14 марта 2011 года
Сергей СИТНИКОВ: «Ценностью являются не сами персональные данные, а право человека на их защиту».
Сергей Константинович Ситников уже более двух лет возглавляет Роскомнадзор, который является Уполномоченным органом по защите прав субъектов персональных данных в Российской Федерации. Именно в этот период возглавляемая им Служба практически с нуля выстраивала систему защиты прав наших граждан в сфере личной, конфиденциальной информации. Об этой системе, о культуре приватности, о законодательстве и о многом другом – в интервью с руководителем Роскомнадзора.
- Сергей Константинович, как бы Вы оценили в целом результаты деятельности Уполномоченного органа за последние два года? Все ли намеченное удалось реализовать? Удалось ли выстроить четкую систему защиты прав субъектов персональных данных?
- Говорить о том, что за два года полностью удалось выстроить систему, еще рано. Особенно в условиях, когда идут дискуссии о законе, когда в нем принимаются изменения и поправки. То, что она складывается, постепенно, это правда. Самый серьезный импульс, как я считаю, был дан в начале 2009 года, когда мы опубликовали первый отчет о деятельности в качестве Уполномоченного органа по защите прав субъектов персональных данных. В этот же период был назначен заместитель руководителя Службы (Р. Шередин, - прим. ред.), который, собственно, и должен был заниматься вопросами персональных данных. Профильное Управление к этому времени уже существовало. Работа начала приобретать более системный, и что очень важно, публичный характер. В связи с этим стало поступать большое количество обращений от граждан.
Когда начинаешь публично работать, говорить о том, что ты делаешь, как делаешь, какие задачи решаешь, растет количество обращений и, следовательно, растет ответственность перед государством и обществом. Люди начинают более активно и системно заниматься этими вопросами.
Но повторюсь: говорить о том, что уже сложилась целостная система, еще рано.
- Можете назвать конкретные причины, почему?
- Причин несколько. Во-первых, система складывается (если мы говорим о системе, как о некоем правовом поле) тогда, когда к этому готово, прежде всего, общество. Уже потом – государство и операторы, которые занимаются обработкой персональных данных. Не скрою, у нас было много проблем с Федеральным законом «О персональных данных», да и вообще с ситуацией, связанной с обработкой и защитой персональных данных. Самая большая из них – это наша ментальность в части защиты собственных персональных данных. Проблема из проблем – менталитет советских людей, которые просто привыкли к тому, что у них постоянно спрашивают паспорт, куда бы они ни пришли, требуют заполнять разного рода анкеты с указанием персональных данных. Поэтому наше общество сейчас находится на той стадии, когда информация о гражданине не отождествляется в сознании людей с некоей ценностью.
Конечно, сегодня это понимание постепенно приходит в нашу жизнь. В первую очередь, в отношении той части общества, которая весьма активно занимается бизнесом. В этой сфере люди прекрасно понимают, что их персональные данные являются ценностью, а их разглашение – большой опасностью. Это сегодня начинают понимать, например, люди, которые получили недвижимость в ходе приватизации. Они осознают, что их собственности может быть причинен реальный ущерб. Собственность надо защищать, а, следовательно, нужно оберегать и информацию о ней.
К этому, наконец, толкает то, что за последнее время возникло значительное количество конфликтов, связанных с передачей личной информации от одного оператора персональных данных другому. Зачастую при этом нарушаются реальные интересы гражданина. Например, в ситуациях, связанных с работой коллекторских агентств, в ситуациях, связанных с взаимоотношениями между отдельными банками, в ситуациях, связанных с жилищно-коммунальным хозяйством. Я думаю, это еще одна из причин увеличения количества обращений в Уполномоченный орган, что свидетельствует о росте востребованности системной и четкой работы в сфере защиты персональных данных.
- Практика исполнения законодательства о персональных данных выявила ряд проблемных вопросов. Но требования о пересмотре отдельных положений закона мы чаще слышим от представителей бизнеса, от общественных организаций, объединяющих представителей бизнеса. Какова позиция Роскомнадзора по этому вопросу? Какие усовершенствования, на взгляд регулятора, необходимо внести в законодательство? В целом, в каком направлении, на Ваш взгляд, должен совершенствоваться механизм защиты персональных данных в Российской Федерации?
- Прежде всего, как мне представляется, закон, в большей степени должен быть не о защите персональных данных как таковых, не о защите информационных систем, баз данных. Сама философия закона требует несколько другого осмысления, несколько другого взгляда. Потому что на самом деле ценностью являются не массивы информации с персональными данными, а право человека на защиту своей личной информации.
Следующая позиция, которая вызывала у нас некоторое опасение с точки зрения реализации на практике. Это вопрос, как защищать. Дискуссий было много. Абсолютно понятно, что в информационном обществе, когда электронные носители все в большей степени начинают заменять бумажные, очень многие стали задумываться о том, что необходимо надлежащим образом защитить информационные системы. Требования, которые к этой защите предъявлялись, на наш взгляд, достаточно жесткие, я бы даже сказал, суровые. Во многом и для многих организаций они были неподъемные. И поэтому мы достаточно долго дискутировали о том, что необходимо отрабатывать механизмы, при которых небольшие, но грамотные затраты, могут обеспечить надлежащую защиту информации. Для этого вовсе не нужно придумывать сложнейшие системы защиты. Зачастую все, что требуется – выполнить ряд административных требований, которые позволят решить эти вопросы.
- Например?
Например, защита персональных данных в муниципальных учреждениях. Если в Москве многие вопросы в этой области решены, то о регионах, даже о Московской области, такого, порой, не скажешь. Зайдя едва ли не в первую попавшуюся провинциальную поликлинику, мы видим, что персональные данные никак не защищены. Истории болезни, другие документы – вот они, на виду. Получить их не вызывает трудностей. Зачастую мои коллеги убеждаются в ходе проверок, что у оператора персональных данных не определены лица, ответственные за сохранность этих документов, не определен круг лиц, имеющих право обращаться с этими документами. Поэтому принципиально важно, чтобы операторы персональных данных принимали необходимые меры по их защите, прежде всего, мерами административного характера. А что касается затрат на технические системы защиты, то они не должны быть настолько финансово обременительными, что предприятию становится бессмысленно вести основную деятельность.
- А вам лично приходилось сталкиваться с ситуациями, при которых нарушались ваши права как субъекта персональных данных?
- До того, чтобы мои права нарушались – не доходило, но с ситуациями сталкивался часто. Например, у себя на малой родине, в Костроме. История такая. Прихожу в один из магазинов, покупаю продукты. Мне предлагают оформить дисконтную карту. Выдают анкету, «вот, заполняйте, пожалуйста»: фамилия, имя, отчество, телефон, домашний адрес и так далее. Остановился, говорю: «ребят, а зачем вам это все? Завтра вдруг один из ваших клиентов напишет письмо, с жалобой. К вам придут проверять: направляли ли вы уведомления в Роскомнадзор как оператор персональных данных, насколько обоснованно вы собираете личную информацию граждан, как она хранится, приняты ли все необходимые административные меры для безопасного хранения конфиденциальной информации о гражданах. Вопросов будет много. Зачем вам все это надо? Если вы хотите на сегодняшний день работать адресно – пожалуйста, по телефону – да бог с вами. Зачем вам нужно ФИО и домашний адрес, другая личная информация?»
- Наверное, чтобы быть к своему клиенту как можно ближе…
- Я подсказал им самую простую идею: дать каждому своему клиенту то имя, которое он себе сам придумал. Захотел он называться мишкой косолапым или лисичкой – ну пусть так и называется. Вот и все. Если кроме этой «лисички» и номера телефона у магазина ничего нет – и спроса с него никакого не будет. А вообще, подобных вещей много. И связано это с незнанием закона, с одной стороны, а с другой, с тем, что многие еще не воспринимают личную информацию, персональные данные как ценность, которую необходимо оберегать.
- Действительно, исторически сложилось, что в нашей стране защите частной жизни, защите личной, конфиденциальной информации долгое время не уделялось практически никакого внимания. Ситуация стала исправляться только последние годы. Что, на Ваш взгляд, надо делать, чтобы привить в нашем обществе культуру privacy – как у представителей власти, так и у граждан?
- У нас чужие уроки, как правило, тяжело усваиваются, чаще всего усваиваются свои. Поэтому ситуации, в которые люди в том или ином порядке будут попадать, конечно, будут воспитывать. И самого гражданина, и его окружение, родственников. Рост обращений граждан в уполномоченный орган реально показывает, что изменения в сознании людей происходит. Правда, зачастую происходят они не с точки зрения разума, понимания философии этой проблемы, а, как правило, только тогда, когда человек попадает в сложную ситуацию. Конечно, это беспокоит, настораживает. Институты, которые сегодня напрямую выходят на граждан – СМИ, общественные организации, - в должной мере пока свою роль не сыграли. Хотя мы видим, что сегодня частенько и в средствах массовой информации начинают эти вещи регулировать, публикуются рекомендации, ответы на часто задаваемые вопросы. Как правило, в определенных случаях рекомендуют обращаться в суд, а еще лучше – в Роскомнадзор, чтобы там проверили, насколько законно обрабатываются персональные данные субъекта. Если будет еще и решение Роскомнадзора, то на суде позиция истца будет очень сильной.
Одним словом, движение в правильном направлении началось.
- Это не может не радовать. А как вы считаете, сколько времени должно пройти, чтобы культура приватности в нашей стране дотянулась до европейского уровня?
- Я думаю, сравнительно немного. Во всяком случае, у той категории граждан, которые тем или иным образом вовлечены в серьезные экономические отношения, собственники, у которых реально возникают угрозы, в том числе, в отношении их собственности. Убежден, что в ближайшие годы они поймут, что персональные данные – это то, что надо беречь. Я думаю, что речь идет о сроке в 5-6 лет.
- То есть, через 5-6 лет наше общество будет хорошо осведомлено о ценность персональных данных, о том, что их надо оберегать?
- Думаю, да. Дело в том, что оперирование персональными данными сегодня стало для некоторых организаций серьезных бизнесом. Причем речь идет и о ситуациях чисто экономических, но и политических. К нам поступали жалобы на то, что отдельные политические объединения или отдельные кандидаты в депутаты на региональных выборах злоупотребляли информацией по персональным данным. Понятно, что имея базу данных с фамилиями, адресами, другой личной информацией можно целенаправленно рассылать агитационные материалы, обращения, то есть влиять самым серьезным образом на избирателей. Далеко не всем гражданам это понравится. Противоправное использование персональных данных будет рождать мощное противодействие со стороны тех, чьи интересы пострадали. Соответственно, будет меняться ментальность людей. Судя по взрывному росту количества обращений в Роскомнадзор, а их в 2010 году поступило в 4 раза больше, чем в 2009-м, этот процесс не просто начался, а набирает обороты.
Журнал «Персональные данные» 28 февраля 2011 года