Практически все организации и частные предприниматели обязаны направить в Россвязьохранкультуру специальные уведомления. Владельцы большинства магазинов, библиотек, аптек и даже ларьков вряд ли догадываются, что являются «операторами персональных данных». Тех, кто забудет направить письмо в надзорный орган, предупреждают об административной и даже уголовной ответственности.
Под персональными данными принятый два года назад федеральный закон подразумевает любые сведения о гражданине, начиная с его фамилии и заканчивая биометрическими параметрами. Даже список друзей считается массивом персональных данных, а составление – обработкой персональных данных. Для личных нужд это можно делать без согласий, уведомлений и т.д.
А вот организации вынуждены будут соблюдать жесткий регламент, даже если в их «массиве» всего лишь сведения о собственных сотрудниках или клиентах. Таким образом, под статус оператора подпадают практически все хозяйствующие субъекты, в том числе компании и предприниматели, которые наняли хотя бы одного работника. А также турфирмы, страховщики, банкиры, связисты, авиакомпании, аудиторы, риелтеры, адвокаты, библиотеки (карточки читателей), поликлиники — предприятия, которые собирают сведения о клиентах.
Владелец торгующего, например, фотоальбомами ларька, на первый взгляд, под статус оператора не подпадает: базу клиентов он не ведет, да и сотрудников не нанимает (сам стоит за прилавком). Но если потребитель захочет вернуть покупку (по закону в ряде случаев он вправе это сделать даже если товар качественный), то для выплаты денег нужно будет составить расходный кассовый ордер. В нем по правилам должны быть вписаны фамилия, имя, отчество и реквизиты паспорта. С этого момента ничего не подозревавший торговец становится оператором персональных данных.
Напиши мне письмо
На днях Управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Санкт-Петербургу и Ленобласти (Россвязьохранкультура) распространило сообщение, напоминая о вступившем в силу полтора года назад законе. В котором прописано, что все осуществляющие обработку персональных данных операторы были обязаны направить в уполномоченный орган (то есть вышеупомянутую федеральную службу) соответствующее уведомление не позднее еще 1 января 2008 года!
Вот только форму такого уведомления руководство ведомства, если верить СПС «Гарант», утвердило только 11 января, а сам приказ до сих пор официально не опубликован. Как и новый, датированный уже 13 мая, на который ссылается Россвязьохранкультура в своем предупреждении.
В распространенном сообщении ни слова нет о том, кто же все-таки должен писать достаточно пространное уведомление. Ведь, согласно закону, операторы, формирующие только базы данных работников и клиентов, его могут не направлять при условии, что информация не распространяется и не передается третьим лицам. Но ведь те же расходные ордера, контракты, ведомости, кассовые книги и все иные документы необходимо пять лет хранить и предоставлять по первому требованию налоговой службы. То есть каждая компания или предприниматель не вправе утверждать, что собранные персональные данные не будут распространяться. А, следовательно, владелец вышеописанного ларька обязан уведомить федеральную службу о планах обрабатывать персональные сведения.
Корреспондент «Фонтанки» позвонил по справочному телефону Россвязьохранкультуры, представившись руководителем компании. Вопросы явно поставили специалиста управления в тупик: «Лучше направьте уведомление, хуже не будет», – доброжелательно порекомендовали в федеральной службе.
Сведения о всех компаниях, которые выслали уведомления, будут публиковать на сайте Россвязьохранкультуры. В созданном реестре уже почти 12 тысяч записей. Об обработке персональных данных клиентов федеральную службу уведомили около ста банков, 130 страховых фирм и т.д. А вот крупнейших авиакомпаний (например, «Аэрофлот», «Трансаэро», ГТК «Россия» и др.), а также сотового оператора «Мегафон» в документе обнаружить не удалось.
Вопреки грозному предупреждению, санкции за нарушение закона вряд ли можно назвать существенными: для граждан штраф до 500 рублей; для должностных лиц – до тысячи, для организации – до 10 тысяч рублей.
Под колпаком Билла Гейтса
Обязанности российских компаний и предпринимателей (будь то авиакомпания, банк или ларек с одним наемным сотрудником) не ограничиваются направлением уведомления. Все операторы обязаны принимать «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения ..., а также от иных неправомерных действий». В том числе использовать шифровальные (криптографические) средства, введение ограничения на доступ в помещения, резервное копирование и т.д.
Методы и способы защиты информации в информационных системах будут устанавливаться Федеральной службой по техническому и экспортному контролю и ФСБ. Россвязьохранкультура, в свою очередь, должна проверять «достаточность принятых мер по обеспечению безопасности».
Логично, когда эти требования предъявляются к базам данных, например, кредитных организаций, реестродержателей, медицинских учреждений, служб безопасности и т.д., когда действия хакеров, вирусов или просто технические сбои могут привести к катастрофическим последствиям. Но эти же требования распространяются и на ООО, в котором стоит всего один обычный компьютер с «дырявой» Windows и программой бухучета типа 1С. В ней накапливаются данные по выплатам, работникам, клиентам. На том же компьютере стоит, скорее всего, Outlook Express, который, по мнению всех опрошенных программистов, «пробивается» любым вирусом.
Сложно также представить, как информационную безопасность читательской картотеки можно обеспечить в обычной районной, не говоря уже о сельской, библиотеки. Или в регистратуре поликлиники.
Хотели как лучше
А что закон гарантировал гражданам? Основным механизмом защиты персональных данных стал запрет на их сбор и обработку без четкого письменного согласия самой «персоналии». Разумеется, вводится также ряд исключений. Например, можно обрабатывать данные клиентов, но только в целях исполнения договора. Передавать их кому-либо уже нельзя.
Но, вопреки всем законом, в большинстве петербургских бизнес-центрах и иных негосударственных учреждений бравые охранники требуют от посетителей предъявить паспорт и без тени смущения записывают в журнал их реквизиты (то есть собирают персональные данные). На входе в центральный офис одного из банков стоит даже специальный сканер, который копирует паспорт посетителя (далеко не все они - клиенты банка или ими станут). «У нас такой порядок», – грубо объяснила законность своих действий «ментесса» ОВО.
Сотовые компании также считают возможным распространять сведения о клиентах. Причем, законно: в договор вписывается норма, что абонент согласен на передачу сведений о нем (как общих, так о звонках, платежах и пр.) любым третьим лицам и использование их для информационно-справочного обслуживания. Подключаясь к некоторым операторам (например, «Билайн», «Мегафон» в Петербурге и др.) клиент может поставить «галочку» в специальном поле, выразив свое несогласие с распространением сведений о нем. Но другие компании (например, «Мегафон-Москва») требуют безусловного согласия.
Целью принятого два года назад закона было «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Но на практике многочисленные коммерческие структуры разными путями игнорируют установленные законом гарантии, а вот на малый бизнес и даже предпринимателей сваливаются явно несоразмерные требования.
Павел Нетупский,
Фонтанка.ру
Поделиться