— Эдуард Анварович, как часто в Татарстане выявляются нарушения в сфере защиты персональных данных?
— Подводя итоги 2020 года, мы отмечаем снижение числа выявленных нарушений. Это можно связать с особенностями осуществления государственного контроля и надзора, так как из-за распространения новой коронавирусной инфекции (COVID-19) большая часть мероприятий была отменена в соответствии с постановлением Правительства РФ.
Вместе с тем статистика следующая: по результатам 2019 года выявлено более 80 нарушений в ходе мероприятий государственного контроля и надзора, по результатам 2020 года — более 50 нарушений.
Кроме того, в управление поступает достаточно внушительное число обращений граждан с жалобами на действия операторов. В текущем году более 700. В большинстве случаев доводы не находят подтверждения, но тем не менее определенная доля нарушений выявляется и в этом направлении деятельности отдела.
Максимальное число нарушений на одного оператора приходится, безусловно, по результатам выездных плановых мероприятий, поскольку соответствие деятельности операторов законодательству в области персональных данных анализируется системно и комплексно.
— Приведите наиболее вопиющие примеры правонарушений со стороны операторов, осуществляющих обработку персональных данных.
— Мы выделяем наиболее распространенные нарушения. К таким можно отнести нарушения, связанные с правовыми и организационными мерами, принимаемыми операторами, а также нарушение обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных.
Что касается вопиющих нарушений, можно сказать, что они направлены непосредственно на субъектов персональных данных, на ущемление их прав при осуществлении незаконной обработки персональных данных. Это в первую очередь обработка персональных данных в случаях, не предусмотренных законодательством РФ, в том числе без согласия на обработку персональных данных. Также это нарушение условий конфиденциальности персональных данных, то есть распространение персональных данных, предоставление к ним доступа третьим лицам или неограниченному кругу лиц, опять же без согласия субъекта персональных данных.
— В последнее время татарстанцев атаковали телефонные звонки и имейл-сообщения от псевдобанков, телемагазинов и так далее. Получается, персональные данные каким-то образом утекли к третьим лицам? Реально ли узнать, кто оказался виновен?
— С правовой точки зрения приведенная ситуация лежит в плоскости сразу нескольких сфер: да, в ряде случаев это может быть признаком того, что права субъектов персональных данных нарушаются в результате неправомерной обработки персональных данных, но так же это может указывать и на нарушение законодательства в области рекламы. А в случаях, когда с вами пытаются связаться представители организаций-коллекторов, то здесь может быть вопрос регулирования деятельности по возврату просроченной задолженности. Соответственно, в каждой области есть свой регулятор — уполномоченный орган, определенный законодательством РФ.
Когда мы говорим о рекламных сообщениях, проверочным фактором, как правило, служит форма обращения к абоненту: обезличено или, например, по имени и отчеству, а также понимание того, какая еще информация об абоненте используется, озвучивается во время звонка.
Дело в том, что абонентский номер — набор цифр согласно Правилам оказания услуг телефонной связи, утвержденным Постановлением правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи», относится не к физическому лицу, а к оборудованию. Иными словами, абонентский номер определяет (идентифицирует) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней идентификационным модулем, а не пользователя номера.
В зависимости от того, с каким физическим лицом оператор связи в настоящее время имеет действующий договор об оказании услуг связи и использовании этого номера, будет определяться комбинация сведений о номере и абоненте (ФИО и другие уточняющие сведения). Многие физические лица, кого беспокоят звонки, говорят, что используют один и тот же номер на протяжении многих лет. К сожалению, это не означает, что номер неотчуждаем, смена владельцев предусмотрена законодательством, поэтому о принадлежности абонентского номера только одному физическому лицу и об использовании его как уникального идентификатора мы не можем говорить.
Если объем информации указывает на то, что ваши персональные данные стали известны третьим лицам, вы можете обратиться в уполномоченный орган по защите прав субъектов персональных данных.
Если речь идет о взыскании долгов, которые действительно у вас образовались по тем или иным причинам, или вас просят передать информацию третьему лицу, имеющему задолженность, вы также можете обратиться в федеральную службу судебных приставов и ее территориальные органы.
Факт утечки реально установить, если субъект персональных данных обжалует действия не каких-то случайных лиц, которые ему неизвестны и которых не вычислить, а в ситуации, когда оператора и субъекта персональных данных связывают правоотношения, при которых осуществлялась обработка персональных данных.
— Есть возможность предпринять какие-то действия, чтобы подобные звонки прекратились? Какая ответственность ждет нарушителей?
— Технические настройки мобильного устройства — блокировка, внесение в черный список. Или тот же набор действий, но с помощью оператора связи.
Кроме этого, действия субъекта персональных данных, которые могут влиять на урегулирование этой ситуации, — по ознакомлению с текстом согласия на обработку персональных данных и пользовательскими соглашениями, публичными офертами. Часто пользователи игнорируют эти документы, несмотря на то, что операторы обеспечивают к ним свободный доступ. В указанных локальных актах по вопросам обработки персональных данных может быть указан перечень третьих лиц, которым будут переданы персональные данные, партнеров, агентов, контрагентов, аффилированных лиц оператора, которые могут получить доступ к персональным данным. Кроме того, такие документы также устанавливают существенные условия и принципы обработки ваших персональных данных.
Следует внимательно ознакомиться с текстом документа и предоставить оператору минимальный набор своих персональных данных (если такое возможно).
При наступлении момента прекращения использования программы или услуги, для которой разрешение на обработку персональных данных предоставлено, необходимо вручную отозвать разрешение и обязать соответствующего оператора персональных данных удалить персональные данные.
Внезапные звонки не всегда могут быть следствием утечки персональных данных, их незаконного получения и использования. Иногда это может быть следствием того, что в пылу азарта, заполняя интерактивные формы на сайтах в сети Интернет или при установке мобильных приложений, пользователь ставит отметки о согласии во всех полях, не знакомясь предварительно с текстом соглашений и оферт и не оценивая возможные последствия и риски таких действий.
Нарушение законодательства в области персональных данных предусматривает административную ответственность, установленную ст. 13.11 КоАП РФ. Если подтверждается факт обработки персональных данных в случаях, не предусмотренных законодательством, предусмотрена административная ответственность согласно ч. 1 ст. 13.11 КоАП РФ.
— Расскажите, каких правил цифровой гигиены нужно придерживаться, чтобы персональные данные не стали достоянием интернета?
— При принятии решения об использовании какого-либо цифрового устройства, сервиса или программы в первую очередь нужно определиться — готовы ли вы предоставить свои персональные данные, а уже после этого думать о полезности и удобствах, получаемых при использовании. Ситуация должна оцениваться самим субъектом персональных данных таким образом, что возможные риски и их оценка первичны, возможная выгода или эффект от используемого приложения, программного продукта или сайта в сети Интернет — вторичны.
Следует также отметить, что в случае с абсолютным большинством видов оборудования и программных продуктов речь идет о производстве неконтролируемого физическим лицом объема персональных данных.
Распространение персональных данных самим субъектом осуществляется в интересах достижения конкретных целей: например, размещение фотографий в социальных сетях или резюме на сайте по подбору персонала, предоставление персональных данных для приобретения билетов, регистрация для получения доступа к публичной Wi-Fi-сети и пр.
При этом стоит постоянно иметь в виду, что произведенные персональные данные в подавляющем большинстве случаев могут распространяться и вне зависимости от желания физического лица, например, перепостом в соцсетях или веб-сервисом по собственному решению. Именно поэтому необходимо оценивать объем предоставляемых сведений с точки зрения того, что к ним может быть установлен доступ неограниченного числа лиц. Если это влечет нежелательные последствия, убедиться в добросовестности сайта (например, где вы бронируете билет или гостиничный номер), разработчика приложения. В случае возникновения сомнений при возможности воздержаться от передачи персональных данных с помощью неблагонадежных сервисов.
Отдельное внимание необходимо уделить производству ваших персональных данных третьими лицами — смартфонами друзей, камерами городского видеонаблюдения, операторами баз данных и пр. Общим правилом может служить допущение, что в непрерывном режиме ведется сбор данных физического лица, во многих случаях данный процесс является случайным, не контролируемым. Полученные персональные данные широко вводятся в оборот, и контролировать их распространение физическим лицом практически невозможно. В связи с этим максимальное внимание целесообразно уделить именно процессу их производства и оказать на него все возможное влияние.
Конфигурация профиля на сайте или в мобильном приложении (настройки приватности, размещение псевдонимов, картинок вместо реального фотоизображения и т. д.), предоставление по возможности минимального набора достоверных сведений.
Выбор лицензионных аппаратных устройств и программных комплексов, приложений, скачивание их из официальных источников, приобретение у лицензиаров.
При работе в сети следует внимательно изучать интернет-сайты, прежде чем оставлять там данные о себе и проходить регистрацию: на сайте могут быть опубликованы в открытом доступе такие документы, как пользовательское соглашение, публичная оферта в соответствии с Гражданским кодексом РФ, а также политика конфиденциальности, политика в отношении обработки персональных данных, текст информированного согласия на обработку персональных данных и любые другие локальные акты, связанные со сферой персональных данных.
Кроме того, такие документы, как правило, включают достоверную информацию о владельце или администраторе ресурса, например, наименование, ИНН, ОГРН, адрес почтовый или электронный, контактные данные, которые могут быть использованы субъектом персональных данных в случае возникновения спорных правоотношений, в том числе по обработке персональных данных. Регистрация на сомнительных сайтах в большинстве случаев приводит к тому, что доступ к информации получают неустановленные лица.
— Отдельная внушительная группа пользователей интернета — дети. Посоветуйте, как нужно себя вести несовершеннолетним, например, в социальных сетях, чтобы их данные не попали в руки злоумышленников?
— Правила те же, что и для взрослой категории, названные выше. Мы начинаем с себя, и передаем эту модель поведения детям.
Например, что касается настроек устройств, взрослый должен помочь разобраться с этим ребенку в программном и техническом аспектах, разъяснить отличие достоверных сведений (кто я, как меня зовут, где я живу, в какой школе учусь), от вымышленных. А также научить ребенка принципам целеполагания, например, для общения со сверстником можно назвать себя сокращенным именем или псевдонимом. И совершенно необязательно малознакомым людям в интернете предоставлять полную свою биографию. При этом есть официальные сервисы, которые используются как детьми, так и взрослыми в учебных, рабочих, творческих целях, или при получении услуг. Например, если ребенок намерен участвовать в олимпиаде, конкурсе, то, разумеется, в этих целях предоставление ложных сведений о себе недопустимо, и указание персональных данных необходимо для того, чтобы реализовать поставленную задачу.
С 2015 года функционирует портал http://персональныеданные.дети/, включающий ознакомительный, образовательный контент для детей и подростков в доступной форме на такую сложную тему, как защита персональных данных и правила поведения в сети.
Информация, которую субъект персональных данных передает в цифровую среду, остается привязанной к источнику и идентифицирует его.
Каждый год появляются новые накопители и источники данных: датчики и носимые устройства, умная бытовая техника и др. Появляются новые сервисы и приложения, запрашивающие и собирающие данные о пользователях.
Старайтесь не выкладывать личную и достоверную информацию о себе (фотографии, видео, ФИО, дату рождения, адрес дома, номер школы, телефоны и иные данные) или, если обойтись псевдонимом и вымышленными данными невозможно, существенно сократите объем данных, которые публикуете в Интернете. Удалите лишние фотографии, видео, адреса, номера телефонов, дату рождения, сведения о родных и близких и иную личную информацию.
Не обменивайтесь персональными данными, видео и фото с людьми, с которыми вы познакомились в Интернете, если вы не знаете их в реальной жизни.
Отправляя кому-либо свои персональные данные или конфиденциальную информацию, убедитесь в том, что адресат — действительно тот, за кого себя выдает.
Если в сети Интернет кто-то просит несовершеннолетнего пользователя предоставить его персональные данные, например, место жительства или номер школы, класса, иные данные, ему необходимо обсудить это с родителями, школьным учителем, взрослым человеком, которому он доверяет.
При возникновении спорных ситуаций следует обращаться к администратору сайта.
Если администратор сайта отказался помочь, необходимо прекратить пользоваться таким ресурсом и удалить оттуда свои данные. Кроме этого, можно официально отозвать согласие на обработку, если оно было дано в той или иной форме, а также обязать оператора удалить персональные данные.
Встречаться в реальной жизни с онлайн-знакомыми без разрешения родителей или в отсутствие взрослого человека несовершеннолетним участникам общения в сети также небезопасно.
Дети, осуществляющие пользование сетью Интернет под присмотром взрослых, безусловно, должны ставить в известность родителей о том, что кто-то запрашивает у них сведения о них, о близких людях, фотографии, контактные данные, иную информацию, о намерении скачать и установить на своем устройстве дополнительные программы, приложения, файлы, поскольку они могут нанести урон защите устройства и информации, хранящейся на нем.
— Вправе ли несовершеннолетние давать согласие на обработку своих персональных данных?
— Законодательство РФ о персональных данных предусматривает возможность дачи согласия в случае недееспособности субъекта персональных данных законным представителем субъекта персональных данных, в том числе законными представителями несовершеннолетнего являются его родители, а законным представителем лица, лишенного дееспособности, выступает его опекун. В тоже время, для предоставления согласия на обработку персональных данных ребенка в письменной форме, достаточно подписи одного из родителей в соответствии с п. 1 ст. 61 Семейного кодекса Российской Федерации.
Документами, подтверждающими законность представительства, могут являться свидетельство о рождении, акт о назначении опекуном, а в случае добровольного представительства надлежащим образом оформленная доверенность в простой письменной форме.
Необходимо отметить, что при лишении права представительства право дачи согласия от имени недееспособности субъекта персональных данных утрачивается, в частности, родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда, не имеет права дачи согласия на обработку персональных данных от имени ребенка.
Также считаем важным отметить, что Закон о персональных данных предусматривает ряд случаев, когда правом предоставления согласия наделен только субъект персональных данных (без участия законного представителя), и возможность делегирования предоставления согласия не предусмотрено.
К таким случаям, например, относится обработка биометрических персональных данных. Получение согласия на обработку таких категорий персональных данных у несовершеннолетних невозможно в силу их недееспособности, а получение согласия в письменной форме законного представителя закон не допускает.