В 2006 году, выполняя требования, необходимые для вступления в ВТО, в России приняли закон «О персональных данных». В этом же году в структуре Роскомнадзора был создан отдел по защите прав субъектов персональных данных

Обозреватель «Парка Гагарина» побеседовал с главным специалистом – экспертом отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Марией Ярошенко и узнал, как банки раздают персональные данные своих клиентов, правы ли врачи, которые не отдают историю болезни родственникам пациентов, и можно ли купить актуальную базу данных на жителей области.

- Мария Александровна, что именно относится к понятию персональные данные?

- Это любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных), а именно: паспортные данные (место жительства, рождения, дата рождения), сведения о профессии, доходах, социальном положении, а также любая другая информация, относящаяся непосредственно к данному человеку.

- Вашему отделу уже восемь лет, все это время на кого чаще всего жалуются жители области?

- Чаще всего на банки. Бывает так, что кредит оформляют на человека, а он даже не знает об этом. Это тоже входит в нашу компетенцию, ведь при оформлении используются персональные данные гражданина. Очень часто люди берут кредиты, а потом в силу каких-либо обстоятельств перестают платить, возникает просрочка, и банк продает долг со всеми персональными данными заемщика коллекторам. Хотя клиент заключал договор с финансовой организацией, а не с коллекторами. Другой случай, когда при заключении кредитного договора клиент, кроме своего номера телефона, дал номера телефонов друзей или родных. Когда им начинают звонить из банка или от коллекторов с требованием вернуть просроченный долг, они удивляются, возмущаются, начинают писать нам.

- Банки в этом случае правы?

- Когда сотрудник банка звонит по указанному в договоре телефону, он же не знает, чей он. Поэтому, если вам поступил такой звонок, напишите заявление с просьбой удалить ваш номер из их базы. Что касается коллекторов, то сначала, когда только закон о персональных данных вступил в силу, банки, продавая долг и передавая персональные данные клиента, нарушали закон. Ведь человек, взяв в долг у кредитного учреждения, не давал согласия на передачу информации о себе третьим лицам. Тогда случилось несколько прецедентов, и банки наказали. Сейчас они включают в кредитный договор согласие гражданина на передачу его персональных данных третьим лицам.

- С заемщиком понятно. А что делать, если коллекторы нагло, с угрозами, днем и ночью звонят друзьям того, кто взял кредит и требуют повлиять на заемщика?

- Если поступают угрозы, оскорбления со стороны коллекторов и иных юридических лиц необходимо писать заявление в адрес правоохранительных органов.

- После поступления обращения гражданина к вам, что происходит дальше?

- Мы запрашиваем у организации информацию, на каком основании они, к примеру, передали персональные данные субъекта персональных данных. Они должны это обосновать: если это сделано на основании какого-либо закона или с согласия гражданина, жалоба признается неправомерной. Если пояснения со стороны организации не поступают, мы направляем требование уполномоченного органа об уничтожении персональных данных, если организация не выполняет требования, передаем материалы в прокуратуру.

Был случай с сельскохозяйственной академией (Самарская государственная сельскохозяйственная академия — Ред.), они для ознакомления опубликовали на сайте список абитуриентов, сдавших ЕГЭ, и забыли его удалить. Список был размещен на сайте довольно длительное время, что стало поводом обращения одного из родителей в наш адрес. По итогам его рассмотрения, на основании соответствующего нашего требования, список был удален из общего доступа.

- Сегодня широко распространена реклама по телефону и спам. Те, кто делают рассылку, разными путями узнают телефоны и электронные адреса граждан. Как вы боретесь с такой утечкой персональных данных?

- Реклама по телефону не всегда связана с утечкой персональных данных. Часто рекламодатель использует для массовых рассылок сведения о ресурсе нумерации (номера сотовых телефонов — Ред.), опубликованные на сайте Россвязи, которые являются открытыми данными.

Так что чаще всего это нарушение закона о рекламе, и такие заявления необходимо направлять в УФАС. Если же в рассылке, например, содержатся персональные данные гражданина (имя, отчество, фамилия), тогда это нарушение законодательства о персональных данных. Но таких случаев мало. Один из них произошел несколько лет назад, там сообщения с персональными данными приходили бывшим клиентам организации. После нашего вмешательства все прекратилось. В последнее время в наш адрес поступает большое количество жалоб на салоны, распространяющие косметику Desheli. Там завлекают людей, в основном, конечно, женщин, на бесплатную косметическую процедуру. Когда девушки приходят, им предлагают скидку на товары, если те укажут несколько номеров сотовых телефонов своих подруг. А потом из фирмы настойчиво звонят этим подругам и приглашают посетить процедуры или купить косметику. И они, устав от назойливости косметологов, обращаются к нам.

- Ваше ведомство может выйти с инициативой в государственную думу, чтобы депутаты внесли нужные поправки и ликвидировали пробел в законодательстве?

- Это полномочия Минкомсвязи России.

- Ваша служба работает по заявительному принципу, или вы можете сами инициировать проверки?

- Мы проводим плановые выездные проверки. План размещен на сайте нашего управления и на сайте прокуратуры области. Внеплановые выездные проверки в настоящее время проводятся, если организация не исполнила ранее выданное предписание об устранении нарушения, и на основании требования прокурора области.

- В регионе довольно много организаций. Как вы выбираете тех, к кому стоит прийти?

- Есть несколько способов выбора организации при планировании проверок. Например, организации, которые в ответ на запрос управления указывают, что не обрабатывают персональные данные в соответствии с ч. 2 ст. 22 федерального закона. Есть и другие способы, но в основном мы руководствуемся рекомендациями центрального аппарата.

- Кого имеете право проверять?

- Практически всех: коммерческие организации и госограны. В прошлом году проверяли УФМС и УФАС.

- Там все нормально?

- В УФМС и УФАС все в рамках законодательства о персональных данных.

- Вы имеете право проверять правоохранительные органы?

- В 2010 году мы проверяли ГУ МВД по области, персональные данные там обрабатываются в соответствии с законодательством.

- То есть «слить» с ведомственных компьютеров на диск или флешку базу данных жителей региона, а потом продать ее на рынке невозможно?

- С технической точки зрения проверить защиту персональных данных мы не можем, этим занимается ФСТЭК — Федеральная служба по техническому и экспортному контролю. Управление ФСТЭК России по Приволжскому федеральному округу находится в Нижнем Новгороде. А что касается нелегальных баз данных, работа в этом направлении ведется, материалы, полученные в ходе оперативно-следственных мероприятий совместно с управлением «К» (борьба с киберпреступлениями — Ред.), направлены в прокуратуру Советского района Самары.

- Поступают к вам жалобы на спецслужбы за незаконную слежку, прослушку и тому подобное?

- Сколько я работаю, такого не припомню.

- Помимо ФСТЭК, с кем еще совместно ведомство может проводить проверки?

- С полицией, в частности с управлением «К», с прокуратурой.

- Во время плановых проверок, много нарушений выявляете?

- Ранее компании, работающие в сфере ЖКХ, размещали списки должников на дверях подъездов. Это нарушение закона о персональных данных. Информацию о всех нарушениях мы публикуем на сайте Роскомнадзора, к тому же все материалы направляются в районные прокуратуры. Правда, штрафы за несоблюдение закона о персональных данных незначительны. Но Роскомнадзор получил поддержку МВД России, Минкомсвязи, Генеральной прокуратуры, а также Минэкономразвития о наделении себя полномочиями по составлению протоколов об административных правонарушениях по ст. 13.11 КоАП РФ. Инициатива об увеличении штрафных санкций до 500 тыс. рублей (700 тыс. рублей за повторное нарушение) также прошла согласование всех заинтересованных ведомств, в ближайшее время ждем соответствующих поправок в закон.

- Вы упомянули о компаниях в сфере ЖКХ, которые, нарушая закон о персональных данных вывешивали на публичное обозрение списки должников. Получается, что если служба судебных приставов вывешивает на своем сайте имена неплательщиков алиментов, она тоже нарушает закон?

- Приставы имеют на это право по закону, это исключение.

- Очень животрепещущая проблема не только для нашего региона, но и, наверное, для всей России — обязаны ли врачи после смерти больного выдавать родственникам историю болезни?

- Часть 7 статьи 9 Федерального закона «О персональных данных» не может быть основанием для получения персональных данных (истории болезни — Ред.) умершего совершеннолетнего родственника, т.к. речь в данной статье идет только о том, что в случае смерти человека согласие на обработку его персональных данных дают наследники, если такое согласие не было дано умершим при жизни.

Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации» говорит, что в случае неблагоприятного прогноза развития заболевания информация должна сообщаться в деликатной форме гражданину или его супругу (супруге), одному из близких родственников (детям, родителям, усыновленным, усыновителям, родным братьям и сестрам, внукам, дедушкам и бабушкам), если пациент не запретил сообщать им об этом и (или) не определил иное лицо, которому должна быть передана такая информация. Также пациент, или его законный представитель имеют право на основании письменного заявления получать сведения о состоянии здоровья, их копии и выписки из медицинских документов.

Однако законный представитель - расплывчатое понятие. Оно есть в Гражданском и Семейном кодексах. Как правило, это законные представители несовершеннолетних детей, недееспособных граждан либо лица, у которых есть доверенность от гражданина. В таком случае в реальной жизни вопрос решается или в добровольном, или в судебном порядке. Если родственник сомневается в добросовестности врачей, необходимо подать заявление в суд, тогда суд имеет право истребовать всю информацию об умершем, в том числе и историю болезни.

- В целом какова динамика нарушений, больше их становится, меньше, может быть, на том же уровне?

- Вы знаете, жалоб от граждан больше, но количество реальных нарушений уменьшается, что связано с ростом правовой грамотности.

- С развитием информационных технологий сложнее стало бороться с нарушениями закона о персональных данных?

- Всему виной не бурное развитие технологий, а наша невнимательность. Гражданин должен очень хорошо подумать, кому он предоставляет информацию о себе. Необдуманно персональные данные даже мусорному ведру доверять нельзя. Получили квитанцию от ЖКХ, оплатили, прежде чем выкинуть, порвите на мелкие кусочки.

Беседовал Руслан Шарипов