ОБЩЕСТВО | КОНСУЛЬТАЦИЯ ЮРИСТА | СТРАНИЦА 14 |
Окончание. Начало см. на стр. 8
ИНФОРМАЦИЯ О МЕРАХ ЗАЩИТЫ ДОЛЖНА
БЫТЬ ОТКРЫТОЙ И ОБЩЕДОСТУПНОЙ
Операторы умалчивают о положениях ФЗ-№152, регламентирующие их обязанности (статья 18.1).
Оказывая давление на граждан, операторы скрывают собственные нарушения закона и не предоставляют общедоступную информацию о своей деятельности. Перечисленные в законе обязанности оператор обязан выполнять, а граждане имеют право знать, как конкретный оператор на практике реализует мероприятия по защите персональных данных. Наше право на эту информацию закреплено в законе. Нам, гражданам для защиты своих прав и интересов эти положения закона необходимо знать.
В соответствии с п. 2 статьи 18.1 ФЗ-№152 оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
ФЗ-№152 «О персональных данных»
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
(введена Федеральным законом от 25.07.2011 №261-ФЗ)
... 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных...
На практике операторы не только не дают информацию гражданам о защите их прав, но и не соблюдают требования закона по многим критериям защиты персональных данных.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся несоблюдения Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
Пример 1
Управлением Уполномоченного органа по Кемеровской области была проведена плановая выездная проверка в отношении Муниципального учреждения «Управление образования Администрации Юргинского муниципального района». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним. По данному факту органами прокуратуры возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении Муниципального учреждения «Управление образования Администрации Юргинского муниципального района» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
Пример 2
Территориальным управлением Уполномоченного органа по Камчатскому краю была проведена выездная проверка в отношении Общества с ограниченной ответственностью Управляющая компания «Полигон В» (далее – ООО Управляющая компания «Полигон В»). В ходе проведения контрольно-надзорного мероприятия инспекторами установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним. По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ООО Управляющая компания «Полигон В» к административной ответственности и наложении штрафа в размере пяти тысяч рублей...».
Требуя предоставления информации от граждан, во многих случаях сам оператор не имеет прав на обработку персональных данных или делает это с грубым нарушением закона.
НЕОБХОДИМО ПРОВЕРИТЬ, СООТВЕТСТВУЕТ ЛИ ПРЕДЛАГАЕМЫЙ
БЛАНК «СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ»
ТРЕБОВАНИЯМ СТАТЬИ 9 ФЗ-№152
В соответствии со статьей 9 субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Можно ли говорить о своей воле и своем интересе в случаях, когда оператор, например, школа, поликлиника, организация ЖКХ, социальное ведомство «выдавливают» из граждан согласия путем угроз: лишить социальной выплаты, не допустить школьника к сдаче ЕГЭ, отказать в медицинской помощи и т.д.? Что уж говорить о выполнении требования закона об информированности и сознательности согласия, данного в таких условиях.
Люди подписывают бланки, не зная, обеспечены ли меры по защите их персональных данных, является ли организация, получающая согласие, оператором, включена ли она в реестр операторов, соблюдаются ли другие требования законодательства этой организацией.
Часто бланки не имеют наименования организации и адреса оператора или лица, собирающего персональные данные по поручению оператора, нарушаются другие требования статьи 9. В случаях нарушений оператором требований закона гражданин имеет право поставить в известность уполномоченную организацию и не дать согласие на обработку персональных данных.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... б) ч. 4 ст. 9 Федерального закона «О персональных данных» – несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
Пример 1
В типовой форме согласия на обработку персональных данных, утвержденной ООО «Аварийный комиссар», отсутствовали перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, адрес Оператора и цель обработки персональных данных. Соответствующие материалы были направлены Уполномоченным органом по Кировской области в органы прокуратуры, по результатам, рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ООО «Аварийный комиссар» к административной ответственности и наложении штрафа в размере пяти тысяч рублей, в том числе на должностное лицо ООО «Аварийный комиссар» в размере пятьсот рублей.
Пример 2
В типовой форме согласия на обработку персональных данных, утвержденной ЗАО «Юлмарт», отсутствовало наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора. Соответствующие материалы были направлены Уполномоченным органом по Ростовской области в органы прокуратуры, по результатам рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ЗАО «Юлмарт» к административной ответственности должностного лица и наложении штрафа в размере пятисот рублей...».
Требования закона к форме «Согласия» определены в статье 9 ФЗ-№152 и мы должны эти требования знать.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных (в ред. Федерального закона от 25.07.2011 №261-ФЗ)
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
НЕЗАКОННЫЕ ТРЕБОВАНИЯ ОПЕРАТОРОВ
ПРЕДОСТАВЛЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Из образцов бланков «Согласия на обработку персональных данных», направленных в «Союз православных юристов» гражданами видно, что в подавляющем большинстве случаев бланки согласия не соответствуют требованиям статьи 9 ФЗ-№152. Во многих бланках организаций, в которые граждане обращаются по конкретной, узкой проблеме, перечень сведений необоснованно расширен и не соответствует целям деятельности организации.
В соответствии со статьей 9 Федерального закона «Об информации, информационных технологиях и о защите информации» запрещается требовать от граждан предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли человека. Во многие бланки включена информация, относящаяся к перечисленным категориям.
СНИЛС и сведения индивидуальных лицевых счетов в системе пенсионного страхования являются конфиденциальной информацией, которую оператор обязан защитить.
Во многих бланках согласий на обработку персональных данных в числе сведений о гражданах указан СНИЛС. В этих случаях необходимо помнить, что СНИСЛ – это пожизненный и посмертный идентификатор личности человека. Неслучайно в Федеральном законе №27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» говорится о необходимости особой защиты этой информации.
В соответствии со статьей 6 ч.8 ФЗ-№27 сведения индивидуальных лицевых счетов являются конфиденциальной информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности. Знание СНИЛС открывает доступ к конфиденциальной информации индивидуальных лицевых счетов.
В настоящее время СНИЛС не только отражает номер индивидуального лицевого счета в пенсионном фонде, но и является единым ключом доступа во все базы персональных данных. Поэтому сообщать СНИЛС граждане должны с большой осторожностью. Зная СНИЛС, можно получить практически всю информацию о человеке и использовать ее в криминальных целях.
Включая в большинстве случаев без всякой необходимости в бланки согласий СНИЛС, оператор подвергает опасности конфиденциальную информацию гражданина. Это тем более опасно, когда оператор не дает гарантий ее защиты.
Включение СНИЛС, ИНН, информации, относящейся к частной жизни, личной и семейной тайне в бланки согласий является следствием полной безнаказанности операторов.
ОБ УГРОЗАХ ГРАЖДАНАМ И ОТВЕТСТВЕННОСТИ ОПЕРАТОРОВ
В части 2 статьи 18 ФЗ-№152 «О персональных данных» сказано, что если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить данные.
На практике, собирая персональные данные в принудительном порядке, операторы не указывают федеральные законы, обязывающие граждан предоставлять свои персональные данные конкретному оператору в конкретной ситуации и тем более никогда не ссылаются на положения закона карательного характера, например, отказ в выплате пособия, отказ допустить к ЕГЭ и др. Давление оказывается вслепую, с надеждой на юридическую безграмотность граждан и обычный страх наказания за неподчинение. Гражданам не нужно бояться угроз, а следует потребовать у оператора письменный ответ со ссылками на конкретные нормы федеральных законов, запрещающих, например, выплату социального пособия при отказе дать согласие на обработку персональных данных. Кроме того, нужно сообщить об угрозах в органы государственной власти и направить заявление о проверке деятельности этого оператора в Уполномоченный орган по защите прав субъектов персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Отчет Роскомнадзора за 2012 год показывает, что наши жалобы не остаются без ответа. В отчете говорится, что увеличение проведенных проверок в отношении операторов напрямую связано с ростом числа жалоб граждан.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... Как и в предшествующие годы, в 2012 году продолжился рост количества административных правонарушений. Уполномоченным органом составлено 5359 протоколов об административных правонарушениях (2011 год – 4901, 2010 год – 2996).
Выявленные правонарушения были классифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.
Мировыми судьями, по результатам рассмотрения 4786 направленных материалов, были приняты постановления о привлечении операторов к административной ответственности в форме штрафа на общую сумму 8 млн. 680 тыс. 150 рублей...».
Полный текст отчета Роскомнадзора за 2012 год – http://rkn.gov.ru/personal-data/reports/; на сайте «Родина православная» – http://rodinaprav.info
*****
От нашей активности, желания защитить себя, своих детей, свои семьи и наше государство будет зависеть станет ли наша жизнь открытой и прозрачной для всех желающих, будет ли информация о нас концентрироваться в электронных базах данных или этот негативный для граждан и страны процесс будет остановлен.
Заявления и жалобы на нарушение законодательства и конституционных прав граждан можно направлять в Уполномоченный орган по защите прав субъектов персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): 109074, г. Москва, Китайгородский пр., д. 7, стр. 2; электронный адрес для направления обращений: rsoc_in@rsoc.ru; сайт http://rkn.gov.ru
Информирование федеральных органов надзора будет способствовать более объективному рассмотрению заявлений и жалоб, а также давать этой службе реальную картину работы операторов по стране в целом.
*****
ПОСЛЕДНИЕ ДАННЫЕ О НАРУШЕНИИ ЗАКОНОДАТЕЛЬСТВА ОПЕРАТОРАМИ ЗА 2014 ГОД (ПО ДАННЫМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (РОСКОМНАДЗОРА), http://rkn.gov.ru)
http://pd.rkn.gov.ru/press-service/subject1/news3613/
В РОССИИ: В Приморском крае за непредставление уведомления об обработке персональных данных оштрафовано пять юридических лиц
Мировыми судьями Приморского края за непредставление или несвоевременное представление в территориальное Управление Роскомнадзора сведений по запросу, а равно представление сведений в неполном объеме, привлечены к административной ответственности ООО «Золотой телец», ООО «Мезонин», ООО «Вертикаль», ООО «Комплекс ДВ», МКУ «Средняя общеобразовательная школа № 35» Артемовского городского округа.
Ранее, в октябре – декабре прошлого года, Управлением были составлены протоколы по ст. 19.7 КоАП РФ в отношении указанных юридических лиц, осуществляющих обработку персональных данных с нарушением требований ч. 4 ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Судебными решениями нарушители признаны виновными, назначены наказания в виде штрафов в размере трех тыс. рублей каждому на общую сумму 15 тыс. рублей.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:39
http://pd.rkn.gov.ru/press-service/subject1/news3615/
В РОССИИ: В Саратовской области родители отказываются предоставлять школам данные о детях
Прокуратура проверит школы и поликлиники в течение 3 дней, может быть начала доследственная проверка, передаёт ОТР.
В Прокуратуру Саратовской области сегодня обратились родители, которых в школах и поликлиниках принуждают давать согласие на обработку персональных данных детей. Активисты настаивают: людям не разъясняют принцип добровольности этой процедуры. На регистрацию поступившего заявления прокуратуре даётся три дня, после чего будет принято решение о начале доследственной проверки.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:47
http://pd.rkn.gov.ru/press-service/subject1/news3616/
В РОССИИ: Нижнекамская городская прокуратура выявила нарушение законодательства о персональных данных
Нижнекамская городская прокуратура провела проверку исполнения законодательства РФ в области персональных данных. Проверка проводилась в ООО «Гостиница «Кама», передаёт портал «Новости прокуратуры».
Правовую основу обращения с персональными данными составляет Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Правительством РФ.
В нарушение требований закона, обработка персональных данных осуществляется в гостинице без получения согласия субъектов персональных данных на обработку их персональных данных.
Кроме того, не назначено должностные лицо, ответственное за организацию обработки персональных данных, а работники организации, непосредственно осуществляющих обработку персональных данных, не ознакомлены с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите.
При этом должностные лица предприятия, осуществляющие обработку персональных данных, не были проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Таким образом, руководителем предприятия не принимаются меры к обеспечению безопасности персональных данных при их обработке.
В связи с этим прокуратура в отношении директора ООО «Гостиница «Кама» возбудила дело об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Материалы проверки направлены в мировой суд для рассмотрения по существу.
О.А. Яковлева, Председатель «Союза православных
юристов»,адвокат Московской областной коллегии адвокатов,
Почётный адвокат России, эксперт Комиссии по вопросам
взаимодействия Церкви, государства и общества Межсоборного
присутствия Русской Православной Церкви
Е.А. Грищенко, член «Союза православных юристов»,
редактор правового бюллетеня «Родина православная»