| ОБЩЕСТВО | КОНСУЛЬТАЦИЯ ЮРИСТА | СТРАНИЦА 8 |
Как отказаться от дачи согласия
на обработку персональных данных?
В «Союз православных юристов» постоянно идут письма и звонки с вопросом: «Как отказаться от согласия на обработку персональных данных, но не утратить свои законные права?». Ответить на все обращения физически невозможно, поэтому мы подготовили аналитический обзор законодательства и практики его применения. Нашей целью является побуждение простых граждан, не имеющих юридического образования, к активным правовым действиям в защиту своих законных прав.
Создаваемое в России и других странах информационное общество бесчеловечно, в нем не работают национальные законы и даже общечеловеческие нормы и принципы. В этом обществе человек превращается в бесправный придаток информационных электронных систем.
Формирование баз персональных данных на все население страны является необходимым условием информационного общества, в котором все взаимоотношения граждан и государства осуществляются в обязательной электронной форме. С этой целью все организации, в которые обращаются граждане (школы, поликлиники, ВУЗы, организации ЖКХ и др.), в обязательном порядке предлагают подписывать бланки согласия на обработку персональных данных. Во многих случаях при отказе подписать такой бланк человек в нарушение действующего законодательства лишается своих прав. Характеристики нового мирового порядка хорошо видны уже сегодня. Сотни тысяч православных граждан, отказывающихся по религиозным убеждениям от автоматизированного учета персональных данных, электронных документов, незаконно лишены своих прав. Пожилым, заслуженным гражданам не выплачивают заработанные пенсии, пособия, лишают медицинской помощи, молодежь не может поступить учиться, устроиться на работу. Нарушения основополагающих прав верующих граждан носят дискриминационный характер.
9 февраля 2014 г. на сайте Московской Патриархии, и на сайте «Союза православных юристов» опубликована информация о направлении Святейшим Патриархом Московским и всея Руси Кириллом обращения к Президенту Российской Федерации В.В. Путину с просьбой принять законодательные меры, обеспечивающие право человека использовать традиционные удостоверения личности и способы учета на бумажных носителях, а также обеспечить правовые гарантии существования, технического оснащения и финансирования традиционной системы учета.
Администрация Президента Российской Федерации направила ответ на обращение Патриарха. В ответе говорится: «...Разделяя Вашу озабоченность по вопросу нежелания некоторой части российских граждан получать другой вид паспорта – документ нового поколения, содержащий электронные носители информации, полагаю возможным отметить, что любые формы принуждения людей к использованию электронных идентификаторов личности, автоматизированных средств сбора, обработки и учета персональных данных, личной конфиденциальной информации недопустимы...».
Это обращение Патриарха к Президенту РФ является результатом нашей общей активности. Именно письма общественных организаций и простых граждан, направленные Святейшему Патриарху, дают основания Церкви встать на защиту своих чад.
Однако и мы, граждане обязаны защищать свои права, влиять на принимаемые в России законы, реагировать на нарушения законодательства. Нельзя смиряться с нарушениями своих прав, необходимо законными методами бороться за сохранение традиционной системы учета персональных данных человека, за соблюдение Конституции России.
Правовые методы есть, действует Конституция РФ и даже антиконституционные законы пока содержат нормы, гарантирующие права граждан. Используя эти материалы, вы сможете грамотно защитить свои законные права и интересы. Не нужно бояться, не нужно лениться изучать законодательство и применять его в конкретной ситуации. Нарушение прав граждан при отказе дать согласие на обработку персональных данных носит массовый характер, такими же массовыми должны быть и наши правовые действия. Только общими усилиями при поддержке Русской Православной Церкви мы сможем защитить конституционное право жить в обществе в соответствии со своими религиозными убеждениями, сохранить суверенитет нашего государства.
Молчание, непротивление нарушениям закона, Конституции РФ сегодня – это соучастие в построении античеловеческого, антиконституционного и антихристианского общества.
+ + +
ЗНАНИЕ И ПОНИМАНИЕ
ЗАКОНОДАТЕЛЬСТВА –
НАША ЗАЩИТА
Операторы как «броню» используют ФЗ-№152 «О персональных данных», прикрывая в большинстве случаев незаконный сбор информации о гражданах и незаконно лишая прав людей, отказавшихся от дачи согласия на обработку персональных данных.
Нам, гражданам необходимо научиться пользоваться правовыми возможностями для защиты своих прав, опираясь на тот же ФЗ-№152 и другие законы.
ФЗ-№152 «О персональных данных» действует с 2006 года, однако до 2010 года человеку не приходилось давать полный отчёт о себе, семье, работе, собственности при обращении в любую организацию: поликлинику, школу, ВУЗ, банки и др.
Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг». Этот антиконституционный закон легализовал коренной переворот в законодательстве. Наши конституционные права в основных сферах жизни были незаконно трансформированы в неконституционное понятие «услуги», которые к тому же предоставляются только в электронной форме и на платной основе. Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года) и ФЗ-№152 «О персональных данных». С переходом на электронный способ взаимодействия в соответствии с ФЗ-№152 все организации, имеющие хоть какую-то информацию о человеке, стали операторами: библиотеки, ВУЗы, поликлиники, детские сады, работодатели, другие организации. Все они обладают правом решения вопроса о содержании, объёме и целях сбора наших персональных данных, а также правом распоряжения ими.
(Подробно о федеральных законах №152 и №210 и правовых действиях граждан – см. в книгах «Новые технологии и права человека», «Электронные услуги или приватизация власти», автор – О.А. Яковлева; статья «В бомжи на уходить, а действовать разумно», http://rodinaprav.info/index.php/inn-uek-snils/147-v-bomzhi-ne-ukhodit-a-dejstvovat-razumno).
В настоящее время любая организация считает себя оператором и вынуждает граждан давать «Согласие на обработку персональных данных». При возражении человека чиновники или сотрудники организаций безапелляционно ссылаются на ФЗ-№152 «О персональных данных» и требуют согласия фактически в принудительном порядке.
При этом в бланках имеется только название самого закона и нет ни одной конкретной ссылки на статью, обязывающую гражданина давать согласие на обработку персональных данных в конкретной ситуации (получении медицинской помощи, поступления ребенка в школу, детский сад, получение социальных выплат и др.).
В соответствии со статьей 9 ФЗ-№152 «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
А является ли нашей волей и соответствует ли нашим интересам бездумное предоставление полной информации о себе, своей семье, собственности, здоровье, доходах организациям, куда мы обращаемся для решения конкретных проблем?
Организации, требуя от граждан «Согласия на обработку персональных данных», не разъясняют смысл понятий, употребляемых в бланках – «персональные данные» и «обработка», не раскрываются гражданам и полномочия оператора. Это происходит неслучайно. Если бы граждане знали закон, то понимали, что давая согласие на обработку персональных данных, они соглашаются на любые действия оператора со всей информацией о себе.
В соответствии со статьей 3 ФЗ-№152:
персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; обработка включает в себя и трансграничную передачу персональных данных.
При использовании персональных данных оператор обладает правом принятия решений или совершения иных действий, порождающих юридические последствия в отношении лица, давшего согласие или других лиц как субъектов персональных данных. Получая согласие человека на обработку персональных данных – любой информации о человеке – оператор становится их полным хозяином.
Сам гражданин уже исключен из процесса принятия решений оператора, распоряжающегося информацией по своему усмотрению.
Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва «Согласия» уже имеет возможность использовать свои полномочия в полном объеме. Во многих случаях при отзыве согласия к гражданину незаконно применяются репрессивные меры.
Прежде чем дать согласие на обработку персональных данных, гражданину необходимо проверить, имеет ли конкретная организация право собирать и обрабатывать персональные данные, является ли она оператором. Если является, следует выяснить, как этот оператор соблюдает свои обязанности и законодательство РФ.
НАПРАВИЛ ЛИ ОПЕРАТОР УВЕДОМЛЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со статьей 22 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществить обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22, в которой перечислен узкий перечень вариантов освобождения операторов от этой обязанности. Большинство организаций, обрабатывающих персональные данные и требующие нашего согласия, обязаны направлять Уведомления.
Статьей 22 ФЗ-№152 к Уведомлению предъявляются следующие требования:
Уведомление должно содержать следующие сведения:
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
Уполномоченный орган после получения Уведомления включает оператора в Реестр.
... Статья 22, п. 4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов.
Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными...
Эти нормы дают гражданину несколько возможностей проверить законность деятельности оператора. Нужно узнать в уполномоченной организации, направлено ли Уведомление о начале обработки персональных данных, соответствует ли Уведомление требованиям статьи 22, включен ли конкретный оператор в реестр операторов. Очень важно проверить соответствует ли реальная деятельность организации заявленной в Уведомлении. К операторам – нарушителям применяются меры наказания. Пусть не смущают незначительные суммы штрафов, ведь это начальная стадия нашей борьбы. Пока большинство операторов, нарушая наши права, чувствуют свою полную безнаказанность. Дальнейшее развитие событий зависит от нас.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... г) ч. 3 ст. 22 Федерального закона «О персональных данных» – представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
Пример 1
Управлением Уполномоченного органа по Южному федеральному округу была проведена плановая выездная проверка в отношении ОАО «ТАВС «Кубань». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено, что сведения, представленные в уведомлении ОАО «ТАВС «Кубань», не соответствуют фактической деятельности ОАО «ТАВС «Кубань». По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ОАО «ТАВС «Кубань» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
Пример 2
Управлением Уполномоченного органа по Камчатскому краю была проведена проверка в отношении ООО «Согжой». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено, что сведения, представленные в уведомлении ООО «Согжой», не соответствуют фактической деятельности ООО «Согжой». По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ООО «Согжой» к административной ответственности и наложении штрафа в размере пяти тысяч рублей...».
НЕОБХОДИМО ПРОВЕРИТЬ, ВКЛЮЧЕН ЛИ
КОНКРЕТНЫЙ ОПЕРАТОР В РЕЕСТР ОПЕРАТОРОВ
Кроме направления Уведомления, условием обработки персональных данных является включение конкретного оператора в реестр, который ведет Уполномоченный орган по защите прав субъектов персональных данных.
Поэтому гражданам необходимо выяснить в этой организации, включен ли конкретный оператор (школа, организация, больница и т.д.) в реестр операторов. Можно получить положительный ответ. Однако устное заверение о включении в реестр нужно проверить.
Это возможно сделать, направив запрос в Уполномоченный орган по защите прав субъектов персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): 109074, г. Москва, Китайгородский пр., д. 7, стр. 2, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; электронный адрес для направления обращений: rsoc_in@rsoc.ru
Можно найти эту информацию самостоятельно в Интернете на сайте Роскомнадзора http://rkn.gov.ru/personal-data/register/. Там размещен реестр организаций, включенных в состав операторов.
Конкретный пример. В сентябре 2012 г. инвалиды Г. и Я. из г. Москвы прибыли в санаторий Санкт-Петербурга. При оформлении в санатории им было предложено дать «Согласие на обработку персональных данных». Уставшие после ночи в поезде, затратившие деньги на билеты, приехавшие на лечение инвалиды были вынуждены дать такое согласие, поскольку препирательство, а возможно и отказ в путевке перенести для них было невозможно. По возвращении домой они проверили на сайте Роскомнадзора, включен ли данный санаторий в реестр операторов, осуществляющих сбор и обработку персональных данных. Оказалось, что санаторий не включен в реестр операторов, вследствие чего сбор персональных данных является незаконным. Вызывает серьезные сомнения и то, что указанный санаторий выполняет требования статьи 19 ФЗ-№152 «О персональных данных» по обеспечению защиты персональных данных. Для восстановления своих прав гражданам необходимо обратиться в Роскомнадзор с заявлением о проверке организации, получающей согласие на обработку персональных данных граждан с нарушением закона и отозвать свое согласие.
Не нужно считать такие действия бесполезными. В соответствии с ч.7 статьи 23 ФЗ-№152 Роскомнадзор предоставляет ежегодный отчет о своей деятельности.
Из отчета Роскомнадзора за 2012 год видно, что случаи нарушения операторами законодательства в сфере защиты персональных данных не остаются без последствий. В обзоре мы приводим несколько типичных фактов нарушений, за которые операторы понесли наказание. Эта информация опубликована в Отчете о деятельности по защите прав субъектов персональных данных за 2012 год.
КУДА ОБРАТИТЬСЯ ЗА ЗАЩИТОЙ?
Статья 23 ФЗ-№152 возлагает обязанность защиты интересов граждан на уполномоченные органы, которые обязаны выполнять целый комплекс действий по контролю за работой операторов.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
В числе других мер Уполномоченный орган по защите прав субъектов персональных данных имеет право:
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
(в ред. Федерального закона от 25.07.2011 №261-ФЗ)
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов.
Как видно из приведенных положений ФЗ-№152, Уполномоченный орган по защите наших прав наделен широкими правами и имеет комплекс обязанностей по контролю за деятельностью операторов.
Поэтому, прежде чем дать согласие на обработку своих персональных данных тому или другому оператору, гражданину имеет смысл обратиться в федеральный уполномоченный орган для выяснения вопроса обеспечения необходимых по закону правовых, организационных и технических мер защиты своих персональных данных конкретным оператором.
ОБЕСПЕЧИВАЕТ ЛИ ЗАЩИТУ ПЕРСОНАЛЬНЫХ
ДАННЫХ КОНКРЕТНЫЙ ОПЕРАТОР?
В случае дачи «Согласия на обработку своих персональных данных», человек должен быть уверен в том, что оператором выполняются все требования закона и интересам гражданина не будет нанесен какой-либо ущерб. Гражданину важно знать, обеспечивается ли защита его персональных данных. Для ответа на этот вопрос следует внимательно изучить разделы ФЗ-№152, касающиеся обязанностей операторов по защите наших персональных данных.
В 2009 году в ФЗ-№152 «О персональных данных» были внесены изменения, отменившие обязанность операторов по криптографической защите персональных данных. Это означает снятие шифровальной защиты персональных данных.
В большинстве случаев, получая наши «согласия», операторы не принимают никакой ответственности за безопасность наших персональных данных и не дают гарантий от неправомерного доступа к ним и незаконного использования.
Обязанности по защите наших данных у операторов есть и мы должны их знать и уметь требовать соблюдения закона. При отсутствии гарантий безопасности персональных данных требование их предоставления является незаконным. Давайте попробуем изучить положения федерального закона №152 об обязанностях оператора.
В соответствии со статьей 19 ФЗ-№152 «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Меры по обеспечению безопасности персональных данных указаны в той же статье 19 ФЗ-№152 и требования закона к операторам достаточно жесткие.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
(в ред. Федерального закона от 25.07.2011 №261-ФЗ)
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
В нарушение закона практически во всех бланках «Согласия на обработку персональных данных» отсутствуют какие-либо обязательства оператора по обеспечению мер защиты персональных данных. Гражданам не предоставляется никаких сведений о защите их персональной информации, предусмотренных статьей 19 ФЗ-№152.
Это свидетельствует о том, что операторы не выполняют закон, получая персональные данные граждан, не обеспечивают их безопасность. Таким образом, это дает основания гражданам отказываться от дачи «Согласия на обработку персональных данных».
Окончание см. на стр. 14