Дмитрий Поляничев о Федеральном законе «О персональных данных»
На эти и другие вопросы отвечает руководитель Управления Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Ставропольскому краю (Управление Россвязьохранкультуры) Д. ПОЛЯНИЧЕВ. Именно на Россвязьохранкультуру возложено обеспечение контроля и надзора за исполнением требований закона.
- Дмитрий Вячеславович, похоже, в регулировании информационных отношений происходят важные изменения. Знающие люди утверждают, что управление в информационной сфере вообще будет теперь более эффективным, гармоничным. И это, дескать, в интересах не только государства, но и самих граждан. Но нет ли опасности, что проникновение в частную жизнь, наоборот, усилится?
- Закон, о котором мы говорим, как раз и направлен на защиту интересов гражданского общества от разрушительного информационного воздействия, от бесконтрольного распространения персональных данных. Обеспечение защиты прав и свобод человека и гражданина при обработке сведений о нём, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну, - это и есть его цель.
Вот основные понятия, используемые в законе. Прежде всего, что такое «персональные данные»? Это, в том числе, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, идентифицируется личность каждого человека.
Еще одно важное понятие – оператор. Это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных. Я подчеркиваю: оператор! В обязанности Россвязьохранкультуры входит ведение реестра именно операторов, а не их филиалов.
Возвращаясь к сути закона, назову некоторые его положения. Обработкой персональных данных занимаются органы власти, учреждения, организации, предприятия, юридические и физические лица, осуществляющие владение и пользование этими данными. Ограничение прав граждан на основе использования этой информации запрещено.
Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законом. В свою очередь, он имеет право на доступ к сведениям, относящимся к его личности, и на их получение. Он вправе также при наличии оснований, подтвержденных соответствующими документами, требовать от оператора внесения в эти данные изменений и дополнений. И в то же время он обязан сообщить оператору об этих изменениях.
Крайне важный момент – конфиденциальность. Это обязательное требование, причем как для операторов, так и для третьих лиц, получающих доступ к персональным данным.
Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную и семейную тайну, а также иных сообщений физического лица без его согласия. Исключение в этом плане делается лишь для обезличенных или общедоступных сведений. Другими словами, никому не запрещено накапливать обезличенные выборки для проведения, например, статистических исследований.
- Не идем ли мы здесь впереди Европы всей?
- Нет. Во многих странах законодательством уже давно регулируется оборот персональных данных. Нельзя сказать, что у нас в стране был в этом деле большой пробел. В области защиты информации действовали и действуют ряд нормативных актов. Тем не менее многие проблемы, возникавшие при формировании информационного пространства и перехода к информационному обществу, оставались нерешенными, появлялся правовой вакуум, например, когда речь заходила о конфиденциальной информации.
- Где только нет тех или иных сведений о нас! И в поликлинике, и на почте, и в милиции, и загсе, и БТИ, и в гостиницах, и туристических бюро… И если бы только государственные или муниципальные ведомства их запрашивали! А то ведь еще и коммерческие, и частные, те же, например, телефонные компании. Кроме того, устраиваемся на работу – то же самое: требуются анкетные данные. Или покупаем, скажем, квартиру – и здесь нельзя остаться инкогнито… Так ли это необходимо? А главное - насколько обоснованным является сбор этих личных сведений?
- Законом предусматриваются принципы и условия обработки персональных данных: эта информация должна быть получена честным и законным путем; использована только для заранее определенных целей; соответствовать задаче, ради которой она собиралась; точной и свежей; обрабатываться только с согласия субъектов ее получения; доступна им; защищена от несанкционированного доступа и уничтожена после того, как цель достигнута.
- Извините, но все-таки нет уверенности в том, что к ней не имеют или не будут иметь доступа сомнительные элементы. Не станет ли она использоваться нам во вред? Согласитесь, СМИ не зря пишут о том, что существует тревожная тенденция: на «черном рынке» растет продажа баз данных. Нередко даже, бывает, такая информация появляется в Интернете в свободном доступе. Известны скандалы, связанные с довольно масштабной утечкой конфиденциальной информации из ряда структур, в том числе государственных.
- К выполнению требований, установленных правительством РФ по обеспечению безопасности персональных данных, подключены очень мощные организации: федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах.
Законом установлены в том числе случаи обязательного предоставления гражданином своих персональных данных. Но есть также и право ограничивать условия использования таких сведений. Теперь, к примеру, медицинское учреждение без согласия самого гражданина не вправе передать хранящиеся у него персональные данные в какое-либо другое ведомство.
- Выходит, у меня есть выбор?
- Вы самостоятельно принимаете решение о предоставлении своих персональных данных и даете согласие на их обработку своей волей и в своем интересе, при этом вы, как субъект персональных данных, можете в любой момент отозвать свое согласие на их обработку.
- Так что, сведения о нас в информационных системах, можно сказать, в безопасности?
- Эта безопасность должна обеспечиваться и организационными мерами, и различными средствами защиты, в том числе, например, шифровальными, а также средствами предотвращения несанкционированного доступа, утечки. Используются в этом плане и многие информационные технологии, а Трудовым кодексом РФ утечка персональных данных приравнена к разглашению тайны, и за это как минимум грозит увольнение.
К обеспечению безопасности персональных данных подключилось и наше управление. Нам дано право запрашивать у физических или юридических лиц информацию, необходимую для реализации наших полномочий, и безвозмездно ее получать; осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных; требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона… Мы вправе привлекать к административной ответственности лиц-нарушителей.
Так что не будет преувеличением сказать: операторы, осуществляющие обработку персональных данных, очень даже подконтрольны. Они, кстати, до начала обработки обязаны письменно уведомить нас о своем намерении ее осуществлять, за исключением тех случаев, когда вправе это делать без уведомления (в законе эти случаи тоже четко прописаны).
В общем, работа идет большая, тем более что ранее созданные информационные системы персональных данных должны быть приведены в соответствие с требованиями федерального закона не позднее 1 января 2010 года.
Тем не менее отмечу: закон вступил в силу в феврале 2007 года, но не все организации, кому это положено, до 1 января 2008 года направили нам свои уведомления. Пользуясь случаем, напоминаю им об обязанности, установленной законом. Тем более что ответственность за нарушение его требований довольно суровая: гражданская, административная, дисциплинарная и даже уголовная.
14 мая 2008 года