Держи свой код на замке

Версия для печати

14 мая 2009 года

Недавно в челябинских СМИ прошла информация о том, что женщина через суд добилась возмещения морального вреда от финансовой структуры, у которой она безуспешно попыталась получить кредит.

К неожиданности челябинки её персональные данные попали в коллекторское агентство. Несколько месяцев её атаковали по телефону и с помощью SMS-сообщений с требованиями погасить кредит, которого не было.

Во время судебных разбирательств выяснились интересные детали: согласия на обработку и хранение своих персональных данных женщина не давала, а информация попала в коллекторское агентство вследствие компьютерной ошибки.

Ситуация, согласитесь, неприятная, но в последнее время нередко встречающаяся. Как защитить свои персональные данные от недобросовестного обращения? Зачем в магазине при оформлении кредита спрашивают девичью фамилию матери или наличие поездок за границу?

Кто и как контролирует организации, занимающиеся сбором и обработкой персональных данных? Об этом наш разговор с заместителем руководителя управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по Челябинской области Алексеем УШАКОВЫМ.

Внимание: вас сканируют!

— Алексей Николаевич, давайте уточним, что относится к персональным данным?

— Персональные данные — это не просто фамилия, имя, отчество, а ещё какие-то сведения, любая информация, которая поможет идентифицировать человека.

Например, цвет глаз, адрес, семейное положение, доходы и множество другой информации. Персональные данные являются конфиденциальными. Без нашего согласия они могут рассматриваться, распространяться и обрабатываться только в определённых законом случаях.

— Каких, например?

— Когда речь идёт о жизни и здоровье человека, "скорая помощь" выясняет фамилию, адрес, возраст пациента и передаёт эти данные в больницу. Или для исполнения договора купли-продажи.

Например, вы покупаете в магазине вещь и оставляете свой адрес продавцу для доставки товара на дом. На это вашего письменного согласия не требуется. Но часто вот что происходит: наш адрес и телефон мы сообщаем магазину, а тот передаёт их фирме-доставщику.

Наши персональные данные обрабатываются уже другим лицом. А это должно быть сделано только с нашего согласия, как правило письменного.

— Если фирма передаёт информацию о должнике коллекторскому агентству, она тоже должна получить согласие клиента?

— Конечно. Если финансовая структура намерена предоставить сведения о должнике коллекторскому агентству, возникает другой способ обработки персональных данных.

Банк, предвидя такие ситуации, должен в договоре обязательно предусмотреть согласие клиента на передачу его данных третьим лицам. Это будет честно по отношению к клиенту. Просто взять и передать персональные данные — это незаконно.

— Меня, по правде говоря, удивляет, какое обилие информации хотят узнать фирмы о своих клиентах. Недавно я хотела оформить в магазине кредит. И у меня запросили просто ворох сведений: об имуществе, близких и дальних родственниках, месте работы, доходах, загранпоездках и многом другом. Сделали копию паспорта и мою фотографию. Словом, составили на меня полное досье. Для чего такие подробности, если нет гарантии, что кредит дадут?

— Смотрите, сколько нарушений допущено: у вас взяли данные без вашего разрешения, не имея с вами никакого договора. Куда-то их отправили, то есть передали другому лицу. Вам, наверное, это было просто неприятно.

А кроме того, тревожно за будущее. Запросили явно избыточную информацию: зачем, например, делать фотографию, когда можно на месте убедиться, что вы — это вы, заглянув в паспорт?

При отказе в выдаче кредита они должны были обезличить ваши данные. В вашем случае можно обратиться с запросом в банк, хранятся ли эти данные до сих пор. И потребовать их уничтожения.

— А где гарантия, что персональные данные действительно уничтожат?

— На самом деле в наш компьютерный век сложно быть уверенным, что данные никуда не "спрячут". Остаётся надеяться, что такие структуры действуют законопослушно.

К сожалению, пока нет суровых штрафов за нарушения в этой сфере. Есть лишь гражданская ответственность, небольшие штрафы. Правда, может пострадать репутация фирмы, привлечённой к ответственности.

Доверяй, но проверяй

— Бывает так: человек вдруг обнаружил, что сведения о нём используются без его ведома и согласия. Куда обращаться? В правоохранительные органы?

— Можно обратиться в нашу службу. Мы являемся органом, уполномоченным защищать права субъектов персональных данных. Можем, например, провести проверку организации, занимающейся сбором и обработкой персональных данных.

Наглядный пример: в конце прошлого года к нам обратился челябинец, который заключил договор на услуги сотовой связи в салоне "Евросеть". У него сделали ксерокопию паспорта, и он справедливо полагал, что это ненужная процедура.

После нашего вмешательства ксерокопий в "Евросети" больше не делают. Мы не только пресекаем какие-то нарушения, но и ведём разъяснительную работу. Сейчас государство прилагает большие усилия для защиты бизнеса от госпроверок.

Мы не можем просто прийти в фирму и спросить: "А как у вас обрабатываются персональные данные?" Обращения граждан дают нам право на проверку. Жалоб пока немного, но это только потому, что люди не знают о своих правах, хотя многие возмущены тем, что персональные данные распространяются налево и направо.

— Бывает: откроешь почтовый ящик, а там реклама, обращённая лично ко мне. Значит, кто-то узнал мои данные. Откуда, спрашивается?

— Очень хороший пример. Есть все основания спросить у этой фирмы, откуда они взяли сведения о вас. Более того, можно потребовать удалить их из базы данных. Такие факты могут послужить основанием для нашего вмешательства.

— Какие обязанности у фирм, занимающихся сбором персональных данных? Можно, конечно, списать утечку сведений на случайность или компьютерный сбой. Но кто-то должен отвечать за техническую защиту информации?

— Это серьёзный вопрос. С 1 января 2010 года в полном объёме выходят требования к защищённости информационных систем. До этого срока все информационные системы должны быть приведены в соответствие с требованиями закона. Это очень дорого, связано с сертификацией, лицензированием деятельности. Однако делать это придётся неизбежно.

После 1 января будут организованы совместные проверки Федеральной службы по техническому и экспертному контролю, Федеральной службы безопасности и Роскомнадзора. Нарушителей привлекут к ответственности. Так что требования к защите информации будут очень строгими.

— А как сейчас убедиться в том, что магазин, банк или ЖЭК правильно и законно работают с нашими персональными данными?

— Закон предусматривает уведомление государства об обработке персональных данных. Уведомление — документ, который направляется в Роскомнадзор от организаций и предпринимателей, занимающихся сбором и обработкой персональных данных.

В нём перечисляются основания, методы, способы и сроки обработки такой информации. В частности, рассматривая ваш случай с кредитом, банк должен был направить вам уведомление, где перечислил бы, какие именно данные он обрабатывает.

И мы бы по крайней мере поинтересовались, зачем нужны фотографии при оформлении кредита. В общем, уведомление — это некая декларация о законности действий. К сожалению, наша сфера деятельности распространяется только на те организации, которые зарегистрированы в Челябинской области.

Это не очень хорошо с точки зрения потребителей. У нас много сетевых магазинов, организаций, у которых головные предприятия зарегистрированы в Москве или другом городе. Мы не можем привлечь к ответственности отдельный филиал.

Но возможно инициирование проверки всей структуры в целом. Это некая неувязка, но, думаю, она будет в ближайшее время исправлена.

— Много ли фирм уже направили вам свои уведомления?

— Работа идёт. Мы активно взаимодействуем с муниципальными учреждениями, местным самоуправлением, государственными органами власти, банками, поликлиниками, больницами. Очень мало уведомлений от учреждений образования, несмотря на то что в министерство образования и науки неоднократно направлялись разъяснения.

А ведь в школах, вузах, детских садах хранится множество персональных данных не только о детях, но и о родителях. К сожалению, в штыки восприняли это требование многие туристические агентства. Видимо, от непонимания.

Из рук вон плохо обстоит дело с жилищно-эксплуатационными конторами. Только пять ЖЭУ подали нам уведомления. Мало того, они крайне инертно выполняют свои обязанности. Наглядный пример, притча во языцех — паспортные столы. Как там хранятся персональные данные? Зачастую — в обыкновенных деревянных ящиках, без замков.

— А сколько случаев утечки информации об одиноких стариках, асоциальных гражданах…

— Это всё оттуда идёт, от незащищённости персональных данных. Беспечностью и недобросовестностью отдельных сотрудников ЖЭУ пользуются чёрные риэлтеры.

К сожалению, мы не можем сами принять меры административного воздействия в виде штрафов, предупреждений. Действуем только через прокуратуру. Говорят, что уже есть законопроекты, которые поправят эту ситуацию.

— Ваши проверки дали какие-то результаты?

— Сейчас мы проверяем операторов связи на правильность обработки ими персональных данных. Это актуально и вызывает большой общественный интерес. Всем известно, что базы данных сотовых операторов нередко куда-то исчезают и где-то всплывают.

Мы не нашли злого умысла в деятельности этих организаций. Но есть недочёты в работе, из-за которых происходит утечка информации. Это, как правило, неосведомлённость персонала, который не знает требований закона и степени ответственности за свою работу.

Интернет — "чёрный ящик"

— Часто мы добровольно распространяем сведения о себе, например в Интернете…

— Согласен. Очень показательны в этом отношении социальные сети типа "Одноклассников", "В контакте". Здесь мы оставляем о себе массу сведений.

Информационные системы в Интернете, как ни крути, должны соответствовать требованиям закона и по организации сбора персональных данных, и по своей защищённости.

Подразумевается, что раз мы сами разместили свои персональные данные, то дали на это своё согласие. Организаторы сетей и модераторы не предупреждают пользователей о риске, возникающем при сообщении персональных данных.

Кроме того, они должны взять на себя ответственность за защиту этой информации и обязательства не передавать её третьим лицам. Ведь персональные данные хранятся в базе обобщённо и могут в этом виде представлять для кого-то интерес.

— Получается: Интернет — это неорганизованная стихия?

— Напротив, это жесточайшим образом иерархированная структура. Но для пользователей это "чёрный ящик". Есть машины, которые обрабатывают информацию, есть система доменных имён, которая находится за пределами нашей страны.

Пользователи хранят в сетях много информации — это стало рабочим инструментом. Но есть проблемы с точки зрения информационной безопасности. Это тема для отдельного разговора.

Не говорите лишнего

Когда у вас спрашивают фамилию, имя, отчество — это первый сигнал, чтобы задуматься, для чего вы сообщаете сведения о себе. При совершении покупки в магазине нет необходимости называть ФИО — это не предусмотрено законом.

Если у вас запрашивают совершенно парадоксальную информацию, например как зовут вашу тёщу, — это должно насторожить. Избыточные вопросы, подозрения, что ваши персональные данные используются недобросовестным образом, хранятся ненадёжно, дают основание обратиться в управление Роскомнадзора по Челябинской области по адресу: ул. Цвиллинга, 22, телефон 263-91-09, http://74.rsoc.ru.

 

Вечерний Челябинск, 13.05.09
Время публикации: 17.08.2009 18:54
Последнее изменение: 15.09.2009 14:05