Нормативно-правовое регулирование в сфере оборота персональных данных
(Торговченков В. И.)
(«Законность», 2013, N 4)
НОРМАТИВНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ
В СФЕРЕ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В. И. ТОРГОВЧЕНКОВ
Торговченков Владимир Иванович, прокурор Тамбовской области, государственный советник юстиции 3 класса.
В статье исследуются проблемы реализации законодательства, регулирующего обработку и защиту персональных данных граждан, на примере Тамбовской области.
Ключевые слова: персональные данные, нормативно-правовое регулирование, защита персональных данных.
Normative legal regulation in the sphere of circulation of personal data
V. I. Torgovchenkov
The article studies the problems of implementation of legislation governing processing and protection of personal data of citizens as exemplified by the Tambov Region.
Key words: Personal data, normative legal regulation, protection of personal data.
В современной России сложились благоприятные условия для свободного использования информации, в том числе личного характера, — персональных данных. Повсеместное применение компьютерных технологий существенно облегчило сбор, накопление, обработку и распространение персональных данных. Одновременно с этим значительно увеличился риск их утечки и несанкционированного использования.
Действующим законодательством в области персональных данных предусмотрены многочисленные требования по их защите от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Основные принципы обработки персональных данных граждан закреплены в ст. ст. 23, 24 Конституции РФ — каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Вопросы обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных нашли детальное регулирование в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон).
Однако анализ результатов практической реализации основополагающих положений и начал в области персональных данных вызывает необходимость корректировки как деятельности органов и организаций всех форм собственности, так и самого законодательства.
Проведенные органами прокуратуры Тамбовской области проверки показали, что на территории области субъекты персональных данных, осуществляющие их обработку, допускают многочисленные нарушения в этой сфере правоотношений.
Несмотря на продолжительное действие (с 2007 г.) Закона, многие образовательные и медицинские учреждения, информационные, туристические и риелторские агентства, управляющие компании и организации жилищно-коммунального комплекса до настоящего времени не приняли необходимых мер правового и организационного характера по организации обработки и защиты персональных данных.
Так, управляющие организации г. Котовска ООО «Жилищное хозяйство», ООО «Колесница», ООО «КотовскТеплоСнаб», ООО «Теплостроймонтаж», являющиеся операторами персональных данных, не представили в уполномоченный орган по защите прав субъектов персональных данных (управление Роскомнадзора по Тамбовской области) предусмотренное ст. 22 Закона уведомление о намерении осуществлять обработку персональных данных.
Подобные нарушения выявлены в управляющих компаниях г. Моршанска (ООО «Глазурит», ООО «Жилищник»), Сосновского района (ООО «Сосновские коммунальные сети»), риелторских и туристических агентствах г. Тамбова (ООО «Квартал», ООО «Ваш дом», ООО Центр туризма «Паритет»), г. Мичуринска (ООО Агентство недвижимости «Усадьба», ООО Туристическая фирма «Мир открытий»).
В Ржаксинском районе учреждение здравоохранения «Ржаксинская центральная районная больница» после смены организационно-правовой формы необходимое информационное письмо о внесении изменений в реестр операторов персональных данных не направляло. В нарушение ст. 22.1 Закона не назначены лица, ответственные за организацию обработки персональных данных: в ООО «Дмитриевская управляющая компания» Никифоровского района, МБОУ ДОД «Школа искусств» Гавриловского района, ОАО «Мордовагрохимия», ТОГ-БУЗ «Мордовская ЦРБ», ОАО «Маслосырзавод «Новопокровский» Мордовского района, ООО «ЖКХ», ООО «Солидарность» Рассказовского района, администрациях сельсоветов Уваровского района.
Операторами персональных данных игнорируется предусмотренная ч. 2 ст. 18.1 Закона обязанность по обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Так, ТОГБУЗ «Городская больница г. Котовска» не обеспечило гражданам неограниченный доступ к указанным документам — локальные акты не опубликованы и не размещены на официальном сайте, информационных стендах учреждения.
Горрайпрокуроры в ходе проверки вскрыли многочисленные факты обработки персональных данных граждан без соответствующего согласия на их обработку, несоответствия формы согласия предусмотренным требованиям, нарушения порядка обработки специальных категорий персональных данных.
В администрациях Козьмодемьянского, Новосеславинского, Хоботовского и других сельсоветах Первомайского района обработка персональных данных осуществлялась без согласия работников, персональные данные уволенных работников хранились без их письменного согласия, работники не были ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников. Аналогичные нарушения выявлены в администрациях сельсоветов Староюрьевского, Инжавинского районов, ОАО «Тамбовский завод ЖБИ», ОАО «Тамбовский автотранспортный комбинат» Советского района г. Тамбова.
ТОГБОУ «Знаменская специальная (коррекционная) общеобразовательная школа-интернат», ТОГБУ СОН «Центр социальных услуг для населения Знаменского района» обработку специальной категории персональных данных, касающейся национальной принадлежности работников учреждений и их детей, осуществляли без обязательного письменного согласия субъекта персональных данных. Кроме того, в направленных в управление Роскомнадзора по Тамбовской области уведомлениях об обработке персональных данных такая категория обрабатываемых персональных данных, как «национальность», также не указывалась.
Кирсановским межрайпрокурором вскрыты факты неисполнения главами администраций сельсоветов Постановления Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Принимаемые операторами меры технического характера по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных являются минимальными и явно недостаточными.
ООО «Управляющая компания «Тамбовский коммунальный стандарт» осуществляет хранение материальных носителей персональных данных собственников жилых помещений на открытых стеллажах, расположенных в помещении, в которое в течение рабочего времени имеют беспрепятственный доступ лица, не допущенные к обработке персональных данных, и посторонние лица, не являющиеся работниками компании.
В свободном доступе для посторонних лиц находятся сведения о собственниках и жителях многоквартирных домов управляющей компании ООО «Климат нашего двора» Мичуринского района. Личные дела сотрудников ОАО «Маслосырзавод «Новопокровский» Мордовского района хранились на полке в шкафу кабинета главного бухгалтера; работников ТОГБУЗ «Сосновская ЦРБ» — на открытых стеллажах и в незакрываемых шкафах.
В администрациях сельсоветов Уваровского района антивирусное программное обеспечение, установленное на компьютерах, используемых для обработки персональных данных, устарело и не обеспечивает должной защиты. Не приняты необходимые технические меры по обеспечению защиты персональных данных в общеобразовательных учреждениях Токаревского, Бондарского и других районов.
В целях реального устранения нарушений требований закона и обеспечения защиты информации личного характера о гражданах по всем отмеченным фактам приняты меры прокурорского реагирования. Всего по результатам проведенных проверочных мероприятий горрайпрокурорами возбуждено 223 дела об административных правонарушениях, предусмотренных ст. 13.11 и ст. 19.7 КоАП, внесено 240 представлений об устранении нарушений законодательства.
Прокуратура области направила на места информационное письмо о практике прокурорского надзора за исполнением законодательства о персональных данных, с прокурорами городов и районов проведен учебно-методический семинар.
Изучение нормативных правовых актов Тамбовской области показало, что постановлением администрации области 23 ноября 2012 г. утверждена долгосрочная целевая программа «Формирование электронного правительства Тамбовской области» на 2013 — 2016 гг. Целями программы среди прочих являются обеспечение информационной безопасности электронного правительства региона и обеспечение защиты персональных данных. Однако программа каких-либо мероприятий, направленных на организацию обработки и защиты персональных данных в деятельности органов местного самоуправления, не предусматривает. Этот вопрос решен только в отношении аппарата администрации области.
Значительная часть нарушений допускается органами местного самоуправления, муниципальными учреждениями и предприятиями. Прокуратурой области вопрос совершенствования деятельности органов местного самоуправления по обработке и защите персональных данных поставлен перед главой администрации области и председателем ассоциации «Совет муниципальных образований Тамбовской области».
О практике прокурорского надзора и состоянии законности в рассматриваемой сфере проинформирован главный федеральный инспектор в Тамбовской области.
Отдельное внимание прокуратурой области уделено функции по надзору за обработкой персональных данных и полноте проводимых проверок уполномоченным органом по защите прав субъектов персональных данных — управлением Роскомнадзора по Тамбовской области.
Проверкой контролирующего органа вскрыты существенные просчеты при организации и планировании деятельности. В реестре операторов, осуществляющих обработку персональных данных, числится порядка 2,5 тыс. организаций. Между тем управлением ежегодно проверяется не более 1% от их общего количества. Несмотря на распространенность нарушений в деятельности органов местного самоуправления, должностными лицами управления проведена лишь одна проверка этой категории субъектов персональных данных в 2011 г. и одна проверка запланирована на 2013 г.
С целью активизации деятельности управления Роскомнадзора по исполнению возложенных на службу контрольно-надзорных полномочий руководителю управления внесено представление.
Анализ материалов проверки свидетельствует и о необходимости совершенствования действующего законодательства в обозначенной сфере.
За нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) ответственность определена ст. 13.11 КоАП.
Статьей 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» за уполномоченным органом по защите прав субъектов персональных данных закреплено право привлекать к административной ответственности лиц, виновных в нарушении этого Закона. Положения статьи сформированы без учета того, что фактически уполномоченный орган такой возможностью не обладает. В силу ст. 28.4 КоАП полномочиями по возбуждению дел этой категории наделены исключительно прокуроры. На практике материалы проверок в отношении лиц, в действиях которых содержатся признаки административного правонарушения, направляются в органы прокуратуры для последующего возбуждения дел об административных правонарушениях.
Представляется, что административное законодательство в этой части нуждается в корректировке. Наделение уполномоченного органа по защите прав субъектов персональных данных полномочиями по составлению протоколов способствовало бы повышению эффективности его деятельности по пресечению правонарушений в рассматриваемой сфере правоотношений.
——————————————————————