Федеральный закон «О персональных данных» за номером 152 был принят еще в 2006 году, однако многие заинтересованные организации до сих пор не изучили документ. Мало того, как ни парадоксально, не все операторы персональных данных знают, о том, что они ими являются.
Согласно закону, к персональным данным относится любая информация о сотруднике или клиенте, от ФИО и ИНН до номера мобильного телефона и адреса. Таким образом, к операторам ПД можно отнести любую организацию, в которой есть отдел кадров.
Чтобы снять назревшие вопросы, в редакции АП по инициативе управления Роскомнадзора по Амурской области прошел круглый стол с участием крупнейших операторов персональных данных — операторов мобильной связи и представителей банков.
— Что касается закона о ПД, то все присутствующие о нем знают, он был принят для того, чтобы избежать утечек информации о клиентах из специализированных учреждений, — взяла слово специалист отдела надзора и контроля в сфере массовых коммуникаций и защиты прав субъектов персональных данных управления Роскомнадзора по Амурской области Любовь Школьник. — Все крупные операторы должны были привести информационные системы в соответствие с законом, однако поскольку это большие вложения, сроки были отодвинуты до января 2011 года. На типовых анкетах для получения кредита, раз уж тут собрались представители банков, должно быть место, где субъект соглашается предоставить свои данные, однако там же должны быть указаны цель и срок использования. Таким образом, без согласия субъекта данные не могут быть переданы третьим лицам. По достижении цели (расчета за кредит) они должны быть уничтожены.
Тем не менее данными о кредитных историях пользуются другие банки, высылая хорошо зарекомендовавшим себя клиентам кредитные карты. Откуда у них эта информация?
— Существует закон о бюро кредитных историй, однако информация туда поступает только с согласия клиента, — продолжает Любовь Анатольевна. — Однако договоры, как правило, составлены так, что, подписываясь под ними, вы уже даете на это согласие. То есть либо подписываешь, либо идешь в другой банк, где ситуация в принципе аналогичная. Хотя закон говорит, что это ваше право, а не обязанность. Наши коллеги в Москве рассказывают об аналогичных прецедентах.
— Если говорить о нашем банке, то при оформлении заявки спрашивается согласие на передачу сведений о кредите в БКИ, и никто человека не может обязать к этому, — не согласился начальник отдела
безопасности благовещенского отделения Сбербанка Виктор Пушкарев. — Отказываются порядка 50 процентов клиентов, но тем не менее кредит они получают.
— Поддержу коллег: на отрицательный результат могут повлиять лишь данные о зарплате, а также просрочки в нашем банке, согласие нужно лишь для автоматического отсева данных, — добавил представитель отдела информационной безопасности Амурского филиала ЗАО «ВТБ-24» Максим Чебатулин.
— У кредитных организаций немного другая проблема, — говорит начальник отдела надзора и контроля в сфере массовых коммуникаций и защиты прав субъектов персональных данных областного Роскомнадзора Иван Полица. — Если есть пункт согласия на обработку персональных данных, чаще всего в нем написано примерно следующее: «Я передаю свои персональные данные безотзывно и безвозмездно». Тем самым закон уже нарушается, поскольку в нем четко прописано, что клиент имеет право данные отозвать.
— В плане передачи данных третьим лицам играет роль и человеческий фактор, — меняет тему Любовь Анатольевна. — Известен случай, когда сотрудник одного из банков переходил на работу в другой, где ему поставили условие — принести клиентскую базу с прежнего места работы. Он принес, базу взяли, а на работу его не приняли. Думаю, все здесь заинтересованы в том, чтобы информация эта налево не уходила.
Защита персональных данных
А каким образом осуществляется контроль за сохранностью информации о клиентах? Новый сотрудник может получить доступ к любым данным?
— У нас меры защиты принимались еще задолго до принятия соответствующего закона, — говорит старший специалист по безопасности Амурского филиала «МТС» Денис Привизенцев. — У нас применяются и технические, и организационные мероприятия. В зависимости от классификации информационных систем применяется различный доступ. Если это система, скажем, третьего уровня, применяется пароль, если сложнее — дополнительный контроль доступа.
— В нашем банке, прежде всего, ведется очень жесткий отбор сотрудников, а поскольку работа в Сбербанке считается престижной, выбор у нас есть, — говорит Виктор Пушкарев. — Есть специальное подразделение, которое проверяет кандидатов на ту или иную должность. Насколько мне известно, в практике благовещенского отделения Сбербанка не было ни одного случая утечки информации.
— Доступ ко всей информации у нас разграничен и персонифицирован, — объясняет начальник сектора защиты информационных технологий отдела безопасности Сбербанка Алексей Голубь. — У каждого свой логин и пароль. Если вы, например, придете к нам работать операционистом, то всю базу данных вы никогда не увидите. Полный доступ есть, наверное, только у администратора сервера. Соответственно, к нему предъявляются самые жесткие требования. К техническим средствам можно отнести и доступ в определенные помещения, который также разграничен. Наша компьютерная сеть защищена от внешнего мира, через Интернет к нам не пробиться. Для связи с внешним миром есть специальные рабочие места, не подключенные к внутренней сети.
— Сама база данных, с которой работают сотрудники, устроена таким образом, что доступ ко всем договорам одновременно вы получить не можете, — говорит директор департамента банковских технологий ОАО «Азиатско-Тихоокеанский банк» Алексей Беляков. — Сотрудник банка может ввести номер договора и получить только одну карточку. Можно увидеть списки только номеров договоров. Остальная информация доступна лишь при открытии карточек.
Работа по жалобам
А много поступает жалоб на несоблюдение 152-го федерального закона?
— В том-то и дело, что как таковых жалоб практически нет, — говорит Иван Полица. — Люди звонят и приходят в основном за разъяснениями норм закона. В основном жалуются на кредитные организации и операторов связи из-за того, что номер телефона стал известен третьим лицам. Мы объясняем, как правильно оформить жалобу официально, чтобы начать проверку, но до дела, как правило, не доходит. Известен случай, когда по городу ходила база телефонных номеров от Дальсвязи, ею, в частности, пользовались судебные приставы, однако жалоб по этому поводу к нам ни от кого не поступало.
— Хотелось бы также отметить, что персональные данные могут утекать не только незаконным путем, есть и вполне легальные способы их получения, — говорит старший специалист по внешним коммуникациям Амурского филиала ОАО «Вымпелком» (бренд «Билайн») Михаил Шамотин. — Эти сведения могут быть предоставлены правоохранительным органам по официальному запросу. А насколько эта информация защищается в дальнейшем, только им и ведомо. Однако подобное сотрудничество не раз помогало предотвратить несчастье или найти преступников.
— Здесь однозначно: никто не против передачи этих данных в соответствии с законом, — поддерживает Иван Полица. — Я, как гражданин, должен быть уверен, что данные из моего договора с сотовым оператором или банком останутся только между нами. В то же время необходимо помнить, что если человек нарушает закон, то его будут искать всеми возможными способами.
Мнения
Наталья Акимова, помощник прокурора Благовещенска:
— Возбуждать дела об административных правонарушениях по фактам передачи персональных данных компетентна лишь прокуратура. Всего за последнее время к нам поступило порядка десяти обращений. По итогам проверки по трем делам виновные были привлечены к ответственности, остальные дела находятся на рассмотрении у мировых судей.
Алексей Беляков, директор департамента банковских технологий ОАО «Азиатско-Тихоокеанский банк»:
— В пору моей работы в компании Дальтелеком (впоследствии — местный филиал Вымпелкома) однажды к нам с улицы попала наша же база телефонных номеров. Было ясно, что ушла она не от нас, а от, скажем так, контролирующего органа, в который мы обязаны предоставлять список своих абонентов.
Ольга Кузнецова, специалист отдела планирования управления
Роскомнадзора по Амурской области:
— К операторам ПД относится любая организация, которая ведет трудовые отношения или отношения с клиентами. По данным Амурстата, таких организаций по области зарегистрировано 37227, из них 23046 — индивидуальные предприниматели. При этом на учете у нас стоят чуть больше 500 организаций.
Иван Полица, начальник отдела защиты прав субъектов персональных данных управления Роскомнадзора по Амурской области:
— У нас есть одна просьба к банкам: прописывайте в анкетах графу о согласии на обработку данных в соответствии с законом. Хотите более обтекаемую формулировку — посоветуйтесь с нашими специалистами. Мы за активное сотрудничество: лучше профилактика, нежели работа с нарушениями.
Кстати
Организаций, которые относятся к операторам персональных данных, согласно сведениям Амурстата, в Приамурье порядка 40 тысяч. Однако на учете в управлении Роскомнадзора по Амурской области их чуть больше 500, говорят специалисты.
Возрастная категория материалов: 18+