных (граждан) возложены на Роскомнадзор и его территориальные управления. В нашем управлении в середине 2009 года был создан специальный отдел, который напрямую занимается этими вопросами.
– Первая проверка на предмет соблюдения обязательных требований в области персональных данных управлением была проведена в конце 2008 года, – рассказал начальник отдела Леонид Иванов. – И ежегодно количество плановых проверок увеличивается. В этом году намечено провести 23.
И с этого же года появилось новое направление в деятельности управления Роскомнадзора – «систематическое наблюдение» за тем, как исполняется законодательство в области персональных данных без какого-либо взаимодействия с лицом или организацией, которые проверяются.
Например, такое наблюдение организовано в местах розничной торговли в целях выявления фактов незаконной реализации на физических носителях баз данных, содержащих персональные данные граждан РФ. Также ведется оценка соответствия требованиям законодательства о ПД-информации, размещаемой в общественных местах, на средствах наружной рекламы и светодиодных экранах. И еще идет анализ сайтов операторов, ведущих обработку персональных данных на предмет выполнения ими обязательных требований.
Этой весной специалисты управления наблюдали в Чувашии за многофункциональными центрами по предоставлению государственных и муниципальных услуг и за интернет-магазинами. Три оператора уличены в нарушении закона о персональных данных. Они не опубликовали документы, определяющие политику в отношении обработки ПД, сведения о реализуемых требованиях к их защите. Кстати, законопроектом предлагается увеличить штраф за такие нарушения для юрлиц от 15 до 30 тысяч рублей.
Кроме контрольно-надзорных мероприятий управление ведет реестр операторов, осуществляющих обработку персональных данных. В него включаются юридические лица (в том числе государственные и муниципальные органы) и физические, направившие в адрес управления уведомление об обработке персональных данных или о намерении осуществить таковую. Сегодня по республике в реестре содержится информация о более чем 3,5 тысячи операторах, которые ведут обработку персональных данных, сообщил Леонид Петрович.
Действующим законодательством, в частности, Трудовым кодексом РФ, к персональным данным отнесены биографические сведения о человеке, его место жительства, семейное, социальное и имущественное положение, образование, профессия, доходы, паспортные данные и другие личные сведения.
ПРОКУРАТУРА НЕ ВОЗРАЖАЕТ
По задумке авторов проекта возбуждать дела об административных правонарушениях в сфере персональных данных и доводить их до суда будет Роскомнадзор, а не прокуратура, как было всегда. В управлении к этому относятся спокойно.
– Управление рассматривает обращения граждан, и с каждым годом их становится больше. Если в 2012 году поступило 23 обращения, то в прошлом – 61, а с января по март этого года нам передано уже около 20 жалоб, – информирует Леонид Иванов. – Прокуратура возбуждает дела об административных правонарушениях в сфере ПД и по материалам проверок, представленных Роскомнадзором. Законодатели предлагают нововведение, чтобы сократить сроки рассмотрения административных дел по выявленным фактам нарушений в части персональных данных.
Разработчики проекта считают, что это даст возможность гражданам разобраться с возникшей проблемой в процессуальные сроки, отведенные на предъявление претензий беспечному оператору (пока три месяца). Бывает, что его невозможно привлечь к ответственности именно по причине истечения означенных сроков (пока Роскомнадзор и прокуратура взаимодействуют между собой, время уходит).
Для прокуратуры, занимающейся многоплановой «проверочной» деятельностью по исполнению законов, это в некоторой степени «разгрузка». Однако, подчеркнул Александр Данилов, прокурор по надзору за соблюдением законов в социальной сфере прокуратуры республики, «мы полномочны проводить проверки и возбуждать административные дела по фактам правонарушений по всем статьям КоАП РФ. И если гражданин обратится с заявлением о нарушении его прав в сфере ПД напрямую в прокуратуру, оно будет принято с проведением проверки».
На что больше всего жалуются жители республики? К примеру, на нарушение их прав со стороны коллекторских агентств, управляющих компаний, банков, отмечают в управлении Роскомнадзора. Бывает, что гражданин при заключении кредитного договора по просьбе банкиров вписывает в него координаты своего родственника – на случай, если заемщик окажется недобросовестным плательщиком. Тогда о месте его пребывания можно будет узнать через родственника.
А этот родственник вообще ничего не знает ни о кредите, ни о том, что его персональные данные стали достоянием банка, а потом коллекторов, которым кредиторы нередко передают право «выбивать» долги… Хотя, подчеркнул начальник отдела, сейчас подобных жалоб стало меньше. Банки подстраховались. Ну а что касается УК, то некоторые из них, бывает, вывешивают на всеобщее обозрение списки должников с указанием их ФИО и места жительства. Это незаконно.
Так что граждане, чьи права в части персональных данных нарушены, могут смело обращаться в территориальное управление Роскомнадзора. Кстати, Леонид Петрович советует: «Вне зависимости от того, стал оператор принимать соответствующие меры или только собирается, гражданин, если его права нарушены, вправе обратиться в суд за возмещением убытков и компенсацией морального вреда. Сумма причиненного ущерба и тяжесть последствий будут устанавливаться в ходе судебного процесса, в рамках гражданского судопроизводства».
Если же говорить об основных нарушениях, допускаемых операторами в республике, то на первом месте обработка персональных данных без получения согласия гражданина или другого законного основания. Также немало претензий к раскрытию персональных данных граждан в СМИ и сети Интернет. И как уже сказано, некоторые государственные или муниципальные органы не публикуют на своих официальных сайтах документы, определяющие политику в отношении обработки персональных данных, хотя по закону обязаны.
В числе основных нарушений начальник отдела назвал и отсутствие у оператора утвержденного перечня лиц, осуществляющих обработку ПД либо имеющих к ним допуск. Нет специальных мест для хранения персональных данных, не принимаются меры по обеспечению их сохранности, исключающие несанкционированный доступ. Напомним, за каждое отмеченное нарушение разработчики проекта предлагают уже конкретные штрафы.
ОБ «УТЕЧКЕ» – ДОЛОЖИТЬ
Также вносятся некоторые изменения и дополнения в положения федерального закона о персональных данных. В частности, вводится понятие «обработчик» – лицо, которое ведет обработку ПД по поручению оператора, и разграничиваются права и обязанности между ними.
Более того, документ обяжет компании, у которых произошла утечка информации о персональных данных, сообщать об этом в уполномоченный госорган (Роскомнадзор). Сейчас операторы замалчивают факты утечек персональных данных, не желая брать на себя ответственность. Кроме того, организациям намного проще уплатить пока еще щадящий штраф, чем тратить большие суммы на обеспечение безопасности ПД. Но если законопроект будет принят, расстановка приоритетов, скорее всего, изменится, поскольку штрафы намного перекроют затраты на создание безопасных условий хранения ПД.
Как свидетельствует статистика, ежегодно в стране выявляются сотни случаев утечки важных сведений персонального характера. Хотя ситуации бывают разные. Где-то случайно произошла утечка информации, где-то по безалаберности (выкинули личные дела бывших работников в мусорку). А бывает, ПД выставляют на всеобщее обозрение умышленно.
К примеру, в «СЧ» обратился житель Чебоксар (назовем Александром) с большой обидой на своего бывшего начальника – индивидуального предпринимателя, у которого мужчина работал водителем междугородных перевозок. При увольнении начальник недоплатил ему.
А когда Александр обратился в прокуратуру, бывший работодатель в отместку разместил о нем негатив (такой-сякой, нехороший, не берите его на работу) на одном из российских сайтов, собирающих информацию о «плохих» водителях грузовых машин. И, конечно же, с указанием ФИО, года рождения и места жительства – вплоть до номера квартиры.
«Герой» сайта решил призвать к ответу начальника, распространившего его персональные данные и ложную информацию, но оказалось, что это непросто. Организация, владелец сайта, в Чувашии не зарегистрирована, и по этой причине прокуратура не может проводить проверку по заявлению. К тому же истекли сроки, в которые можно было привлечь бывшего работодателя к административной ответственности. Так что Александру ничего не оставалось, как подать в суд на предпринимателя за распространение клеветы. Кстати, информация с его данными и нелестной характеристикой до сих пор «висит» на том сайте, с апреля прошлого года…
НА МАССАЖ С ПАСПОРТОМ
Наверное, люди, уже испытавшие на себе последствия незаконного обнародования их ПД, обеими руками за повышение штрафных санкций. Судя по обсуждениям законопроекта на интернет-форумах, большинство их участников за то, чтобы «впаять» серьезные штрафы именно за утечку персональных данных.
Хотя не только организации и компании должны ответственно относиться к нашим персональным данным. Самим гражданам тоже надо быть бдительными. Пример из жизни – позвонила как-то в массажный салон, но желание воспользоваться его услугами начисто пропало, когда выяснилось, что со мной будут работать часа полтора, и все это время мой паспорт должен находиться в кабинете представителя администрации. Кто поручится, что потом не придется разбираться с каким-нибудь банком по поводу кредита, оформленного по моим паспортным данным?
В общем, законодатели хотят понудить операторов бережнее обращаться с нашими персональными данными. Тем более что в сентябре прошлого года в России вступила в силу Конвенция Совета Европы о защите физических лиц при автоматизированной обработке ПД.
Но если в организациях уже сейчас есть весь комплект локальных нормативных актов, необходимый для защиты ПД в соответствии с законом, назначены ответственные за неразглашение персональных данных и подписаны соответствующие обязательства, им и опасаться нечего.
А вот когда личные дела сотрудников не в сейфе или в закрытом ящике, а стоят в отделе кадров на открытых стеллажах, валяются на столах, если нет достаточной защиты на компьютерах, где установлены автоматизированные системы учета ПД работников, проблемы неминуемы. Они и сейчас возникают, но пока без «драконовских» штрафов, которые заложены в законопроект.