Дмитрий Поляничев - руководитель Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Северо-Кавказскому федеральному округу.
- Дмитрий Вячеславович, пожалуйста, давайте для начала уточним базовые понятия. Что такое вообще - персональные данные? Для чего они нужны?
- О том, что это такое, говорится в федеральном законе «О персональных данных» № 152-ФЗ. Это любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу, позволяющая идентифицировать человека. Наверное, немного «тяжеловатое» для восприятия определение, но так говорит Закон.
Конкретного списка персональных данных не существует, и какого-то «эталона» нет. Поэтому любая информация, по которой можно идентифицировать человека – это персональные данные. Ну, Вы сами понимаете: фамилия, имя, отчество, дата и место рождения, место регистрации и паспортные данные, семейное положение, образование, уровень доходов и так далее.
- И насколько в настоящее время актуален вопрос защиты персональной информации? Какие угрозы таят в себе проблемы в этой области?
- Очевидный факт, что сегодня персональные данные представляют собой «конкурентный товар» на рынке. При этом продаже подлежит не только личная информация граждан, но условно и сам субъект персональных данных: в виртуальном мире он может использоваться для продвижения каких-то товаров, работ, услуг, где является потребителем. Поэтому особую обеспокоенность вызывает в этом плане легкомысленность граждан при предоставлении неизвестным лицам своей личной информации.
Зачастую такая неосторожность приводит к нарушению прав на частную, на семейную жизнь. А также может стать поводом для мошеннических действий, что, к сожалению, сегодня очень распространено.
- То есть, это может быть и какая-то компрометирующая человека информация, и сведения, которые принесут ему финансовый вред?
- Конечно. Это может проявляться в любой сфере жизнедеятельности человека. Действительно, в большей степени мы узнаём об этом, когда снимаются деньги с банковских карт граждан, совершаются мошеннические действия с недвижимостью.
- Несоблюдение «информационной гигиены» может привести к серьёзным материальным потерям.
- Именно так.
- Человек – существо социальное, и в социальных взаимоотношениях всегда возникают права и обязанности. Какие права в сфере защиты персональных данных есть у каждого гражданина? И какие обязанности? Какой информацией, например, он должен делиться с работодателем, а какой – не обязательно и вообще нежелательно?
- Если говорить о правах, то гражданин, в первую очередь, имеет право на получение информации, касающейся обработки его персональных данных. В случае выявления фактов их неправомерной обработки, он имеет право обжаловать действия или бездействие оператора, ответственного за такую обработку. Это делается либо в прокуратуре, либо в уполномоченном органе по защите прав субъекта в области персональных данных. Однако прокуратура в своей деятельности не подменяет другие государственные органы, поэтому более целесообразно гражданам обращаться напрямую в Роскомнадзор - как в орган, осуществляющий надзор в данной сфере.
Исходя из действующего законодательства, обязанности в этой области у гражданина могут возникнуть только в том случае, если он осуществляет обработку персональных данных других граждан. Основной обязанностью здесь является соблюдение конфиденциальности. То есть – обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия их субъекта.
- Вы уже упомянули федеральный закон № 152-ФЗ. А какими ещё нормативными документами регулируются взаимоотношения субъектов в этой области?
- Самый главный наш закон – Конституция Российской Федерации, которая однозначно предусматривает защиту прав на неприкосновенность частной и личной жизни, семейной тайны.
До того, как появился закон «О персональных данных», в 2005 году был принят федеральный закон № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Кроме того, есть закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который регламентирует не только персональные данные, но и другие аспекты в области информации.
Есть ещё ряд и других подзаконных актов, которые регламентируют целый ряд взаимоотношений в этой сфере. Законодательство развивается в ногу с научно-техническим прогрессом.
- На Ваш взгляд, правовая база, регулирующая эту сферу, - она достаточна? Или требует какого-то усовершенствования, развития?
- Считаю, что на сегодняшний день правовая база у нас достаточно серьёзная и основательная, для того чтобы сохранить и защитить персональные данные любого гражданина.
Понятно, что иногда мы сталкиваемся с какими-то моментами, которые не оговорены законодательством. Но Вы сами понимаете: всё предусмотреть очень тяжело.
- Да, безусловно.
- Например, в конце прошлого года, 30 декабря, вышел ещё один закон - № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», где предусмотрены уже новые реалии, касающиеся данной сферы. И это нормально. Законодатель реагирует на актуальные запросы времени. Не могу сказать, что очень быстро, но работа такая ведётся.
- Спасибо. И заключительный вопрос, который наверняка интересует пользовательскую аудиторию. Персональные данные и интернет, в частности - социальные сети. Как защитить конфиденциальную информацию от злоумышленников? Какая предусмотрена законом ответственность за использование личных сведений в преступных целях?
- Вы сами упомянули о том, что социальные сети предполагают размещение определённого объёма личной информации. Естественно, нам от этого никуда не уйти. И, вовлекаясь в этот процесс, субъект конечно же при регистрации на каких-то интернет-площадках, сайтах, в социальных сетях предоставляет свои персональные данные. Иногда в избыточном объёме.
Не всегда, например, требуется полностью фамилию-имя-отчество размещать. Или электронный почтовый адрес. То есть, в первую очередь, необходимо соблюдать какие-то элементарные правила, которые могут гарантировать защиту конфиденциальной информации.
- Какие именно?
- Например, правильная настройка профиля в социальной сети. Этому конечно же необходимо уделить повышенное внимание при регистрации на ресурсе. Также нужно создавать более сложные, более защищённые пароли. Понятно, что это не всегда может нас избавить от мошеннических действий, но какой-то «запас прочности» даст.
Ну и следует минимизировать объём информации. То есть, если она второстепенна, то её совершенно нет необходимости размещать. Например, большой объём своих личных фотографий. Фотографии документов, билетов, платёжных документов… Словом, документов, которые могут помочь злоумышленнику идентифицировать личность и воспользоваться персональными данными в своих неблаговидных целях.
Здесь, конечно, нужно ещё раз сослаться на закон № 519-ФЗ, который вступает в силу с 1 марта 2021 года. Им, например, предусмотрено, что молчание или бездействие субъекта не будет считаться согласием на обработку персональных данных. И это, на мой взгляд, существенный момент в плане обеспечения защиты личной информации граждан. Проще говоря, если на какой-то интернет-площадке вы не дали согласия на обработку ваших данных, то она не имеет права делать это «по умолчанию».
А если говорить об ответственности – она обусловлена и уголовным, и административным законодательством. Что же касается Роскомнадзора, мы осуществляем контроль в этой сфере, руководствуясь Кодексом об административных правонарушениях (ст. 13.11 ФЗ «О персональных данных»). Если говорить о суммах, то максимально предусмотренные этой статьёй штрафы для юридических лиц – от 1 до 18 млн рублей. Подчёркиваю: максимальные. Есть и минимальные, конечно. В размерах от 15 тысяч рублей. Штрафы, конечно, существенные.
- А за что же предусмотрены самые максимальные, многомиллионные штрафы?
- Например, за локализацию баз данных вне пределов Российской Федерации. Если вопреки требованиям законодательства персональные данные граждан оператором, обрабатывающим эту информацию, локализуются не в России, а за рубежом.
- Что ж, разумная мера.
- Надеемся, что да.
Справочно: День защиты данных - международный день, который 28 января ежегодно отмечается в 49 странах мира. Целью Дня защиты данных является повышение осведомленности, пропаганда приватности и лучших способов защиты данных.