В «Союз православных юристов» постоянно идут письма и звонки с вопросом: «Как отказаться от согласия на обработку персональных данных, но не утратить свои законные права?». Ответить на все обращения физически невозможно, поэтому мы подготовили аналитический обзор законодательства и практики его применения. Нашей целью является побуждение простых граждан, не имеющих юридического образования, к активным правовым действиям в защиту своих законных прав.
Создаваемое в России и других странах информационное общество бесчеловечно, в нем не работают национальные законы и даже общечеловеческие нормы и принципы. В этом обществе человек превращается в бесправный придаток информационных электронных систем.
Формирование баз персональных данных на все население страны является необходимым условием информационного общества, в котором все взаимоотношения граждан и государства осуществляются в обязательной электронной форме. С этой целью все организации, в которые обращаются граждане (школы, поликлиники, ВУЗы, организации ЖКХ и др.), в обязательном порядке предлагают подписывать бланки согласия на обработку персональных данных. Во многих случаях при отказе подписать такой бланк человек в нарушение действующего законодательства лишается своих прав. Характеристики нового мирового порядка хорошо видны уже сегодня. Сотни тысяч православных граждан, отказывающихся по религиозным убеждениям от автоматизированного учета персональных данных, электронных документов, незаконно лишены своих прав. Пожилым, заслуженным гражданам не выплачивают заработанные пенсии, пособия, лишают медицинской помощи, молодежь не может поступить учиться, устроиться на работу. Нарушения основополагающих прав верующих граждан носят дискриминационный характер.
9 февраля 2014 г. на сайте Московской Патриархии, (http://www.patriarchia.ru/db/text/3561086.html) и на сайте «Союза православных юристов» (http://rodinaprav.info/index.php/inn-uek-snils/153-svyatejshij-patriarkh-obratilsya-k-prezidentu-rf-v-zashchitu-pravoslavnykh-grazhdan) опубликована информация о направлении Святейшим Патриархом Московским и всея Руси Кириллом обращения к Президенту Российской Федерации В.В. Путину с просьбой принять законодательные меры, обеспечивающие право человека использовать традиционные удостоверения личности и способы учета на бумажных носителях, а также обеспечить правовые гарантии существования, технического оснащения и финансирования традиционной системы учета.
Администрация Президента Российской Федерации направила ответ на обращение Патриарха. В ответе говорится: «...Разделяя Вашу озабоченность по вопросу нежелания некоторой части российских граждан получать другой вид паспорта - документ нового поколения, содержащий электронные носители информации, полагаю возможным отметить, что любые формы принуждения людей к использованию электронных идентификаторов личности, автоматизированных средств сбора, обработки и учета персональных данных, личной конфиденциальной информации недопустимы...».
Это обращение Патриарха к Президенту РФ является результатом нашей общей активности. Именно письма общественных организаций и простых граждан, направленные Святейшему Патриарху, дают основания Церкви встать на защиту своих чад.
Однако и мы, граждане обязаны защищать свои права, влиять на принимаемые в России законы, реагировать на нарушения законодательства. Нельзя смиряться с нарушениями своих прав, необходимо законными методами бороться за сохранение традиционной системы учета персональных данных человека, за соблюдение Конституции России.
Правовые методы есть, действует Конституция РФ и даже антиконституционные законы пока содержат нормы, гарантирующие права граждан. Используя эти материалы, вы сможете грамотно защитить свои законные права и интересы. Не нужно бояться, не нужно лениться изучать законодательство и применять его в конкретной ситуации. Нарушение прав граждан при отказе дать согласие на обработку персональных данных носит массовый характер, такими же массовыми должны быть и наши правовые действия. Только общими усилиями при поддержке Русской Православной Церкви мы сможем защитить конституционное право жить в обществе в соответствии со своими религиозными убеждениями, сохранить суверенитет нашего государства.
Молчание, непротивление нарушениям закона, Конституции РФ сегодня - это соучастие в построении античеловеческого, антиконституционного и антихристианского общества.
*****
Знание и понимание законодательства - наша защита
Операторы как «броню» используют ФЗ-N152 «О персональных данных», прикрывая в большинстве случаев незаконный сбор информации о гражданах и незаконно лишая прав людей, отказавшихся от дачи согласия на обработку персональных данных.
Нам, гражданам необходимо научиться пользоваться правовыми возможностями для защиты своих прав, опираясь на тот же ФЗ-N152 и другие законы.
ФЗ-N152 «О персональных данных» действует с 2006 года, однако до 2010 года человеку не приходилось давать полный отчёт о себе, семье, работе, собственности при обращении в любую организацию: поликлинику, школу, ВУЗ, банки и др.
Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-N210 «Об организации предоставления государственных и муниципальных услуг». Этот антиконституционный закон легализовал коренной переворот в законодательстве. Наши конституционные права в основных сферах жизни были незаконно трансформированы в неконституционное понятие «услуги», которые к тому же предоставляются только в электронной форме и на платной основе. Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года) и ФЗ-N152 «О персональных данных». С переходом на электронный способ взаимодействия в соответствии с ФЗ-N152 все организации, имеющие хоть какую-то информацию о человеке, стали операторами: библиотеки, ВУЗы, поликлиники, детские сады, работодатели, другие организации. Все они обладают правом решения вопроса о содержании, объёме и целях сбора наших персональных данных, а также правом распоряжения ими.
(Подробно о федеральных законах N152 и N210 и правовых действиях граждан - см. в книгах «Новые технологии и права человека», «Электронные услуги или приватизация власти», автор - О.А. Яковлева; статья «В бомжи не уходить, а действовать разумно», http://ruskline.ru/analitika/2014/01/20/v_bomzhi_ne_uhodit_a_dejstvovat_razumno/.
В настоящее время любая организация считает себя оператором и вынуждает граждан давать «Согласие на обработку персональных данных». При возражении человека чиновники или сотрудники организаций безапелляционно ссылаются на ФЗ-N152 «О персональных данных» и требуют согласия фактически в принудительном порядке.
При этом в бланках имеется только название самого закона и нет ни одной конкретной ссылки на статью, обязывающую гражданина давать согласие на обработку персональных данных в конкретной ситуации (получении медицинской помощи, поступления ребенка в школу, детский сад, получение социальных выплат и др.).
В соответствии со статьей 9 ФЗ-N152 «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
А является ли нашей волей и соответствует ли нашим интересам бездумное предоставление полной информации о себе, своей семье, собственности, здоровье, доходах организациям, куда мы обращаемся для решения конкретных проблем?
Организации, требуя от граждан «Согласия на обработку персональных данных», не разъясняют смысл понятий, употребляемых в бланках - «персональные данные» и «обработка», не раскрываются гражданам и полномочия оператора. Это происходит неслучайно. Если бы граждане знали закон, то понимали, что давая согласие на обработку персональных данных, они соглашаются на любые действия оператора со всей информацией о себе.
В соответствии со статьей 3 ФЗ-N152:
персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; обработка включает в себя и трансграничную передачу персональных данных.
При использовании персональных данных оператор обладает правом принятия решений или совершения иных действий, порождающих юридические последствия в отношении лица, давшего согласие или других лиц как субъектов персональных данных. Получая согласие человека на обработку персональных данных - любой информации о человеке - оператор становится их полным хозяином.
Сам гражданин уже исключен из процесса принятия решений оператора, распоряжающегося информацией по своему усмотрению.
Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва «Согласия» уже имеет возможность использовать свои полномочия в полном объеме. Во многих случаях при отзыве согласия к гражданину незаконно применяются репрессивные меры.
Прежде чем дать согласие на обработку персональных данных, гражданину необходимо проверить, имеет ли конкретная организация право собирать и обрабатывать персональные данные, является ли она оператором. Если является, следует выяснить, как этот оператор соблюдает свои обязанности и законодательство РФ.
Направил ли оператор уведомление об обработке персональных данных
В соответствии со статьей 22 ФЗ-N152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществить обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22, в которой перечислен узкий перечень вариантов освобождения операторов от этой обязанности. Большинство организаций, обрабатывающих персональные данные и требующие нашего согласия, обязаны направлять Уведомления.
Статьей 22 ФЗ-N152 к Уведомлению предъявляются следующие требования:
Уведомление должно содержать следующие сведения:
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)
Уполномоченный орган после получения Уведомления включает оператора в Реестр.
... Статья 22, п. 4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов.
Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными...
Эти нормы дают гражданину несколько возможностей проверить законность деятельности оператора. Нужно узнать в уполномоченной организации, направлено ли Уведомление о начале обработки персональных данных, соответствует ли Уведомление требованиям статьи 22, включен ли конкретный оператор в реестр операторов. Очень важно проверить соответствует ли реальная деятельность организации заявленной в Уведомлении. К операторам - нарушителям применяются меры наказания. Пусть не смущают незначительные суммы штрафов, ведь это начальная стадия нашей борьбы. Пока большинство операторов, нарушая наши права, чувствуют свою полную безнаказанность. Дальнейшее развитие событий зависит от нас.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... г) ч. 3 ст. 22 Федерального закона «О персональных данных» - представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения;
Пример 1
Управлением Уполномоченного органа по Южному федеральному округу была проведена плановая выездная проверка в отношении ОАО «ТАВС «Кубань». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено, что сведения, представленные в уведомлении ОАО «ТАВС «Кубань», не соответствуют фактической деятельности ОАО «ТАВС «Кубань». По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ОАО «ТАВС «Кубань» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
Пример 2
Управлением Уполномоченного органа по Камчатскому краю была проведена проверка в отношении ООО «Согжой». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено, что сведения, представленные в уведомлении ООО «Согжой», не соответствуют фактической деятельности ООО «Согжой». По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ООО «Согжой» к административной ответственности и наложении штрафа в размере пяти тысяч рублей...».
Необходимо проверить, включен ли конкретный оператор в реестр операторов
Кроме направления Уведомления, условием обработки персональных данных является включение конкретного оператора в реестр, который ведет Уполномоченный орган по защите прав субъектов персональных данных.
Поэтому гражданам необходимо выяснить в этой организации, включен ли конкретный оператор (школа, организация, больница и т.д.) в реестр операторов. Можно получить положительный ответ. Однако устное заверение о включении в реестр нужно проверить.
Это возможно сделать, направив запрос в Уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): 109074, г. Москва, Китайгородский пр., д. 7, стр. 2, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; электронный адрес для направления обращений: rsoc_in@rsoc.ru
Можно найти эту информацию самостоятельно в Интернете на сайте Роскомнадзора http://rkn.gov.ru/personal-data/register/. Там размещен реестр организаций, включенных в состав операторов.
Конкретный пример. В сентябре 2012 г. инвалиды Г. и Я. из г. Москвы прибыли в санаторий Санкт-Петербурга. При оформлении в санатории им было предложено дать «Согласие на обработку персональных данных». Уставшие после ночи в поезде, затратившие деньги на билеты, приехавшие на лечение инвалиды были вынуждены дать такое согласие, поскольку препирательство, а возможно и отказ в путевке перенести для них было невозможно. По возвращении домой они проверили на сайте Роскомнадзора, включен ли данный санаторий в реестр операторов, осуществляющих сбор и обработку персональных данных. Оказалось, что санаторий не включен в реестр операторов, вследствие чего сбор персональных данных является незаконным. Вызывает серьезные сомнения и то, что указанный санаторий выполняет требования статьи 19 ФЗ-N152 «О персональных данных» по обеспечению защиты персональных данных. Для восстановления своих прав гражданам необходимо обратиться в Роскомнадзор с заявлением о проверке организации, получающей согласие на обработку персональных данных граждан с нарушением закона и отозвать свое согласие.
Не нужно считать такие действия бесполезными. В соответствии с ч.7 статьи 23 ФЗ-N152 Роскомнадзор предоставляет ежегодный отчет о своей деятельности.
Из отчета Роскомнадзора за 2012 год видно, что случаи нарушения операторами законодательства в сфере защиты персональных данных не остаются без последствий. В обзоре мы приводим несколько типичных фактов нарушений, за которые операторы понесли наказание. Эта информация опубликована в Отчете о деятельности по защите прав субъектов персональных данных за 2012 год.
Куда обратиться за защитой?
Статья 23 ФЗ-N152 возлагает обязанность защиты интересов граждан на уполномоченные органы, которые обязаны выполнять целый комплекс действий по контролю за работой операторов.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
В числе других мер Уполномоченный орган по защите прав субъектов персональных данных имеет право:
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
(в ред. Федерального закона от 25.07.2011 N261-ФЗ)
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов.
Как видно из приведенных положений ФЗ-N152, Уполномоченный орган по защите наших прав наделен широкими правами и имеет комплекс обязанностей по контролю за деятельностью операторов.
Поэтому, прежде чем дать согласие на обработку своих персональных данных тому или другому оператору, гражданину имеет смысл обратиться в федеральный уполномоченный орган для выяснения вопроса обеспечения необходимых по закону правовых, организационных и технических мер защиты своих персональных данных конкретным оператором.
Обеспечивает ли защиту персональных данных конкретный оператор?
В случае дачи «Согласия на обработку своих персональных данных», человек должен быть уверен в том, что оператором выполняются все требования закона и интересам гражданина не будет нанесен какой-либо ущерб. Гражданину важно знать, обеспечивается ли защита его персональных данных. Для ответа на этот вопрос следует внимательно изучить разделы ФЗ-N152, касающиеся обязанностей операторов по защите наших персональных данных.
В 2009 году в ФЗ-N152 «О персональных данных» были внесены изменения, отменившие обязанность операторов по криптографической защите персональных данных. Это означает снятие шифровальной защиты персональных данных.
В большинстве случаев, получая наши «согласия», операторы не принимают никакой ответственности за безопасность наших персональных данных и не дают гарантий от неправомерного доступа к ним и незаконного использования.
Обязанности по защите наших данных у операторов есть и мы должны их знать и уметь требовать соблюдения закона. При отсутствии гарантий безопасности персональных данных требование их предоставления является незаконным. Давайте попробуем изучить положения федерального закона N152 об обязанностях оператора.
В соответствии со статьей 19 ФЗ-N152 «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Меры по обеспечению безопасности персональных данных указаны в той же статье 19 ФЗ-N152 и требования закона к операторам достаточно жесткие.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
(в ред. Федерального закона от 25.07.2011 N261-ФЗ)
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
В нарушение закона практически во всех бланках «Согласия на обработку персональных данных» отсутствуют какие-либо обязательства оператора по обеспечению мер защиты персональных данных. Гражданам не предоставляется никаких сведений о защите их персональной информации, предусмотренных статьей 19 ФЗ-N152.
Это свидетельствует о том, что операторы не выполняют закон, получая персональные данные граждан, не обеспечивают их безопасность. Таким образом, это дает основания гражданам отказываться от дачи «Согласия на обработку персональных данных».
Информация о мерах защиты должна быть открытой и общедоступной
Операторы умалчивают о положениях ФЗ-N152, регламентирующие их обязанности (статья 18.1).
Оказывая давление на граждан, операторы скрывают собственные нарушения закона и не предоставляют общедоступную информацию о своей деятельности. Перечисленные в законе обязанности оператор обязан выполнять, а граждане имеют право знать, как конкретный оператор на практике реализует мероприятия по защите персональных данных. Наше право на эту информацию закреплено в законе. Нам, гражданам для защиты своих прав и интересов эти положения закона необходимо знать.
В соответствии с п. 2 статьи 18.1 ФЗ-N152 оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
ФЗ-N152 «О персональных данных»
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
(введена Федеральным законом от 25.07.2011 N261-ФЗ)
... 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных...
На практике операторы не только не дают информацию гражданам о защите их прав, но и не соблюдают требования закона по многим критериям защиты персональных данных.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 в части, касающейся несоблюдения Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
Пример 1
Управлением Уполномоченного органа по Кемеровской области была проведена плановая выездная проверка в отношении Муниципального учреждения «Управление образования Администрации Юргинского муниципального района». В ходе проведения контрольно-надзорного мероприятия инспекторами установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним. По данному факту органами прокуратуры возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении Муниципального учреждения «Управление образования Администрации Юргинского муниципального района» к административной ответственности и наложении штрафа в размере пяти тысяч рублей.
Пример 2
Территориальным управлением Уполномоченного органа по Камчатскому краю была проведена выездная проверка в отношении Общества с ограниченной ответственностью Управляющая компания «Полигон В» (далее - ООО Управляющая компания «Полигон В»). В ходе проведения контрольно-надзорного мероприятия инспекторами установлено отсутствие у Оператора утвержденного перечня мер, необходимых для обеспечения сохранности персональных данных и исключающий несанкционированный доступ к ним. По данному факту органами прокуратуры, на основании материалов Уполномоченного органа, возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. По результатам рассмотрения материалов дела судом принято решение о привлечении ООО Управляющая компания «Полигон В» к административной ответственности и наложении штрафа в размере пяти тысяч рублей...».
Требуя предоставления информации от граждан, во многих случаях сам оператор не имеет прав на обработку персональных данных или делает это с грубым нарушением закона.
Необходимо проверить, соответствует ли предлагаемый бланк «Согласия на обработку персональных данных» требованиям статьи 9 ФЗ-N152
В соответствии со статьей 9 субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Можно ли говорить о своей воле и своем интересе в случаях, когда оператор, например, школа, поликлиника, организация ЖКХ, социальное ведомство «выдавливают» из граждан согласия путем угроз: лишить социальной выплаты, не допустить школьника к сдаче ЕГЭ, отказать в медицинской помощи и т.д.? Что уж говорить о выполнении требования закона об информированности и сознательности согласия, данного в таких условиях.
Люди подписывают бланки, не зная, обеспечены ли меры по защите их персональных данных, является ли организация, получающая согласие, оператором, включена ли она в реестр операторов, соблюдаются ли другие требования законодательства этой организацией.
Часто бланки не имеют наименования организации и адреса оператора или лица, собирающего персональные данные по поручению оператора, нарушаются другие требования статьи 9. В случаях нарушений оператором требований закона гражданин имеет право поставить в известность уполномоченную организацию и не дать согласие на обработку персональных данных.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... б) ч. 4 ст. 9 Федерального закона «О персональных данных» - несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
Пример 1
В типовой форме согласия на обработку персональных данных, утвержденной ООО «Аварийный комиссар», отсутствовали перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных, адрес Оператора и цель обработки персональных данных. Соответствующие материалы были направлены Уполномоченным органом по Кировской области в органы прокуратуры, по результатам, рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ООО «Аварийный комиссар» к административной ответственности и наложении штрафа в размере пяти тысяч рублей, в том числе на должностное лицо ООО «Аварийный комиссар» в размере пятьсот рублей.
Пример 2
В типовой форме согласия на обработку персональных данных, утвержденной ЗАО «Юлмарт», отсутствовало наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора. Соответствующие материалы были направлены Уполномоченным органом по Ростовской области в органы прокуратуры, по результатам рассмотрения которых возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Судом, на основании представленных материалов, было принято решение о привлечении ЗАО «Юлмарт» к административной ответственности должностного лица и наложении штрафа в размере пятисот рублей...».
Требования закона к форме «Согласия» определены в статье 9 ФЗ-N152 и мы должны эти требования знать.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных (в ред. Федерального закона от 25.07.2011 N261-ФЗ)
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Незаконные требования операторов предоставления конфиденциальной информации
Из образцов бланков «Согласия на обработку персональных данных», направленных в «Союз православных юристов» гражданами видно, что в подавляющем большинстве случаев бланки согласия не соответствуют требованиям статьи 9 ФЗ-N152. Во многих бланках организаций, в которые граждане обращаются по конкретной, узкой проблеме, перечень сведений необоснованно расширен и не соответствует целям деятельности организации.
В соответствии со статьей 9 Федерального закона «Об информации, информационных технологиях и о защите информации» запрещается требовать от граждан предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли человека. Во многие бланки включена информация, относящаяся к перечисленным категориям.
СНИЛС и сведения индивидуальных лицевых счетов в системе пенсионного страхования являются конфиденциальной информацией, которую оператор обязан защитить.
Во многих бланках согласий на обработку персональных данных в числе сведений о гражданах указан СНИЛС. В этих случаях необходимо помнить, что СНИСЛ - это пожизненный и посмертный идентификатор личности человека. Неслучайно в Федеральном законе N27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» говорится о необходимости особой защиты этой информации.
В соответствии со статьей 6 ч.8 ФЗ-N27 сведения индивидуальных лицевых счетов являются конфиденциальной информацией, в отношении которой установлено требование об обеспечении ее конфиденциальности. Знание СНИЛС открывает доступ к конфиденциальной информации индивидуальных лицевых счетов.
В настоящее время СНИЛС не только отражает номер индивидуального лицевого счета в пенсионном фонде, но и является единым ключом доступа во все базы персональных данных. Поэтому сообщать СНИЛС граждане должны с большой осторожностью. Зная СНИЛС, можно получить практически всю информацию о человеке и использовать ее в криминальных целях.
Включая в большинстве случаев без всякой необходимости в бланки согласий СНИЛС, оператор подвергает опасности конфиденциальную информацию гражданина. Это тем более опасно, когда оператор не дает гарантий ее защиты.
Включение СНИЛС, ИНН, информации, относящейся к частной жизни, личной и семейной тайне в бланки согласий является следствием полной безнаказанности операторов.
Об угрозах гражданам и ответственности операторов
В части 2 статьи 18 ФЗ-N152 «О персональных данных» сказано, что если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить данные.
На практике, собирая персональные данные в принудительном порядке, операторы не указывают федеральные законы, обязывающие граждан предоставлять свои персональные данные конкретному оператору в конкретной ситуации и тем более никогда не ссылаются на положения закона карательного характера, например, отказ в выплате пособия, отказ допустить к ЕГЭ и др. Давление оказывается вслепую, с надеждой на юридическую безграмотность граждан и обычный страх наказания за неподчинение. Гражданам не нужно бояться угроз, а следует потребовать у оператора письменный ответ со ссылками на конкретные нормы федеральных законов, запрещающих, например, выплату социального пособия при отказе дать согласие на обработку персональных данных. Кроме того, нужно сообщить об угрозах в органы государственной власти и направить заявление о проверке деятельности этого оператора в Уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Отчет Роскомнадзора за 2012 год показывает, что наши жалобы не остаются без ответа. В отчете говорится, что увеличение проведенных проверок в отношении операторов напрямую связано с ростом числа жалоб граждан.
Из «Отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год», http://rkn.gov.ru/personal-data/reports/ :
«... Как и в предшествующие годы, в 2012 году продолжился рост количества административных правонарушений. Уполномоченным органом составлено 5359 протоколов об административных правонарушениях (2011 год - 4901, 2010 год - 2996).
Выявленные правонарушения были классифицированы по ст. 19.7 КоАП РФ, предусматривающей ответственность за непредставление или несвоевременное представление в Уполномоченный орган сведений, необходимых для реализации его функций, а также по ст. 19.5 КоАП РФ за неисполнение ранее выданных предписаний.
Мировыми судьями, по результатам рассмотрения 4786 направленных материалов, были приняты постановления о привлечении операторов к административной ответственности в форме штрафа на общую сумму 8 млн. 680 тыс. 150 рублей...».
Полный текст отчета Роскомнадзора за 2012 год - http://rkn.gov.ru/personal-data/reports/; на сайте «Родина православная» - http://rodinaprav.info
*****
От нашей активности, желания защитить себя, своих детей, свои семьи и наше государство будет зависеть станет ли наша жизнь открытой и прозрачной для всех желающих, будет ли информация о нас концентрироваться в электронных базах данных или этот негативный для граждан и страны процесс будет остановлен.
Заявления и жалобы на нарушение законодательства и конституционных прав граждан можно направлять в Уполномоченный орган по защите прав субъектов персональных данных - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): 109074, г. Москва, Китайгородский пр., д. 7, стр. 2; электронный адрес для направления обращений: rsoc_in@rsoc.ru; сайт http://rkn.gov.ru
Информирование федеральных органов надзора будет способствовать более объективному рассмотрению заявлений и жалоб, а также давать этой службе реальную картину работы операторов по стране в целом.
*****
Последние данные о нарушении законодательства операторами за 2014 год (по данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), http://rkn.gov.ru)
http://pd.rkn.gov.ru/press-service/subject1/news3613/
В РОССИИ: В Приморском крае за непредставление уведомления об обработке персональных данных оштрафовано пять юридических лиц
Мировыми судьями Приморского края за непредставление или несвоевременное представление в территориальное Управление Роскомнадзора сведений по запросу, а равно представление сведений в неполном объеме, привлечены к административной ответственности ООО «Золотой телец», ООО «Мезонин», ООО «Вертикаль», ООО «Комплекс ДВ», МКУ «Средняя общеобразовательная школа N 35» Артемовского городского округа.
Ранее, в октябре - декабре прошлого года, Управлением были составлены протоколы по ст. 19.7 КоАП РФ в отношении указанных юридических лиц, осуществляющих обработку персональных данных с нарушением требований ч. 4 ст. 20 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Судебными решениями нарушители признаны виновными, назначены наказания в виде штрафов в размере трех тыс. рублей каждому на общую сумму 15 тыс. рублей.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:39
http://pd.rkn.gov.ru/press-service/subject1/news3615/
В РОССИИ: В Саратовской области родители отказываются предоставлять школам данные о детях
Прокуратура проверит школы и поликлиники в течение 3 дней, может быть начала доследственная проверка, передаёт ОТР.
В Прокуратуру Саратовской области сегодня обратились родители, которых в школах и поликлиниках принуждают давать согласие на обработку персональных данных детей. Активисты настаивают: людям не разъясняют принцип добровольности этой процедуры. На регистрацию поступившего заявления прокуратуре даётся три дня, после чего будет принято решение о начале доследственной проверки.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:47
http://pd.rkn.gov.ru/press-service/subject1/news3616/
В РОССИИ: Нижнекамская городская прокуратура выявила нарушение законодательства о персональных данных
Нижнекамская городская прокуратура провела проверку исполнения законодательства РФ в области персональных данных. Проверка проводилась в ООО «Гостиница «Кама», передаёт портал «Новости прокуратуры».
Правовую основу обращения с персональными данными составляет Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных», а также Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Правительством РФ.
В нарушение требований закона, обработка персональных данных осуществляется в гостинице без получения согласия субъектов персональных данных на обработку их персональных данных.
Кроме того, не назначено должностные лицо, ответственное за организацию обработки персональных данных, а работники организации, непосредственно осуществляющих обработку персональных данных, не ознакомлены с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите.
При этом должностные лица предприятия, осуществляющие обработку персональных данных, не были проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Таким образом, руководителем предприятия не принимаются меры к обеспечению безопасности персональных данных при их обработке.
В связи с этим прокуратура в отношении директора ООО «Гостиница «Кама» возбудила дело об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Материалы проверки направлены в мировой суд для рассмотрения по существу.
Время публикации: 14.02.2014
Последнее изменение: 14.02.2014 12:48
О.А. Яковлева, Председатель «Союза православных юристов», адвокат Московской областной коллегии адвокатов, Почётный адвокат России, эксперт Комиссии по вопросам взаимодействия Церкви, государства и общества Межсоборного присутствия Русской Православной Церкви
Е.А. Грищенко, член «Союза православных юристов», редактор правового бюллетеня «Родина православная»
7 марта 2014 года
_1.jpg)
