Главная >> Дайджест

Дата: 28 Января 2021 г. 16:05

Название: Дайджест

Кратко: Наказание за «слив» персональных данных хотят ужесточить

НАКАЗАНИЕ ЗА «СЛИВ» ПЕРСОНАЛЬНЫХ ДАННЫХ ХОТЯТ УЖЕСТОЧИТЬ

Владельцев интернет-ресурсов намерены строже карать за незаконную передачу чужих сведений и обязать удалять такую информацию без судебного решения

В последние годы проблема защиты персональных данных (ПД) приобрела особую остроту. Огромное количество пользователей социальных сетей и медиаплатформ предоставляет свою личную информацию в обмен на возможность воспользоваться определенными услугами. При этом в руках IT-компаний оказываются массивы данных, расшифровав которые, можно узнать любые подробности жизни человека. Нередко эти сведения незаконно утекают третьим лицам без всякого согласия... В преддверии Международного дня защиты персональных данных наш журнал выяснял, как законодательство охраняет персональную информацию и что намерены делать парламентарии в совершенствовании этой сферы.

Какие данные относятся к персональным?

Название федерального закона, ко­торый прямо регулирует работу с персональными данными, говорит само за себя: «О персональных данных». Согласно ему, ПД - это любая информация, относящаяся к физическому лицу.

При этом данные бывают специальными - информация о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Есть и общедоступные - те, которые человек самостоятельно предоставляет той или иной инстанции и которые с точки зрения закона не считаются конфиденциальными: Ф. И. О., дата и место рождения, номер телефона, место работы или учебы, а также информация, предоставляемая при трудоустройстве, переписи населения и других подобных ситуациях. Или интернет-сведения: e-mail, IР-адрес, геолокация, файлы, фотографии, информация о поведении пользователя на сайте.

По факту нашими персональными данными располагают все сайты, где есть формы обратной связи, возможность разместить объявление или зарегистрироваться в личном кабинете, анкеты для заполнения, форма подписки для рассылки или заказа товара или услуги.

Также в число ПД входят биометрические данные, характеризующие физиологические и биологические особенности человека, на основа­нии которых можно установить его личность, - отпечатки пальцев, ДНК-материалы, рисунок радужной оболочки глаза.

За обработку всех этих сведений отвечают операторы персональных данных (банки, работодатели, медицинские организации, интернет-сайты и прочие структуры), к которым закон предъявляет ряд конкретных требований. Например, они обязаны обеспечить определенным уровнем защиты, соответствующим угрозам и категориям данных, информационные системы ПД, а серверы, на которых они хранятся, должны находиться исключительно на терри­тории России.

Кроме того, операторам необхо­димо уведомлять пользователей о сборе их данных и получать на это персональное согласие. Не делать этого они могут только в случаях, когда личная информация человека нужна для соблюдения трудового законодательства и когда человек сам сделал свои данные общедос­тупными.

Также согласие на обработку данных не требуется, если сведения получены в результате договора и используются для его исполнения и если информация включена в го­сударственные информационные системы, созданные для защиты порядка и безопасности.

Операторы ПД обязаны знако­мить людей с политикой обработки данных, обеспечивать их тайну, со­хранность, точность, не передавать их третьим лицам, использовать ПД только в заявленных целях и не со­бирать лишние сведения. Например, операторы не могут запрашивать данные о семейном, имущественном положении в форме заказа товара.

Контролирует исполнение всех требований Роскомнадзор, а также ФСБ России и Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Какая ответственность предусмотрена для операторов данных?

За нарушение законодательства в части сохранения персональных данных предусмотрена как админи­стративная, так и уголовная ответ­ственность.

Кодекс об административных правонарушениях позволяет при­влечь операторов за использова­ние ^сертифицированных средств защиты информации. Гражданам за это могут выписать штраф до 2,5 тысячи рублей, должностным лицам - до трех тысяч, юридиче­ским - до 25 тысяч рублей. Меньше заплатит тот, кому вменят наруше­ние требований о защите информа­ции: гражданин - тысячу рублей, чиновник - две тысячи, компания - 15 тысяч. За разглашение сведений с ограниченным доступом (к коим относятся и персональные сведе­ния) с гражданина также взыщут тысячу, а с должностных лиц - до пяти тысяч рублей.

Чуть серьезнее санкции для опера­торов, не позаботившихся о сохран­ности обрабатываемой информации, что открыло к ней неправомерный доступ или позволило скопировать и распространить. В этом случае граждане поплатятся штрафом две тысячи рублей, должностные лица - до десяти тысяч, ИП - до 20 тысяч, юрлица - до 50 тысяч рублей.

Правда, на практике получает­ся, что действующие санкции не­достаточно эффективны, отметила «РФ сегодня» член Комитета Совета Федерации по конституционному законодательству и государствен­ному строительству Елена Мизу­лина. И, подчеркнула она, перио­дически возникают скандальные истории утечки баз данных сотен тысяч людей.

«Сливной бачок»

Один из последних подобных слу­чаев связан со «сливом» в Сеть сведении о трехстах тысячах жителем Москвы, переболевших коронавиру- сом. Из-за ненадлежащего хранения баз данных в свободном доступе оказались имена, адреса, номера телефонов и полисов ОМС, ключи доступа к системе учета, а также диагнозы пациентов, проходивших лечение от COVID-19 в период с апреля по июнь 2020 года.

То же самое случилось с фото­графиями смартфонов с установ­ленным мобильным приложением по мониторингу самоизоляции, скриншотами из программы «Мони­торинг заболеваемости 1C», где вид­ны паспортные данные москвичей.

«Конституция РФ гарантирует право граждан на неприкосновен­ность частной жизни, - напомнила Елена Мизулина. - Но в услови­ях цифровизации, к сожалению, персональные данные человека, а это и есть неотъемлемая часть его частной жизни, становятся все бо­лее доступными и открытыми для широкого круга пользователей и чаще всего вопреки его воле. Реали­зация многих положений о защите персональных данных зависит от усмотрения специалиста в области IT-технологий, собственников ин­тернет-ресурсов, которые таким об­разом как бы приобретают власть над другими людьми. Такое инфор­мационно-правовое регулирование создает риски недобросовестного использования персональных дан­ных людей в чьих-то корыстных или иных личных интересах».

Поэтому, рассказала сенатор, председатель Комитета Совета Федерации по конституционному законодательству и государ­ственному строительству Андрей Клишас поручил оценить, насколь­ко соразмерна существующая от­ветственность за нарушение не­прикосновенности частной жизни общественной опасности такого нарушения. Скорее всего, за этим последует увеличение санкции, подчеркнула Мизулина.

А в Госдуме такую работу уже начали. Глава Комитета по ин­формационной политике, инфор­мационным технологиям и связи Александр Хинштейн сообщил «РФ сегодня», что депутаты готовят зако­нодательные инициативы, усиливаю­щие наказание за незаконный оборот персональных данных и их утечку.

Однако работа над информаци­онным законодательством на этом не закончится. Елена Мизулина так­же рассказала, что поскольку эта область права очень противоречи­ва, громоздка, то парламентариям предстоит заняться ее серьезной переработкой и систематизацией.

Как уничтожить свои данные в сети?

Закон закрепляет право субъектов персональных данных обжаловать в судебном порядке действия или бездействие оператора, если есть подозрение в том, что он не вы­полняет требования законодатель­ства. Когда, например, не защитил данные от несанкционированного доступа. Также люди вправе обра­титься в суд с иском о возмещении морального вреда.

Кроме того, владельцы информа­ционных ресурсов обязаны уничто­жить ПД, если они получили тре­бование физлица об их удалении. Сроки уничтожения данных зависят от того, что конкретно потребовал клиент в письме.

Так, если человек попросил уничтожить ПД из-за того, что они были незаконно получены или не являются необходимыми для за­явленной цели обработки, то опе­ратор должен избавиться от них в течение семи рабочих дней. Прав­да, в законе оговаривается, что для удаления данных оператор должен иметь сведения, подтверждающие, что ПД действительно получены им неправомерно.

Помимо этого, интернет-пользо­ватель может отозвать согласие на обработку его персональных дан­ных. В этом случае оператор обязан в течение 30 дней прекратить их об­работку.

 Однако компания вправе про­должить обработку ПД без согласия субъекта при наличии некоторых оснований: например, если обработ­ка ПД необходима для достижения целей, предусмотренных междуна­родным договором РФ, а также если обработка ПД нужна для исполне­ния договора, «стороной которого либо выгодоприобретателем или поручителем по которому являет­ся субъект персональных данных» (статья 6 Закона №1,52-ФЗ).

Если операторы по требованию физлица не приняли меры по уточне­нию, блокированию или уничтожению данных в сроки, установленные зако­нодательством, то им грозят штра­фы. Для должностных лиц штраф со­ставляет от 4 до 10 тысяч рублей, для ИП - от 10 до 20 тысяч, для юрлиц - от 25 тысяч до 45 тысяч рублей.

Кроме того, если компания обра­батывает ПД без согласия клиента, то штраф для должностных лиц соста­вит от 10 до 20 тысяч, для юрлиц - от 15 до 75 тысяч рублей.

В Госдуме считают, что граж­дане должны иметь право на удаление своих данных без су­дебных разбирательств, без объ­яснения причин и доказывания нарушений. Закон на эту тему одобрен парламентом. Его автор, член Комитета Госдумы по ин­формационной политике, инфор­мационным технологиям и связи Антон Горелкин сообщил, что под его действие попадут опера­торы ПД, которые выкладывают их в общий доступ. Это прежде всего социальные сети, различные мессенджеры, IT-компании, банки данных. Причем у зарубежных соцсетей будут те же обязатель­ства, что и у российских, отметил депутат.

Кроме того, закон предоставля­ет пользователям при регистрации в соцсети или оформлении услуги право дать или не дать согласие на передачу своих данных третьим лицам, выставить условия их ис­пользования, определить категории данных, которые можно или нельзя передавать. Например, фото копи­ровать можно, а тексты нельзя, по­яснил Горелкин.

Как защитить свои данные в интернете?

Несмотря на то что именно владель­цы сайтов ответственны за охра­ну персональных данных, пред­отвратить утечку своих сведений пользователи могут и сами.

Например, председатель обще­ственной организации по защите прав потребителей «Обществен­ная потребительская инициати­ва» Олег Павлов посоветовал читателям «РФ сегодня» в пер­вую очередь не регистриро­ваться на сомнительных сайтах, не оставлять на них свой номер телефона, электронную почту, свои профили в соцсетях и тем более свои платежные данные - ни через банковские формы, ни через предо­ставление фотографий своей карты.

«Кроме того, перед тем как вы собираетесь заполнить форму со своими контактными данными и другими персональными данными, посмотрите соглашение об обра­ботке ПД: кто именно занимается обработкой данных, какому юрлицу или ИП вы их предоставляете, имеет ли право это лицо распространять дальше эти данные, - конкретизиро­вал эксперт. - Если эта информация неочевидная, скрытая или ее сложно найти, это явный признак того, что вы имеете дело с недобросовестной компанией или мошенниками».

Он уточнил, что все крупные и серьезные компании размещают на своих сайтах соглашение об об­работке ПД, указывают реквизиты, позволяющие их идентифицировать как юрлиц.

Отдельно эксперт обратил вни­мание на интернет-магазины, порекомендовав покупать только в из­вестных компаниях. «Либо, если це­на очень привлекательна на каком- то малоизвестном сайте, нужно вы­бирать способ оплаты только после получения товара и ознакомления с ним. Потому что мошенники часто предлагают наложенный платеж, когда вы вынуждены оплатить «ко­та в мешке» до того, как сможете распаковать товар. С такими сайта­ми вы не только рискуете потерять ПД, но и, предоставив свои платеж­ные данные, деньги».    

 

журнал «Российская Федерация  сегодня», №1, 2021

 

Председатель Парламента >>
Мачнев Алексей Васильевич
Мачнев А. В.
Мачнев Алексей Васильевич