Гаев Андрей Анатольевич
директор Национального центра защиты персональных данных
В Национальном центре защиты персональных данных (далее — Центр) прошел день открытых дверей. Директор Центра А.А.Гаев в рамках брифинга для СМИ и интернет-ресурсов рассказал, с какими вопросами и жалобами чаще всего обращаются граждане, какие возникают проблемы в сфере оборота персональных данных, какие с ними связаны утечки и риски, какая работа проводится с операторами.
1. Проверки и профилактические мероприятия
Государство создало все условия для защиты персональных данных. Однако госорганы не могут подменить оператора в организации мер по обеспечению защиты персональных данных. Поэтому обращаем внимание, что принятие конкретных мер по обеспечению комплексной защиты персональных данных, в том числе по их технической и криптографической защите, лежит непосредственно на операторе.
Центр в 2023 г. провел более 80 проверок, в том числе 8 плановых, 5 внеплановых проверок и более 50 интернет-ресурсов. По итогам большинства проверочных мероприятий были выявлены нарушения, в связи с чем Центр указал проверяемым операторам на необходимость их устранения.
Тем не менее, учитывая, что создание системы защиты персональных данных достаточно сложный процесс, который растянут во времени, мы не всегда готовы афишировать, какие выявлены нарушения (в том числе уязвимости информационных ресурсов, в которых содержатся персональные данные) у тех или иных операторов, чтобы не привлекать внимание злоумышленников.
Центр продолжает работу по удалению незаконно обрабатываемых персональных данных. Так, за 2023 г. удалено около 100 000 уникальных записей о субъектах персональных данных.
Пример
В целях возврата денежных средств за приобретенные билеты на отмененный концерт организатор массового мероприятия истребовал у граждан копии паспортов, которые было нужно прикрепить к заявлению. По итогам проведения проверки удалено примерно 1270 листов документов, удостоверяющих личность.
Но проверки не являются единственным и главным направлением деятельности Центра.
Основное внимание уделяется предупреждению возможных нарушений, минимизации причин и условий, которые создавали бы возможности для нарушений прав субъектов персональных данных в будущем.
Для этого Центр готовит методологические разъяснения по вопросам наилучшей защиты персональных данных, а также проводит обучение представителей операторов; при выявлении нарушений у конкретного оператора в определенной сфере мы стремимся довести информацию о возможных рисках и мерах, которые необходимо принять, до иных организаций из этой сферы, публикуем информацию о типичных нарушениях в сфере защиты персональных данных, ведем иную профилактическую работу.
Все нарабатываемые Центром документы и материалы доступны на его сайте и в телеграм-канале.
2. Обучение в Центре
Отдельные операторы ограничиваются направлением на обучение в Центр исключительно работников, ответственных за осуществление внутреннего контроля за обработкой персональных данных.
Несмотря на формальное исполнение требований законодательства в таком случае, Центр рекомендует направлять на обучение лиц, которые отвечают за внедрение новых бизнес-процессов, продуктов, а также работников, осуществляющих масштабную обработку персональных данных.
Объясняется это тем, что в большинстве своем внедрение операторами новых инициатив осуществляется без проведения их предварительного аудита специалистами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а собственных знаний руководителей, ответственных за внедрение продукта, недостаточно. В результате исполнение требований Центра об устранении нарушений законодательства о персональных данных сопряжено с корректировкой, а в ряде случаев и с концептуальной переработкой бизнес-процессов.
К сожалению, вынуждены констатировать, что механизм самостоятельного обучения операторами лиц, осуществляющих обработку персональных данных, малоэффективен. Результаты проверок показывают, что во многих организациях такие работники, несмотря на формальное подтверждение прохождения обучения, абсолютно не ориентируются в требованиях законодательства, не понимают своих обязанностей по защите персональных данных и др.
Пример
Организация строила свою бизнес-модель на монетизации персональных данных, показывая рекламу в личных кабинетах пользователей без их согласия. На вырученные от незаконного показа рекламы средства и функционировал сервис. Требование Центра, которое в силу правовых норм заключалось в получении согласия на обработку персональных данных в целях показа рекламы, по словам сотрудников организации, приведет к падению доходов и, как следствие, к закрытию бизнеса.
Ввиду указанного направление на обучение руководителей структурных подразделений (их заместителей) поможет избежать ошибок на этапе внедрения новых идей.
Мы отмечаем эволюцию проблем, которые интересуют граждан и организации. Если в первое время большинство поднимаемых вопросов было связано преимущественно с общей методологией применения Закона о защите персональных данных (например, правовые основания обработки персональных данных, сфера действия Закона), а также с самим понятием персональных данных, то сейчас всех интересует применение Закона в узких ситуациях с учетом конкретных бизнес-моделей (например, расчет и продажа скорингового балла, использование видеонаблюдения с функцией распознавания лиц, порядок привлечения уполномоченных лиц из государств, на территории которых не обеспечивается надлежащий уровень защиты персональных данных, и т.д.).
3. Нарушения в сфере персональных данных
Пример
В Центр обратились две заявительницы, которые указали на незаконное распространение их персональных данных ИП на своем сайте в интернете. Центр, разобравшись в ситуации, вынес требование об удалении незаконно распространенных персональных данных. При этом, давая оценку действиям ИП, Центр обратил внимание на незаконную деятельность в сфере информационных технологий, которую тот рекламировал на своем сайте. Поскольку такая деятельность содержала признаки противоправности, Центр проинформировал о ней органы внутренних дел. Они дали правовую оценку и приняли решение о возбуждении уголовного дела.
Достаточно много обращений поступает по вопросам правомерности установки камер на рабочем месте. В большинстве рассмотренных случаев Центром указано на несоответствие законодательству видеосъемки работника. Более того, не всегда наниматель, устанавливая камеру, преследует правомерный интерес. В этом плане показателен следующий пример.
Пример
В кабинете одного из офисных работников установили видеокамеру якобы для обеспечения производственно-технологической, исполнительской и трудовой дисциплины.
Центр, изучив ситуацию, отметил, что с учетом нормативного регулирования, трудовой функции работника, иных обстоятельств установка видеокамеры для обеспечения работником дисциплины не требовалась, и указал на необходимость исключения видеонаблюдения.
Центр обращает внимание, что видеонаблюдение предоставляет обширные возможности для контроля за поведением субъекта персональных данных. Такие сведения могут быть использованы нанимателем для давления на работника либо коллегами для высмеивания, сплетен, жалоб руководству.
В целом применение видеонаблюдения нанимателем должно являться исключением, а не правилом. Так, в процессе трудовой деятельности работников видеонаблюдение может применяться лишь ввиду специфики выполняемой трудовой функции, включая особенности отдельных видов работ, связанных с обеспечением сохранности и обслуживанием материальных ценностей (например, работа с драгоценными металлами, работа кассира в банковских и небанковских кредитно-финансовых организациях, кассиров торгового зала, работников почтового отделения и т.д.), с наличием высокой степени рисков, обусловленных условиями труда, непрерывным обслуживанием населения и т.д.
Пример
В Центр поступила жалоба на интернет-магазин. Отказ субъекта персональных данных предоставить контактные данные работодателя и коллег повлек отказ в продаже мобильного телефона в рассрочку. В ходе рассмотрения жалобы было установлено, что такие данные использовались оператором для проверки информации о месте работы покупателя посредством телефонных звонков.
Действия, подобные указанным в примере, не приводят к получению документально подтвержденной информации о доходах субъекта персональных данных и осуществляемой им трудовой (служебной) деятельности, а также предусматривают раскрытие нанимателю (коллегам) сведений о планируемом приобретении субъектом персональных данных товара в рассрочку.
Кроме того, не усматриваются правовые основания для получения от клиента персональных данных иных лиц, так же как и для предоставления такой информации нанимателем по телефону.
С учетом этого оператору было поручено исключить такую практику и использовать иные предусмотренные законодательством источники информации (Кредитный регистр, Реестр индивидуальных лицевых счетов застрахованных лиц в системе индивидуального (персонифицированного) учета в системе государственного социального страхования).
4. Обращения и жалобы граждан
С января по август 2023 г. в Центр обратилось около 1000 граждан и организаций по различным вопросам применения законодательства о персональных данных, в том числе с жалобами (более 100) на нарушение прав, свобод и законных интересов субъектов персональных данных. Отметим, что такое же количество обращений от граждан и юридических лиц поступило за весь 2022 год.
Граждане активно пользуются своим правом обжалования в Центр действий организаций по обработке их личных сведений. Можно выделить следующие основные сферы (направления), по которым больше всего поступает жалоб от граждан.
1. Значительная часть жалоб (около третьей части от общего количества) связана с деятельностью организаций собственников (садоводческие товарищества, товарищества собственников, жилищно-строительные, дачные потребительские кооперативы и т.д.). В таких обращениях граждане обжалуют действия этих структур в части незаконного размещения ими информации о задолженности по уплате членских взносов (например, на информационных стендах, подъездах, столбах), а также в части распространения иных персональных данных граждан без их согласия в интернете, чатах различных мессенджеров.
2. Также весьма распространенными являются жалобы в сфере торговли, а именно в отношении обработки личной информации организациями торговли, интернет-магазинами. Граждане сообщают о незаконном распространении рекламы посредством телефонной связи или электронной почты без их согласия (так называемые холодные звонки), об утечке персональных данных, их избыточной обработке в основном при реализации программ лояльности (например, сбор копий документов, истребование данных о членах семьи).
3. Около 10 % поступивших жалоб касаются использования системы видеонаблюдения. В основном граждане сообщали о фактах незаконного видеонаблюдения со стороны нанимателей на рабочих местах либо в местах, предназначенных для личных нужд (комната отдыха, приема пищи и т.д.). Аналогичные жалобы поступали в отношении учреждений образования и здравоохранения (например, видеосъемка велась в кабинетах, предназначенных для приема и осмотра пациентов).
4. Нередко гражданами поднимается проблема незаконного распространения физическими лицами персональных данных в интернете (например, публикация фотографий третьих лиц без их согласия в социальных сетях).
5. Немало поступает вопросов при обработке персональных данных в сфере образования. Прежде всего учреждения образования и законные представители не всегда правильно разделяют, в каких случаях необходимо согласие на обработку персональных данных для тех или иных целей, а где правовым основанием будет реализация учреждением образования своих обязанностей, предусмотренных законодательными актами (например, размещение списков обучающихся, зачисленных для получения образования).
Центр активно реагирует на выявленные нарушения операторов при обработке персональных данных и принимает меры по защите нарушенных прав, свобод и законных интересов граждан. Так, Центр по каждой обоснованной жалобе выносит операторам требование изменить, блокировать или удалить недостоверные или полученные незаконным путем персональные данные. В отдельных случаях направляет материал в правоохранительные органы для привлечения виновных к ответственности.
