В этом году исполнилось 10 лет со времени принятия Федерального закона №152-ФЗ «О персональных данных» - закона, основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. О том какие сегодня задачи стоят перед ведомством, уполномоченным на защиту прав субъектов персональных данных, мы говорим с заместителем руководителя Управления Роскомнадзора по Центральному федеральному округу Ольгой Коротовой.
Ольга Александровна, вопрос: «что такое персональные данные?», спустя 10 лет как это понятие было определено на уровне закона, - это все еще актуальный вопрос?
– Прошло 10 лет с момента официального законодательного закрепления понятия персональные данные. Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Более того, это понятие строго соответствует дефиниции понятия «персональные данные», указанной в Конвенции о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108.
Операторы персональных данных, это те кто используют персональные данные граждан?
- Вы совершенно правильно выделили еще одно ключевое понятие «оператор персональных данных». Под это понятие подпадает любой государственный или муниципальный орган, любое юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч.2 ст. 22 Закона № 152-ФЗ.
Таким образом, при наличии исключительных условий, предусмотренных в ч. 2 ст. 22 Закона № 152-ФЗ, оператор персональных данных вправе осуществлять обработку персональных данных без уведомления Роскомнадзора.
Сведения уведомления предусмотрены частью 3 стать 22 Федерального закона «О персональных данных». Уведомление может быть направлено как в электронном виде, так и на бумажном носителе. После поступления от оператора надлежащего уведомления сведения об операторе вносятся в Реестр операторов персональных данных. Сведения Реестра отнесены к общедоступным сведениям.
– Это означает, что любой желающий может ознакомиться с информацией реестра и проверить наличие оператора в реестре?
– Совершенно верно, сведения реестра доступны для просмотра в сети Интеренет на Портале персональных данных Роскомнадзора по адресу http://pd.rkn.gov.ru. Более того, к реестру достаточно часто обращаются наши граждане, для оценки «благонадежности» организации, которой они представляют свои персональные данные. Это подтверждается практикой деятельности Управления: зачастую обеспокоенность граждан, обращающихся в Управление Роскомнадзора по Центральному федеральному округу, за сохранность своих персональных данных связана с тем, что они не находят организацию в реестре.
-Это обоснованное беспокойство?
Не всегда, дело в том, что закон предусматривает ряд исключений, при которых оператор персональных данных имеет право осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора).
Следует отметить, что отсутствие оператора в Реестре не означает прекращение его статуса в качестве оператора.
Тем не менее, при отсутствии правовых оснований, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных», оператор, обрабатывающий персональные данные без уведомления, становится нарушителем закона.
А в чем состоит сложность стать законопослушным оператором персональных данных? И много ли остается тех, кто предпочитает не заявлять о себе?
Сложностей никаких нет. Во-первых, это не требует никаких финансовых затрат. Во-вторых, Роскомнадзором подготовлены Рекомендации по заполнению образца формы уведомления, реализована удобная интерактивная электронная форма уведомления об обработке персональных данных. Они размещены в сети Интернет на Портале персональных данных, на сайте нашего Управления. Ссылки на них выдают все поисковые системы при внесении соответствующего запроса. В-третьих, сотрудники нашего Управления проводят консультации по заполнению уведомления, то есть ответственное лицо может получить разъяснения по непонятным вопросам.
Не заявляют о себе по разным причинам. Некоторые действительно подпадают под исключения, о которых мы ранее говорили. Некоторые ошибочно не относят себя к операторам персональных данных. К примеру, в одном из информационных писем организация, имеющая свой сайт, указала, что персональные данные не обрабатывает, но использует ФИО и электронный адрес пользователя сайта как защиту от спама. Такие доводы мы не можем принять как правовое основание для обработки персональных данных без уведомления уполномоченного органа и запрашиваем уведомление. Кто-то остается «в тени» полагая, что это избавляет организацию от проверок Роскомнадзора, что также является заблуждением, поскольку ежегодно в план проверок включаются организации, не подавшие уведомление, но характер деятельности которых указывает на отсутствие оснований для обработки персональных данных без уведомления.
Кроме того, Управление систематически направляет в организации запросы о представлении уведомления, напоминая о требованиях закона и обязанностях операторов персональных данных.
Получается, что, несмотря на все усилия, еще не все операторы направили уведомление об обработке персональных данных?
Вопрос наполняемости реестра не может быть разрешен раз и навсегда – одни прекращают свою деятельность, другие только образовываются. О чем с уверенностью можно сказать, что ответственное отношение к персональным данным стало важной составляющей формирования имиджа благонадежного предприятия. Со своей стороны Управление Роскомнадзора по Центральному федеральному округу проводит разъяснительную и профилактическую работу по минимизации количества нарушений законодательства в области персональных данных на территории Москвы и Московской области. С помощью Вашего средства массовой информации хотелось бы еще раз донести до организаций, зарегистрированных на подведомственной Управлению территории, что уведомления необходимо направлять в наш адрес. Информацию об Управлении и необходимые сведения по уведомлению размещены на сайте Управления 77.rkn.gov.ru.