Территориальные управления

Роскомнадзор: ответственность за персональные данные станет жестче

23 октября 2011 года

 

РИА «Новости» 

15:00 21/10/2011

В преддверии второй международной конференции "Защита персональных данных", которая начнется 26 октября в Москве, корреспондент РИА Новости поговорил с Романом Шерединым, заместителем руководителя контролирующего органа в этой сфере - Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Шередин, ведомство которого стало инициатором конференции, рассказал агентству о последствиях крупных скандалов в российском интернете, связанных с массовой утечкой персональных данных, а также о том, какие меры Роскомнадзор предпримет в ближайшее время для повышения уровня защиты персональных данных в стране.

- Персональные данные сегодня нередко "всплывают" в интернете. Как Роскомнадзор с этим борется?

- По искам Федеральной службы судами к сегодняшнему дню закрыт 22 интернет-сайта, где были размещены такие сведения. Вроде, и немного, но ведь нельзя дом построить за день. Мы нарабатываем практический опыт. Есть сложности с тем, как разбирают такие дела разные суды, иногда возникает недопонимание при взаимодействии с прокуратурой.

- Имела ли продолжение нашумевшая летом история с "Яндексом", которыйиндексировал SMS абонентов "Мегафона"?

- Напомню, что по этому случаю в действиях ОАО "МегаФон" нарушений законодательства в области персональных данных выявлено не было, поскольку тексты не позволяли идентифицировать их отправителя.

Были установлены факты нарушения законодательства в области связи в части обеспечения соблюдения тайны связи. "Мегафон" был оштрафован по исковому заявлению Роскомнадзора за нарушение лицензионных условий деятельности на 30 тыс. рублей. Оператор, правда, обжаловал решение, и рассмотрение этой жалобы назначено на 26 октября.

- В свободном доступе летом обнаружились и сведения о покупателях интернет-магазинов. Какие меры приняты Роскомнадзором?

- Несмотря на отсутствие жалоб со стороны этих покупателей, Роскомнадзор установил более 80 интернет-магазинов, информация о клиентах которых попала в открытый доступ. Мы определили 15 интернет-магазинов, которые предоставили доступ к наиболее широкому перечню сведений о покупателях, и направили документы в органы прокуратуры. На сегодняшний день дела об административном правонарушении возбуждены в отношении владельцев шести сайтов.

- Уже скоро зима, а дела возбуждены лишь в шести случаях. Почему так мало?

- Вы затронули одну из проблем надзорной деятельности в сфере персональных данных, которая ждет своего решения. Дело в том, что установленный срок для привлечения к административной ответственности по статье 13.11 КоАП РФ - три месяца. Дела по этой статье имеют право возбуждать только органы прокуратуры, которые зачастую перегружены и не всегда могут во время рассмотреть наши документы.

- Можно ли как-то изменить эту ситуацию?

- Анализируя ее, мы вышли в Госдуму с инициативой по внесению изменений в законодательство. Суть инициативы в том, чтобы полномочия по возбуждению дел в области нарушений закона "О персональных данных" передать Роскомнадзору. Принятие поправок, рассмотрение которых должно состояться уже этой осенью, позволит существенно сократить время возбуждения и передачи в суды административных дел. Но главное, что будет соблюден принцип неотвратимости наказания.

- Считаете ли вы, что наказания, предусмотренные за нарушение закона о защите персональных данных, недостаточно жесткие?

- Мы выдвинули законодательную инициативу, согласно которой, ответственность за нарушения закона об охране персональных данных будет ужесточена. Я уверен, что ужесточение ответственности повысит защищенность данных. Сейчас максимальный штраф в отношении юридического лица - 10 тысяч рублей, а суды обычно выписывают всего 3-5 тысяч рублей за нарушение.

Кроме того, я считаю, что ответственность должна быть дифференцирована в зависимости от степени вреда. Разумеется, должны быть разработаны и четкие критерии, которые позволят степень вреда определить. Пока никакой градации нарушений у нас нет, но насколько я знаю, наша идея с дифференциацией ответственности находит поддержку и в Госдуме.

Мы хотим, чтобы штрафы соотносились с единоразовыми затратами операторов персональных данных на организацию адекватной защиты. Оператор должен понимать, что единожды потратив деньги на необходимые организационно-технические мероприятия, он, во-первых, будет избавлен от многих проблем с защитой персональных данных, а во-вторых, избежит штрафов, которые могут самым негативным образом сказаться на результатах деятельности его организации, а где-то - и на устойчивости бизнеса.

- Много ли вообще Роскомнадзор выявил нарушений в области защиты персональных данных?

- С 2008 года Роскомнадзор провел более 3 тысяч проверок в отношении операторов, осуществляющих обработку персональных данных, выдано более 4 тысяч предписаний об устранении нарушений, составлено и направлено на рассмотрение в суды 6,5 тысячи протоколов об административных правонарушениях. Суммарно все нарушители оштрафованы на сумму свыше 10,8 миллиона рублей.

- Как же все же добиться того, чтобы персональные данные не оказывались в свободном доступе в интернете? Или хотя бы минимизировать риски?

- Проблема неприкосновенности частной жизни в интернете будет существовать до тех пор, пока граждане будут продолжать доверять ресурсам сомнительного происхождения. В свою очередь, операторы для минимизации риска и сокращения расходов на защиту должны обезличивать обрабатываемые персональные данные.

- Вернемся в офлайн, в реальную жизнь. Нередко при входе, например, в бизнес-центры у нас требуют паспорт, часто - снимают его копию. Законно ли это?

- Требование предъявить документы не является незаконным. Но если у вас попросили документ и внесли ваши данные при посещении других организаций, эти данные должны быть удалены после вашего ухода.

- А как люди могут это проконтролировать?

- В соответствии с законом "О персональных данных" у каждого гражданина есть право обратиться к оператору, осуществляющему обработку персональных данных, и запросить у него перечень обрабатываемых персональных данных, цели их обработки и сроки хранения. В этом смысле охранное предприятие - тоже оператор персональных данных.

По закону оператор, в свою очередь, обязан, в том числе, отвечать на запросы граждан. Если обращение в ЧОП вам не помогает, вы можете обратиться в Роскомнадзор, и если мы выявим нарушение, предприятие будет привлечено к ответственности.

- По все тому же закону бюджетные и часто далеко не богатые организации, такие как поликлиники, детские сады, школы должны будут тоже позаботиться о защите персональных данных. Действительно ли у них найдутся средства для обеспечения такой защиты?

- Новая редакция закона "О персональных данных", которая вступила в силу с 1 июля, установила более гибкие подходы к обеспечению безопасности обрабатываемых персональных данных. Сейчас каждая организация сама определяет модели угроз для себя и самостоятельно определяет набор организационно-технических мер, которые эти угрозы парируют.

Вместе с тем, закон действует с 2007 года, и руководители должны были все эти расходы заранее спланировать. Для государственных предприятий есть программа "Информационное общество", выделены расходы на информатизацию.... Пожалуйста, закладывайте эти расходы, регистрируйте свои информационные системы в реестре федеральных государственных информационных систем и получайте на их развитие и поддержку государственное финансирование.

Снижению издержек может способствовать и привлечение сторонней организации, которая займется обработкой персональных данных. Сейчас закон это допускает.

- Международная конференция по защите персональных данных, инициатором которой стал Роскомнадзор, проводится второй год подряд, и означает ли это, что она оказалась востребованной у специалистов разных стран?

- Убежден, что да. Об этом можно судить хотя бы по количеству участников 2-й конференции, в том числе из-за рубежа. В прошлом году на конференцию приезжали представители уполномоченных органов по защите персональных данных стран СНГ. Сейчас же мы ждем высоких гостей ещё и из стран Центральной и Восточной Европы, Балканского полуострова. Всего участие в конференции подтвердили представители 16 государств.

Для Роскомнадзора, как уполномоченного органа в России, конференция приобретает особый смысл, так как на нас возложены полномочия по сотрудничеству с аналогичными органами из других стран.

- Планируется ли подписать на конференции какие-либо документы?

- Мы предложим коллегам присоединиться к Меморандуму о сотрудничестве уполномоченных органов, что позволит нашим гражданам чувствовать себя защищенными в любой стране.

На прошлогодней конференции Меморандум вместе с нами подписали Республика Молдова, Республика Кыргызстан. Позднее к нему присоединилась Республика Армения. Знаю, что у ряда других стран есть заинтересованность присоединиться к "первопроходцам".

- Каковы практические результаты вашего международного сотрудничества по защите персональных данных?

- Преимущественно нам оказывают содействие в закрытии интернет-сайтов, на которых размещены базы с персональными данными граждан России. Так, в мае Роскомнадзор направил в адрес американского регистратора MarkMonitor письмо с просьбой прекратить делегирование доменного имени shockcrim.blogstop.com. Компания MarkMonitor перенаправила письмо в адрес администратора доменного имени, который закрыл сайт.

Аналогичным образом мы поступили и по сайту Rusleaks.com - направили письмо администратору в США. Ответ пока не получили. Помимо этого, подано исковое заявление в Таганский районный суд Москвы о признании деятельности сайта незаконной.

Всего же в 2011 году Роскомнадзор направил регистраторам доменных имен в США материалы по 13 сайтам. На сегодняшний день по результатам рассмотрения материалов Роскомнадзора американскими и индийским регистраторами, в общей сложности, прекращено делегирование шести доменных имен.

- Всегда ли обращения в другие страны заканчиваются удовлетворением ваших требований?

- К сожалению, не всегда на наши обращения реагируют так, как нам бы хотелось. К примеру, мы обратились в Республику Беларусь с аналогичной RusLeaks ситуацией, просили привлечь гражданина Белоруссии к ответственности. Но белорусы нам ответили, что на сегодняшний день у них нет норм в законодательстве, которые позволили бы это сделать.

Этот факт еще раз подтверждает, сколь нова эта сфера деятельности для многих стран, и что необходимо максимально плотное сотрудничество для выработки единых, сопряженных мер противодействия злоупотреблениям в сфере защиты персональных данных.

Интервью Р.В. Шередина на интернет-сайте агентства РИА «Новости»

 

Поделиться:

Время публикации: 23.10.2011 16:01
Последнее изменение: 23.10.2011 16:05