Сформировать обращение

Беседа руководителя уполномоченного органа по защите прав субъектов персональных данных – Управления Роскомнадзора по Астраханской области Дмитрием Логиновым с журналистом астраханской газеты «Горожанин» от 07.03.2012

7 марта 2012 года

Вот уже 5 лет в России действует Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», много информации доносилось через средства массовой информации до простых людей, которые являются согласно терминологии закона «субъектами персональных данных», о правах граждан, об обязанностях так называемых операторов, обрабатывающих персональные данные, которыми по сути является любая организация. Однако остаются вопросы, ответы на которые хотелось бы получить от компетентного лица - уполномоченного органа по защите прав субъектов персональных данных, которым является Управление Роскомнадзора по Астраханской области. Сегодня мы беседуем с руководителем этого ведомства - Дмитрием Логиновым.

- Дмитрий Юрьевич, многие наши читатели задаются вопросом: что делать с смс-спамом? Является ли нарушением законодательства в области персональных данных массовая рассылка оператором связи смс-сообщений без согласия абонента?

- для начала уместно обратиться к статье 3 закона «О персональных данных», согласно которой под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В случае рассылки рекламных смс-сообщений неопределенному кругу лиц эти сообщения адресуются абоненту без учета его персонификации. Именно поэтому такие сообщения характеризуются как смс-спам. То есть в данном случае не усматривается нарушений со стороны оператора связи в части соблюдения конфиденциальности. Вообще, номер телефона не является персональными данными, потому что, человека, конечно, вычислить по нему можно, но для этого нужны специальные базы. А персональные данные – это когда поиск вообще не нужен.

Что касается вполне понятного нежелания граждан получать на свои номера телефонов ненужные им сообщения, то здесь выход довольно простой: абонент вправе обратиться с письменным заявлением в адрес оператора связи для прекращения распространения смс-спама на его телефонный номер.

- Вы упомянули базы данных, которыми владеют все операторы и которые содержат персональные данные клиентов, абонентов и т.п. А если такая база данных оказалась доступной другому лицу?

- статья 7 закона «О персональных данных» обязывает оператора соблюдать конфиденциальность персональных данных своих клиентов, т.е. операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При осуществлении контрольных мероприятий нами проверяется соблюдение этого требования: выясняется, все ли меры принял оператор для обеспечения конфиденциальности персональных данных граждан, которыми он владеет. Если же база данных оказалась «в руках» посторонних лиц, то такая ситуация приравнивается к мошенничеству и разбираться в ней должны не только мы, но и правоохранительные органы.

- а какие именно меры должен принимать оператор по обеспечению безопасности персональных данных при их обработке?

- перечень таких мер также определен законом «О персональных данных». Так, согласно статье 19 закона оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Если проверка обеспечения оператором правовых и организационных мер относится к компетенции органов Роскомнадзора, то проверка обеспечения технических мер - в ведении ФСТЭК и ФСБ. С этими ведомствами мы проводим совместные проверки, но в отношении владельцев государственных информационных систем персональных данных.

Что же касается операторов, использующих негосударственные информационные системы персональных данных, то оценка эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных будет осуществляться аккредитованными экспертами в рамках проводимых органами Роскомнадзора контрольных мероприятий.

Поясню подробнее: Роскомнадзор проводит аккредитацию граждан и организаций в качестве экспертов и экспертных организаций для участия в мероприятиях по контролю в рамках проверок в области персональных данных.

Порядок проведения аккредитации, требования и перечень необходимых документов установлен Правилами аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю, утвержденными постановлением Правительства от 20 августа 2009 г. № 689 и приказом Роскомнадзора от 8 апреля 2011 г. № 239.

По вопросам аккредитации необходимо обращаться непосредственно в центральный аппарат Роскомнадзора, подробная информация на официальном сайте http://rsoc.ru.

- Дмитрий Юрьевич, будут ли с Вашей стороны какие-либо пожелания операторскому сообществу?

- одним из важных направлений в работе Уполномоченного органа является информирование операторов и субъектов персональных данных по их обращениям и запросам о положении дел в области защиты персональных данных. В целях информационного обеспечения на официальном сайте Роскомнадзора в сети Интернет www.rsoc.ru, официальном сайте Управления www.30.rsoc.ru, портале «Персональные данные» www.pd.rsoc.ru размещена полная информация о структуре и деятельности Уполномоченного органа, все законодательные, и нормативные документы в сфере персональных данных, новостные ленты, сведения о Реестре операторов и План проведения проверок.

С 2008 года нашим Управлением и всей Службой реализуется комплекс мероприятий, направленных на повышение уровня информированности операторского сообщества о необходимости соблюдения требований законодательства в части направления Уведомлений об обработке персональных данных с целью включения оператора в соответствующий Реестр. По закону любая организация, хоть государственная, хоть частная, если она собирает сведения о людях, должна входить в Реестр. Тем самым она гарантирует, что будет надежно хранить полученную информацию. Вот только за четыре года из астраханских 9529 компаний, работающих с персональными данными, это сделали на сегодняшний день только чуть более двух с половиной тысяч.

По идее все должны хотеть попасть в Реестр, это ведь как реклама: у нас все в порядке, данные о вас защищены, нам можно доверять. При этом после внесения в Реестр не нужны никакие отчеты: организации нас просто уведомляют, какие сведения и как они обрабатывают, как хранят. Компания таким образом демонстрирует, что она законопослушная.

По всем возникающим вопросам можно получить консультацию у специалистов Управления по телефону: 47-63-75, а также на вышеуказанных интернет-ресурсах.

Последнее изменение: 07.03.2012 17:35