Интервью с экспертом: «Три критерия зрелости системы защиты персональных данных»
Как вы в целом оцениваете текущее состояние дел в области защиты прав субъектов персональных данных в нашей стране – на «отлично», «хорошо», «удовлетворительно»? Пожалуйста, обоснуйте вашу оценку.
Подобная оценка состояния дел была бы некорректной, поскольку отсутствуют четкие критерии того, что есть «удовлетворительно», «хорошо» или «отлично». Но есть критерии, по которым можно оценить зрелость российской системы защиты прав субъектов персональных данных на фоне других стран. И сегодня можно утверждать, что российская система защиты отвечает всем стандартам, имеющимся в международной практике. Есть три основных критерия, характеризующих зрелость такой системы. Первый – это наличие уполномоченного органа. А у нас таких органов три: Роскомнадзор, ФСБ России и ФСТЭК России, которые контролируют ситуацию с защитой персональных данных в рамках своих компетенций. Роскомнадзор следит за правомерностью обработки таких данных и защищает права граждан как субъектов персональных данных, ФСБ России и ФСТЭК России контролируют соблюдение требований безопасности государственных информационных систем, в которых персональные данные хранятся и обрабатываются.
Второй критерий зрелости системы – наличие профильного законодательства и нормативных требований. В настоящее время российское законодательство в области защиты персональных данных включает в себя и федеральные законы, и правовые акты Правительства Российской Федерации, и нормативные документы уполномоченных органов. Это сформированная структура, регламентирующая порядок и условия обработки персональных данных операторами.
Третий критерий – наличие в стране системы санкций, которая реализует принцип неотвратимости наказания за несоблюдение действующего законодательства в области персональных данных. Эта система санкций у нас есть, и она совершенствуется. Так, два года назад у нас были приняты поправки в статью 13.11 Кодекса об административных правонарушениях, и теперь вместо одного состава административных правонарушений в области персональных данных существует семь составов. Это позволяет дифференцировать размеры штрафов, применяемых к нарушителям законодательства, в зависимости от тяжести совершенных правонарушений. Самый большой штраф предусмотрен за несоблюдение требований при обработке персональных данных в случаях, когда требуется письменная форма согласия субъекта на такую обработку. Это, в том числе, биометрия, размещение персональных данных в общедоступных источниках.
О зрелости системы также можно судить и по уровню вовлеченности субъектов в процесс, связанный с обработкой их персональных данных, по объему взаимодействия субъектов с уполномоченным органом. В России уровень такой вовлеченности довольно высок. Основная деятельность Роскомнадзора направлена на защиту прав граждан, и граждане активно взаимодействуют с нашей службой. Число их обращений в Роскомнадзор ежегодно увеличивается. Мы внимательно рассматриваем жалобы на действия операторов, делаем выводы и принимаем меры реагирования. Обращения граждан – это лакмусовая бумажка для качественной оценки системы. Статистика показывает, что, несмотря на рост общего количества обращений, число жалоб, по которым доводы заявителей подтверждаются, из года в год сокращается. За последний год менее 6% из всего потока жалоб, поступивших к нам, были обоснованными. Этому способствует наша работа с операторами. Мы регулярно проводим для них обучающие семинары, выпускаем необходимые разъяснения, методические рекомендации и указания. Все это помогает операторам правильно выстроить свою бизнес-модель по обработке персональных данных. Считаю, что в нашей стране сложились все необходимые условия для их цивилизованного оборота, и российская система защиты персональных данных отвечает всем международным критериям.
Как складывается правоприменительная практика по защите прав субъектов персональных данных? Расскажите вкратце об основных результатах контрольно-надзорной деятельности Роскомнадзора в 2018 году. Сколько было проведено плановых и внеплановых проверок операторов? Сколько в итоге было выявлено нарушений, на какую сумму оштрафовали нарушителей?
По состоянию на конец 2018 года в России насчитывалось чуть более 392 тыс. операторов, осуществляющих обработку персональных данных. Именно столько числилось в специальном Реестре. В основном это юридические лица, государственные органы и муниципальные органы, а также индивидуальные предприниматели. При этом, в рамках ведения Реестра, за 2018 год были внесены сведения о 38852 операторах. Мы постоянно контролируем их деятельность. Так, в прошлом году Роскомнадзор провел 832 плановые проверки операторов. Нарушения были выявлены при проведении 668 плановых проверок, что составляет 80% от общего числа контрольно-надзорных мероприятий такого типа. Также было проведено 49 внеплановых проверок, в ходе 16 из них также были выявлены нарушения. Внеплановые проверки проводились в рамках контроля исполнения ранее выданных предписаний и на основании требований прокурора. Также Роскомнадзором осуществлялись мероприятия систематического наблюдения. В 2018 году таких мероприятий было проведено 2118. Нарушения мы выявили в ходе 569 мероприятий систематического наблюдения, что составляет 27% от общего числа.
По результатам контрольно-надзорных мероприятий, проведенных территориальными органами Роскомнадзора в 2018 году, выдано 768 предписаний об устранении выявленных нарушений. Было составлено и направлено в суды 6419 административных протоколов. Судами по результатам рассмотрения представленных материалов наложено административных штрафов на сумму более 3,9 млн руб.
Какие нарушения, выявленные в ходе проверок, вы назвали бы типичными? Почему, на ваш взгляд, именно эти нарушения являются наиболее распространенными?
Можно выделить несколько типичных нарушений, выявленных в ходе проверок. Прежде всего речь идет о представлении уведомления об обработке персональных данных, содержащего неполные и недостоверные сведения. Также типичным нарушением является непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом и нормативными правовыми актами. Довольно часто мы фиксировали отсутствие у операторов выделенного места хранения персональных данных или перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Другими типичными нарушениями являются: несоблюдение оператором установленных требований обработки персональных данных после достижения цели обработки; обработка персональных данных в случаях, непредусмотренных законом «О персональных данных»; несоответствие содержания письменного согласия субъекта персональных данных на их обработку требованиям законодательства; обработка избыточных персональных данных по отношению к заявленным целям.
И есть одно общее нарушение, связанное с непредставлением уведомления об обработке персональных данных. Причины, по которым это происходит бывают разные – некомпетентность сотрудников, которые сочли, что в их ситуации уведомление не обязательно. А некоторые просто забывают предоставить уведомление. Словом, здесь присутствует человеческий фактор.
Какие отрасли экономики вы могли бы поставить в пример, как наиболее ответственные в отношении соблюдения требований законодательства о персональных данных? В каких отраслях, напротив, выявлено больше всего нарушений?
Чтобы получить качественную оценку, нужно учитывать совокупность многих факторов. В одной отрасли лучше обстоит дело с уведомлениями, а в другой – с обращениями граждан (то есть, когда их практически не поступает). У третьих лучше организован оборот персональных данных, что показывают результаты наших проверок. Это все разные качественные показатели, но они взаимосвязаны, поэтому поставить в пример какую-то отрасль очень сложно. Можно попытаться лишь оценить ситуацию по отдельным критериям. К примеру, мы планомерно ведем работу по наполнению Реестра операторов, и для нас в этом случае наиболее ярким положительным примером является банковская сфера, где более 90% ее участников на сегодняшний день предоставили необходимые сведения для включения в Реестр. Это очень хороший показатель, достигнутый, в том числе, благодаря взаимодействию Роскомнадзора с Банком России. Отраслевой регулятор в банковской сфере и его конструктивная позиция сыграли очень хорошую положительную роль в этом деле. Стандарт информационной безопасности, выпущенный Банком России, способствовал тому, что финансово-кредитные учреждения начали уделять вопросам защиты персональных данных гораздо больше внимания.
Большой общественный резонанс получают инциденты, связанные с утечками или неправомерным использованием персональных данных в интернет-индустрии. В какой степени соответствует законодательству о защите персональных данных деятельность крупных зарубежных и отечественных представителей этой отрасли (Facebook, Google, Twitter, Яндекс, Mail.RU, российских социальных сетей)?
Действительно, СМИ нередко освещают резонансные инциденты с утечкой больших объемов персональных данных. Но это преимущественно зарубежные инциденты, в которых были скомпрометированы данные клиентов крупных банков или интернет-компаний. Были за рубежом и скандалы с незаконным использованием социальными сетями данных своих подписчиков – в маркетинговых и рекламных целях. Такие сообщения СМИ всегда находятся в зоне нашего внимания. Если есть вероятность, что пострадали интересы наших граждан, мы оперативно направляем запросы в адреса администраций зарубежных социальных сетей, чтобы получить пояснения по существу этих утечек. Мы должны понимать, что произошло. Оказались ли затронуты права российских пользователей, нарушены ли требования конфиденциальности данных, которые они размещают в иностранных соцсетях и на пользовательских страницах? И у нас пока не было подтверждений того, что в инцидентах с персональными данными, произошедших за рубежом, оказались каким-то образом нарушены права наших граждан. Что касается российских социальных сетей, то они с периодичностью, установленной нашим законодательством, проходят проверки. И в целом их деятельность соответствует требованиям отечественного законодательства о персональных данных. Те мелкие огрехи, которые выявляются Роскомнадзором в ходе проверок, устраняются ими в установленные сроки. И применительно к обработке данных пользователей в рамках функционала социальных сетей, нарушений с их стороны в ходе проверок выявлено не было.
А если рассматривать аспект хранения данных российских пользователей зарубежными интернет-компаниями? Все ли они хранят данные в России, как того требует закон?
Мы с иностранными сетями работаем по этому вопросу. Если они обрабатывают данные российских пользователей, то должны соблюдать соответствующие требования по локализации. Сейчас мы находимся с зарубежными социальными сетями в административном процессе. Мы направили им запросы об исполнении мер по локализации, предусмотренных российским законодательством. К сожалению, администрации социальных сетей нужную нам информацию не предоставили. В результате были составлены протоколы. Вместе с тем, после того, как суд признал, что администрациями этих социальных сетей было нарушено российское законодательство, мы дополнительно направили администрациям этих сетей уже не запросы, а требования о выполнении условий по локализации данных. В декабре эти социальные сети должны выполнить наши требования. Если же этого не произойдет, мы будем принимать меры реагирования из того набора, который у нас есть по закону.
Как идет работа по рассмотрению Роскомнадзором обращений и жалоб граждан, связанных с нарушениями их прав на защиту данных? Растет ли число таких обращений? По каким вопросам чаще всего обращаются? На кого и на что жалуются граждане?
За 2018 год в адрес Роскомнадзора и его территориальных органов поступило более 41 тыс. обращений граждан и юридических лиц – на 12,8% больше, чем в 2017 году. Почти 36 тыс. обращений – это жалобы на действия операторов, осуществляющих, по мнению граждан, незаконную обработку их персональных данных. Большой процент таких обращений связан с процессом взыскания задолженностей в различных сферах. Это ЖКХ, финансово-кредитная сфера, деятельность коллекторов. Вопросы граждан сводятся к тому, насколько правомерно действуют представители соответствующих организаций при взыскании задолженностей. Здесь нужно понимать, что вопросы, касающиеся обработки персональных данных в этих процессах, рассматриваются Роскомнадзором. А вопросы, касающиеся соблюдения порядка взыскания задолженностей, включая телефонные звонки должникам, направление писем, и все прочее – это уже компетенция Федеральной службы судебных приставов. Мы с коллегами из этой службы постоянно обмениваемся информацией об обращениях такого рода. Все это делается, чтобы обеспечить целостное и всестороннее рассмотрение жалоб.
Много обращений граждан связано с обработкой их персональных данных в социальных сетях, на различных интернет-сайтах. Сводится это к тому, что где-то, на каком-то форуме, оказались размещены чьи-то персональные данные или была создана фальшивая пользовательская страница. Мы реагируем на такие жалобы. Что касается создания фейковых страниц, то в этом плане у нас налажено тесное взаимодействие с администрациями социальных сетей. Тем более, что их пользовательскими соглашениями уже предусмотрена ответственность за создание страниц с использованием недостоверных сведений. А в случаях некорректного размещения данных граждан на форумах, в каких-то сетевых базах данных, мы оцениваем какая именно информация размещена там, откуда она туда могла попасть, и есть ли на сайте подтверждение о получении согласия на размещение. Если прописанные законом условия не соблюдены, принимаются меры. Это может быть направление требования об удалении информации с интернет-ресурса. Если администрация сайта не реагирует, вступают в силу меры судебного характера – подается исковое заявление. В отношении иностранных сайтов действует точно такая же процедура. И у нас создан реестр нарушителей прав субъектов персональных данных, куда мы включаем интернет-ресурсы, деятельность которых признана незаконной на основании судебных решений. Доступ к таким ресурсам на территории России ограничивается до тех пор, пока администрация ресурса не примет меры по удалению неверно распространяемой информации.
Растет ли число жалоб граждан на телефонные звонки рекламного характера, в которых также могут незаконно использоваться персональные данные, в том числе в мошеннических схемах?
Звонки в адрес граждан с предложениями товаров или услуг находятся в пограничной зоне компетенций Роскомнадзора и Федеральной антимонопольной службы (ФАС России), которая является контролирующим органом в сфере рекламы. Наши полномочия касаются обработки персональных данных в рамках продвижения услуг и товаров. И если мы понимаем, что телефонные звонки больше относятся к компетенции ФАС России и подпадают под действие законодательства о рекламе, мы не можем реагировать на такие сигналы – это зона ответственности наших коллег из ФАС России. Но если выясняется, что нарушены правила обработки персональных данных, включаемся мы. Однако процент обращений к нам по этому виду нарушений незначительный, по сравнению с другими категориями, о которых я говорил ранее.
Достаточно ли у граждан возможностей для самостоятельной защиты своих прав и интересов в области персональных данных? Что нужно сделать, чтобы этих возможностей стало больше?
Гражданин может направить жалобу в уполномоченный орган либо попытаться защитить свои права самостоятельно. Такие возможности у граждан были и на начальном этапе становления системы защиты персональных данных. Но поначалу у них не было должного понимания, как воспользоваться этой возможностью, не было правоприменительного опыта, на который можно было бы ориентироваться, и не было соответствующей судебной практики. Сейчас, по прошествии тринадцати лет с момента принятия закона «О персональных данных», сформирован внушительный информационный базис правоприменительной практики, накоплен богатый опыт взаимодействия граждан с системой – самостоятельного обращения в суды и другие инстанции. Это все есть, и граждане начинают сейчас этим активно пользоваться. Когда в 2015 году был создан реестр нарушителей прав субъектов персональных данных, граждане стали активнее пользоваться своим правом на защиту. Они подают на нарушителя в суд, получают судебное решение и затем, по установленной форме, направляют нам заявление о включении того или иного ресурса в реестр нарушителей. Также гражданам предоставлено право самостоятельно реализовать «право на забвение». Если гражданин не хочет, чтобы поисковая система выдавала о нем определенные сведения, он может этого добиться. Законодательством установлен порядок, когда гражданин самостоятельно обращается в администрацию поисковой системы и предоставляет материал, подтверждающий необходимость исключения из выдачи тех или иных сведений о нем. Допустим, они неактуальны или недостоверны. Если администрация поисковой сети отказывает гражданину, он обращается в суд и получает соответствующее решение, реализацией которого занимаются судебные приставы.
Также недавно у нас в стране запущен правовой механизм защиты чести и достоинства граждан при опубликовании о них информации в Интернете. На основании судебных решений о признании сведений порочащими честь и достоинство, судебные приставы могут вынести постановление, которое является основанием для блокировки интернет-страницы с помощью Роскомнадзора.
Какие новые риски для субъектов персональных данных возникают в связи с переходом к цифре субъектов экономики и государственных институтов в рамках национальной программы «Цифровая экономика Российской Федерации»? Как планируется минимизировать эти риски? Какова в этом роль вашего департамента?
Мероприятия по развитию цифровой экономики России как раз направлены на то, чтобы сделать доступнее для граждан услуги в электронной форме. Расширится сфера оборота персональных данных, вырастет число операторов, которые будут обрабатывать данные граждан. Но принципиальные подходы к защите данных остаются прежними. Главное, чтобы у всех операторов были правовые основания для такой обработки, и чтобы требования конфиденциальности и безопасности при этом выполнялись, независимо от появления новых бизнес-моделей и процессов, свойственных цифровой экономике.
В какой степени отечественная система правового регулирования защиты персональных данных соответствует нормам, принятым в Европейском союзе и, в частности, содержащимся в Общем регламенте по защите данных, (англ. General Data Protection Regulation, GDPR)? Следует ли принять в России аналогичный акт или закрепить в действующих законах его отдельные положения?
Наша страна с 2013 года является участницей Конвенции Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Мы сдали ратификационную грамоту в том же году и, как полноправный член, вошли в состав стран участниц этого международного договора. В нем прописаны все основные условия участия. В прошлом году Россия в числе первых подписала протокол к данной конвенции. Сейчас идут процессы по ратификации этого протокола, Минкомсвязью России разрабатывается законопроект, вбирающий в себя изменения, которые необходимо внести в закон «О персональных данных» с учетом положений данного протокола.
Что касается GDPR, то это акт Европейского союза, а мы не являемся его членом. Поэтому для нас первостепенная задача состоит в выполнении обязательств, взятых на себя по линии Конвенции Совета Европы.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
