Интервью заместителя руководителя Роскомнадзора А.А. Приезжевой "Обработка персональных данных должна соответствовать целям, ради которых эта информация была собрана"

0Интервью журналу "Радиочастотный спектр"

 

Расскажите, пожалуйста, когда началась работа над новой стратегией Роскомнадзора в сфере защиты личной информации граждан? Каковы ее ключевые положения?
Антонина Приезжева (А. П.): Формирование стратегии началось с момента моего назначения на должность заместителя руководителя Роскомнадзора. По мере ознакомления с новым для меня объектом контроля стала очевидна необходимость изменения подходов Службы к реализации полномочий в сфере персональных данных (ПД). В новой стратегии отражен комплекс мер, которые включают в себя не только работу контрольного органа, но и оператора, самого субъекта ПД, а также представителей ряда ключевых отраслей. По сути, стратегия представляет собой новые подходы, которые были сформулированы нами к маю 2014 года.
В упрощенном виде можно сказать, что работа в сфере защиты персональных данных будет включать в себя три основных направления: усиление полномочий органа по защите прав субъектов ПД, активное проведение работы по защите данных в сети Интернет, информационно-образовательная деятельность. Безусловно, реализация поставленных целей может занять время, но первые шаги уже предпринимаются. Сейчас мы активно взаимодействуем с представителями интернет-отрасли при решении вопросов защиты данных в Сети. С рядом высших образовательных учреждений прорабатываем вопросы возможных образовательных программ в сфере защиты ПД. Также обсуждаем с Минкомсвязью России реформирование законодательной базы.

Как Вы считаете, в какой степени российское законодательство в сфере защиты прав субъектов персональных данных соответствует вызовам времени?
А. П.: В целом российское законодательство в полной мере устанавливает спектр взаимных прав и обязанностей субъектов и операторов персональных данных. Также законодатель предоставил регулятору инструменты защиты ПД. Однако в настоящее время в большей степени требуется доработка ряда процедурных моментов. Например, необходимо определить порядок приостановления, прекращения и блокирования обработки персональных данных, требуется внести изменения в КоАП РФ, а именно в части установления детализации составов административных правонарушений в этой области персональных данных, увеличить штрафные санкции.

Год назад Россия ратифицировала Конвенцию совета Европы № 108 о защите физических лиц при автоматизированной обработке персональных данных, что повлекло за собой принятие поправок в целый ряд законов РФ. Какие дополнительные обязанности легли на операторов в связи с корректировкой законодательной базы?
А. П.: Поправки коснулись порядка и условий трансграничной передачи данных. Так, Роскомнадзор был наделен полномочиями устанавливать перечень иностранных государств, обеспечивающих адекватную защиту персональных данных. Кроме того, были внесены изменения в Гражданский процессуальный кодекс (ГПК РФ), в результате чего споры в сфере ПД должны находиться под юрисдикцией российских судов. Нововведением для операторов стала обязанность заранее убедиться в том, что иностранное государство, на территорию которого осуществляется передача персональных данных, обеспечивает достойную их защиту.
Перечень стран был установлен приказом Роскомнадзора от 15.03.2013 № 274 и ежегодно обновляется по результатам мониторинга, постоянно проводимого Службой.
В законе также были определены исключительные случаи, которые позволяют осуществить трансграничную передачу данных на территорию государств, которые не обеспечивают адекватную защиту ПД. Это возможно, например, при письменном согласии субъекта персональных данных.

Для чего понадобились исключения?
А. П.: Одним из наиболее распространенных нарушений является именно отсутствие оснований для исключительного направления личной информации на территорию государств, которые не являются членами Конвенции Совета Европы и не входят в перечень, определенный Роскомнадзором. Вообще операторы зачастую принимают общее согласие субъекта ПД на обработку его личной информации в качестве основания для безграничного использования собранных данных. Вместе с тем, в законе четко прописано, что обработка должна соответствовать целям, ради которых информация была собрана. Что касается изменений в ГПК РФ, то здесь на оператора не ложится дополнительная нагрузка.
Эта статья позволяет субъекту ПД обращаться за защитой нарушенных прав в суд Российской Федерации, а не по месту нахождения ответчика - оператора персональных данных. Такое изменение законодательства имеет большое значение, поскольку нарушения в интернете прав субъектов ПД не являются редкостью, при этом ответчики зачастую являются иностранными элементами, и в этом случае защита персональных данных становится крайне затруднительной.
Если обращаться не в российский суд, то рассмотрение дела будет осуществляться по закону страны, где находится ответчик. И здесь начинаются сложности. Во-первых, данное иностранное государство может не обеспечивать тот уровень защиты, который гарантирован субъекту ПД в России. Во-вторых, подача иска будет связана с рядом процессуальных трудностей: в какой конкретно судебный орган иностранного государства обратиться, каковы порядок и правила оформления обращения в данный суд, также понадобится перевод документов и представительство на судебных заседаниях.

Стали ли иностранные регуляторы, регистраторы доменных имен охотнее реагировать на обращения Роскомнадзора об удалении персональных данных российских граждан с сайтов, зарегистрированных на их территориях? Как в целом Вы охарактеризовали бы сегодняшний уровень взаимодействия с иностранными партнерами?
А. П.: В соответствии с законом о персональных данных мы сотрудничаем с органами, уполномоченными на защиту прав субъектов персональных данных в иностранных государствах, с помощью МИДа обмениваемся информацией в этой сфере. Ежегодно Роскомнадзор проводит Международную конференцию по защите ПД, в ноябре этого года она пройдет уже в пятый раз. Мы планируем обсудить наиболее актуальные проблемы и новые тенденции в этой сфере, обменяться опытом в вопросах наиболее эффективных механизмов защиты личной информации.
Но при этом практика взаимодействия с зарубежными регуляторами в вопросах удаления персональных данных в иностранном сегменте интернета практически сведена к нулю. Они не всегда реагируют на запросы об удалении, ссылаясь на некомпетентность в данном вопросе. Иностранные коллеги предлагают напрямую обращаться к регистраторам доменных имен. На практике это оказывается более эффективным механизмом, поскольку часть запросов Роскомнадзора об удалении информации все-таки исполняется. Тем не менее, часто мы сталкиваемся с отсутствием реакции со стороны регуляторов и регистраторов доменных имен, и это, учитывая высокие риски неправомерного использования персональных данных, вызывает обеспокоенность. Мы надеемся на конструктивный диалог с иностранными партнерами в этой сфере и будем стараться наладить взаимодействие.

Каковы типичные нарушения для операторов персональных данных? На что нужно обращать особое внимание, например, операторам связи?
А. П.: В каждом сегменте они свои. Например, зачастую нарушения прав субъектов ПД в банковской сфере осуществляются путем передачи личной информации клиентов финансовых учреждений или их поручителей коллекторским агентствам без соответствующего согласия или иных предусмотренных законодательством оснований. В сфере образования большая часть нарушений - это незаконное размещение списков учащихся в открытом доступе. Для связной отрасли, как и для банковской, характерны утечки персональных данных, но это, скорее, исключения. Они носят разовый характер и относятся к нарушениям правил хранения данных. В целом операторы связи ответственно подходят к защите личной информации клиентов, не стоит забывать, что для них защита ПД является одной из составных частей охраны тайны связи и переписки.

Для повышения оперативности реагирования на нарушения в сфере персональных данных Роскомнадзор инициировал ряд поправок в Федеральный закон № 294-ФЗ , а также в Кодекс РФ об административных правонарушениях. В чем суть этих поправок? На какой стадии рассмотрения они находятся?
А. П.: Эти законопроекты устанавливают возможность проведения Роскомнадзором внеплановых проверок по обращениям граждан о нарушении их прав как субъектов ПД, а также возбуждения дел об административных правонарушениях в области персональных данных. Кроме того, предлагается увеличить санкции за нарушения законодательства в этой сфере.
Принятие законопроектов позволит реализовать необходимую оперативность при принятии Роскомнадзором мер реагирования. В настоящее время они проходят процедуру оценки регулирующего воздействия, а по Плану законопроектной деятельности подлежат внесению в Правительство Российской Федерации в сентябре 2014 года.

В апреле Роскомнадзор, Федеральная служба судебных приставов и Центральная избирательная комиссия подписали соглашение о сотрудничестве в сфере защиты прав субъектов персональных данных. Тогда было заявлено, что соглашение открыто для подписания другими ведомствами. Какие цели преследовал Роскомнадзор, инициировав разработку и подписание соглашения? Какие еще ведомства выразили заинтересованность в подписании документа?
А. П.: Мы осознаем, что эффективная защита прав субъектов персональных данных возможна только при комплексном подходе. Для многих государственных органов проблемы, возникающие в этой области, являются крайне актуальными, в том числе в связи с предоставлением государственных и муниципальных услуг и исполнением государственных функций, а также активным использованием телеком-сетей при реализации полномочий. Мы предложили своим коллегам заключить Соглашение о взаимодействии, которое декларирует значимость защиты персональных данных в современном мире и общие принципы нашего взаимодействия в этих вопросах. Оно открыто к подписанию государственными органами путем направления инициативы в Роскомнадзор. В настоящее время подтвердил свое намерение к нему подключиться Рособрнадзор.
Однако следует заметить, что некоторые ведомства, в частности ФМС России, выразили желание не присоединяться к многостороннему Соглашению, а отразить особенности взаимодействия в двух стороннем порядке. Сейчас мы рассматриваем наиболее оптимальные условия совместной работы, которые будут положены в основу межведомственного соглашения.

Как Вы оцениваете количество и уровень специалистов в сфере защиты персональных данных в России? Есть ли учебные центры, базовые кафедры институтов, где готовят квалифицированных специалистов в этой области? На Ваш взгляд, необходима ли государственная поддержка этому направлению?
А. П.: Мы понимаем необходимость подготовки квалифицированных специалистов, которые помогут операторам создать или усовершенствовать системы защиты и обработки данных в соответствии с руководящими нормативными правовыми актами. Но пока образовательные стандарты не предусматривают проведение каких-либо курсов повышения квалификации или переквалификации сотрудников, ответственных за обработку ПД в организации. А об изучении персональных данных как учебной дисциплины в образовательных учреждениях вообще не приходится говорить. Все это приводит к тому, что системы обработки ПД создают сотрудники, исходя из своего опыта и самообразования, то есть эта работа выполняется лицами, которые не являются профессионалами по защите персональных данных.
Роскомнадзор в рамках имеющихся полномочий также намерен повышать уровень информированности операторов о правилах игры в этой сфере. Мы ведем диалог с вузами о возможности подготовки образовательных программ в области персональных данных, обсуждаем принципы, на которых будет строиться работа по обучению специалистов.

Вряд ли кто-то будет спорить с тем, что далеко не все наши граждане, да и операторы персональных данных в полной мере осознают опасность необдуманных действий по разглашению личной информации. Планирует ли Роскомнадзор активизировать разъяснительную и профилактическую работу?
А. П.: Действительно, уровень информированности субъектов ПД о последствиях бездумного и свободного распространения личной информации вызывает тревогу. Современная скорость и объем информационных потоков изменили модель сбора, накопления, использования и передачи данных. Расстояние между субъектом ПД, оператором и государственным регулятором сократилось. Сегодня очевидным фактом является то, что персональные данные граждан представляют собой конкурентный товар на рынке. При этом продаже подлежит не только личная информация, но и сам субъект ПД, который в виртуальном мире может использоваться для продвижения товаров, работ и услуг, являясь их потребителем.
И особую обеспокоенность вызывает легкомысленность граждан при предоставлении неизвестным лицам личной информации по поводу и без повода. Зачастую такая неосторожность приводит к нарушению прав на частную и семейную жизнь, может стать поводом для возникновения мошеннических действий. В рамках информационно-разъяснительной работы Роскомнадзор планирует ввести практику проведения дня открытых дверей для всех заинтересованных лиц. Также мы готовим научно-практический комментарий к Федеральному закону «О персональных данных», рекомендованный не только для специалистов, но и для широкой публики.

В последнее время часто возникают скандалы из-за создания фейковых аккаунтов известных публичных людей в социальных сетях. Планирует ли Роскомнадзор бороться с таким незаконным использованием личной информации?
А. П.: Действительно, мы сталкиваемся с такими нарушениями. Иногда в погоне за коммерческой выгодой незаконно используется личная информация известных граждан для придания авторитета сайтам и блогам, для продвижения на рынке услуг. От имени этих людей высказываются мнения, приводится информация о несуществующих событиях. Вместе с тем, публичность граждан и открытость тех или иных сведений не означают, что эти данные можно свободно распространять. Такая информация может быть использована любым способом только самим субъектом ПД. В апреле 2014 года в Роскомнадзор обратился председатель Центральной избирательной комиссии Владимир Чуров с просьбой удалить фальшивые аккаунты, зарегистрированные от его имени в ряде социальных сетей. Безусловно, мы не можем бездействовать при подобных обращениях, однако призываем связываться, в первую очередь, с администраторами самих сайтов для урегулирования разногласий. В большинстве случаев они оперативно реагируют на подобные заявления граждан.

Время публикации: 17.06.2014
Последнее изменение: 20.06.2014 17:41

Портал персональныеданные.дети