Log in

29 марта 2024 года, 15:15

Персональные данные должны иметь «российскую прописку»

В Пятигорске в пресс-центре одноименной гостиницы состоялась пресс-конференция руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по СКФО Дмитрия Поляничева.

Прежде всего, Дмитрий Вячеславович подробно рассказал о работе возглавляемого им управления. В соответствии с наделенными полномочиями Роскомнадзор, как еще называют управление, осуществляет контрольные функции в сфере связи. Кстати, туда входят все виды связи, в том числе и почтовая. В сфере массовой коммуникации - средства массовой информации, в том числе, разумеется, и телерадиовещание.

«Также мы являемся уполномоченным органом в сфере защиты прав субъектов персональных данных», - говорит Дмитрий Вячеславович. Одновременно на протяжении вот уже чуть более двух лет управление осуществляет координационные функции территориальных органов в Северо-Кавказском федеральном округе.

Вся электросвязь, естественно, работает на основании лицензии. Управлением контролируются и правила предоставления услуг связи.

«Мы очень ждем от Минкомсвязи, от Правительства РФ принятия критериев качества связи, потому что на сегодняшний день оно не всегда удовлетворяет потребителя», - сказал Дмитрий Вячеславович.

С первого сентября вступают в силу изменения 152-го Закона о персональных данных. Все базы, в которых обрабатываются персональные данные российских граждан, должны находиться в РФ. После вступления в силу изменения статьи Закона о персональных данных и при дальнейших надзорных мероприятиях управление будет контролировать и это направление.

После вступительной речи руководителя управления присутствующие на пресс-конференции журналисты задали массу интересующих их вопросов.

- Дмитрий Вячеславович, законна ли передача банками персональных данных граждан-заемщиков коллекторам с целью взыскания кредитной задолженности.

В случае, если договором предусмотрено при возникновении задолженности согласие клиента на передачу его персональных данных коллекторскому агентству и до возникновения задолженности клиент отзывает свое согласие, то необходимо уточнить, данное согласие было условием договора и прописано в договоре или согласие давалось отдельно от договора. В случае, если согласие было условием договора и отзыв согласия оформлен в виде дополнительного соглашения к договору, то передача оператором без согласия клиента будет неправомерной. Если согласие изначально не являлось условием договора, то его отзыв впоследствии будет расцениваться как неправомерная передача персональных данных.

При осуществлении деятельности по взысканию задолженности на основании агентских договоров банки и коллекторские агентства должны соблюдать требования конфиденциальности. Представителям коллекторского агентства необходимо убедиться в том, что у банка имеется согласие должников на передачу их персональных данных.

Кроме того, в Гражданском кодексе предусмотрена возможность переуступки прав. При этом согласие должника на передачу его персональных данных в рамках переуступки права требования не требуется. Но ввиду того, что персональные данные получены не от субъекта персональных данных, коллекторское агентство обязано проинформировать его о факте заключения договора цессии и предоставить ему информацию, предусмотренную ч.3 ст.18 ФЗ «О персональных данных».

- Должны ли кредитные организации удалять персональные данные граждан-заемщиков в случае отзыва согласия на обработку персональных данных?

- Зачастую отзыв согласия на обработку персональных данных не является основанием для прекращения обработки банками персональных данных при наличии существующих договорных отношений. Российское законодательство в области персональных данных предоставляет банкам право обрабатывать персональные данные граждан на основании заключенного договора, а также реализовать свое право на взыскание задолженности в рамках агентской схемы уступки права требования по кредитному договору (цессия).

- Правомерно ли хранение персональных данных граждан банками после прекращения договорных отношений?

- В соответствии с ч.1 ст.7 ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны до приема на обслуживание идентифицировать клиента, представителя клиента и (или) выгодоприобретателя, за исключением случаев, установленных п.п. 1.1, 1.2 и 1.4 указанной статьи.

Согласно ч.4 ст.7 указанного ФЗ, банк вправе хранить документы, содержащие сведения, необходимые для идентификации личности, не менее пяти лет.

Таким образом, хранение банками указанной информации предусмотрено и ч.7 ст.5 ФЗ «О персональных данных».

- Вопрос о привлечении управляющими компаниями третьих лиц для осуществления расчетов за помещения и коммунальные услуги с собственниками жилых помещений в отсутствии согласия на передачу персональных данных.

- Частью 15 ст.155 Жилищного кодекса предусмотрено право управляющей организации осуществлять расчеты с нанимателями и собственниками жилых помещений при участии платежных агентов.

Кроме того, в соответствии ч.16 ст.155 Жилищного кодекса в указанных случаях согласие нанимателей и собственников жилых помещений на передачу их персональных данных платежным агентам не требуется.

- Вопрос об использовании в рамках реализации проекта «Школа будущего» в автоматизированной системе оплаты и учета организации питания учащихся школ биометрических персональных данных, в частности папиллярных узоров пальцев и (или) ладоней рук учащегося.

- В первую очередь следует отметить, что отпечатки пальцев, а равно и ладоней рук человека являются биометрическими персональными данными (дактилоскопической информацией), обработка которых осуществляется только в случаях, установленных ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», которым четко определены виды и порядок проведения государственной дактилоскопической регистрации.

Также необходимо отметить, что согласно принципам обработки персональных данных, изложенным в ст. 5 ФЗ «О персональных данных», обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается также объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Кроме того, положения ч.1 ст.11 ФЗ152 не подлежат расширительному толкованию и не предусматривают возможности получения согласия на обработку биометрических персональных данных от законного представителя субъекта персональных данных, в данном случае от родителей несовершеннолетних.

Исходя из того, что целью обработки биометрических персональных учащихся является организация питания и учет безналичных расчетов, а не дактилоскопическая регистрация, использование в автоматизированной системе оплаты и учета организации питания учащихся биометрических персональных данных, а именно данные об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, не соответствует нормам законодательства РФ.

Таким образом, учитывая все вышеперечисленное, обработка биометрических персональных данных в рамках реализации проекта «Школа будущего» не отвечает требованиям законодательства РФ и является недопустимой.

- Российские школы активно внедряют электронные формы дневников и журналов. В связи с этим от родителей требуется предоставление для регистрации (а, следовательно, для обработки и распространения) большого числа сведений о ребенке и родителях. Каким образом они будут использованы и защищены, не знают ни родители, ни работники школ. Насколько правомерны эти действия, и могут ли родители отказаться от участия в названных мероприятиях? Вопрос очень актуален, поскольку, с одной стороны, постоянно говорится о вреде распространения детьми информации о себе в социальных сетях, а с другой - обязывают родителей участвовать в распространении такой информации.

- В настоящее время обязательное ведение дневников и журналов в электронном виде законодательно не закреплено. В указанном случае обработка персональных данных должна осуществляться с согласия родителей как законных представителей несовершеннолетних детей. Гражданин, как субъект персональных данных, принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Необходимо учитывать, что в случае, если предоставление персональных данных является обязательным в соответствии с Федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

Предоставив свои персональные оператору, гражданин вправе в соответствии со ст. 14 ФЗ «О персональных данных» потребовать у него информацию относительно дальнейшей обработки его персональных данных (сроки обработки персональных данных, в том числе сроки их хранения, порядок уничтожения, сведения о лицах, которые имеют доступ к персональным данным и т.д.). Кроме того, требованиями законодательства в области персональных данных предусмотрена обязанность оператора, осуществляющего сбор персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий политику в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.

Подробную информацию об операторах можно в любое время посмотреть в Реестре операторов персональных данных по адресу: pd.rsoc.ru.

- Как быть образовательным организациям при предоставлении государственной услуги по ведению электронных дневников и журналов в случае отказа законных представителей несовершеннолетних предоставить согласие на обработку персональных данных?

- В случае оказания услуги по ведению электронных дневников и журналов посредством единого портала государственных и муниципальных услуг согласие субъекта персональных данных не требуется.

В случае, если оператор поручил обработку персональных данных другому лицу с согласия субъекта персональных данных и в случае последующего отказа законных представителей от предоставления согласия на обработку персональных данных образовательные учреждения не имеют оснований для передачи персональных данных обучающихся третьему лицу. И последний вопрос.

- В соответствии с ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч.2 ст.22. Как быть тем операторам, которые осуществляют обработку лишь тех персональных данных, которые он вправе обрабатывать без уведомления уполномоченного органа, а уведомление ранее направил ошибочно? При этом Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», не предусматривает случаи исключения оператора из реестра в случае ошибочного направления уведомления.

Существующий сегодня Административный регламент предусматривает исчерпывающий перечень оснований для исключения Оператора из реестра, и действительно, такое основание как ошибочное направление уведомления им не предусмотрено. Административный регламент в этой части требует изменений, и решение о внесении таких изменений рассматривается Роскомнадзором.

Тем не менее возникает вопрос, почему Оператор хочет исключиться из реестра. В среде операторского сообщества существует мнение, что организации, находящиеся в реестре, подлежат обязательно проверке уполномоченным органом, хотя на деле мы большее внимание уделяем тем организациям, кого нет в реестре, и учитываем этот факт при составлении плана проверок. Факт нахождения в реестре говорит о добропорядочности оператора и о прозрачности его деятельности. Многие жалобы начинаются со слов, что некоего Оператора нет в реестре, и далее звучит просьба его проверить. Поэтому, прежде чем исключаться из реестра, советую хорошенько подумать, а если еще не внесены в реестр и имеются какие-то сомнения о необходимости подачи соответствующего уведомления, рекомендую оставить сомнения и подать уведомление, от этого больше плюсов, чем минусов.

Вопросов было много и чувствовалось, что пресс-конференция вызвала живой интерес.

Я надеюсь, мы встретились не последний раз. Если будут какие-то изменения в законодательстве, мы всегда готовы встретиться. Мы заинтересованы в том, чтобы все наши граждане знали об этих изменениях и по направлению СМИ, обработке персональных данных, потому как, если граждане будут знать, естественно, у нас меньше будет вопросов и быстрее они будут разрешаться», - сказал Дмитрий Вячеславович. Так что не исключено, что наши встречи примут традиционный характер.

 

НА СНИМКЕ: Дмитрий Поляничев.

Фото Василия ТАНАСЬЕВА.