В преддверии второй международной конференции "Защита персональных данных", которая начнется 26 октября в Москве, корреспондент РИА Новости поговорил с Романом Шерединым, заместителем руководителя контролирующего органа в этой сфере - Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Шередин, ведомство которого стало инициатором конференции, рассказал агентству о последствиях крупных скандалов в российском интернете, связанных с массовой утечкой персональных данных, а также о том, какие меры Роскомнадзор предпримет в ближайшее время для повышения уровня защиты персональных данных в стране.
- Персональные данные сегодня нередко "всплывают" в интернете. Как Роскомнадзор с этим борется?
- По искам Федеральной службы судами к сегодняшнему дню закрыт 22 интернет-сайта, где были размещены такие сведения. Вроде, и немного, но ведь нельзя дом построить за день. Мы нарабатываем практический опыт. Есть сложности с тем, как разбирают такие дела разные суды, иногда возникает недопонимание при взаимодействии с прокуратурой.
- Имела ли продолжение нашумевшая летом история с "Яндексом", который индексировал SMS абонентов "Мегафона"?
- Напомню, что по этому случаю в действиях ОАО "МегаФон" нарушений законодательства в области персональных данных выявлено не было, поскольку тексты не позволяли идентифицировать их отправителя.
Были установлены факты нарушения законодательства в области связи в части обеспечения соблюдения тайны связи. "Мегафон" был оштрафован по исковому заявлению Роскомнадзора за нарушение лицензионных условий деятельности на 30 тыс. рублей. Оператор, правда, обжаловал решение, и рассмотрение этой жалобы назначено на 26 октября.
- В свободном доступе летом обнаружились и сведения о покупателях интернет-магазинов. Какие меры приняты Роскомнадзором?
- Несмотря на отсутствие жалоб со стороны этих покупателей, Роскомнадзор установил более 80 интернет-магазинов, информация о клиентах которых попала в открытый доступ. Мы определили 15 интернет-магазинов, которые предоставили доступ к наиболее широкому перечню сведений о покупателях, и направили документы в органы прокуратуры. На сегодняшний день дела об административном правонарушении возбуждены в отношении владельцев шести сайтов.
- Уже скоро зима, а дела возбуждены лишь в шести случаях. Почему так мало?
- Вы затронули одну из проблем надзорной деятельности в сфере персональных данных, которая ждет своего решения. Дело в том, что установленный срок для привлечения к административной ответственности по статье 13.11 КоАП РФ - три месяца. Дела по этой статье имеют право возбуждать только органы прокуратуры, которые зачастую перегружены и не всегда могут во время рассмотреть наши документы.
- Можно ли как-то изменить эту ситуацию?
- Анализируя ее, мы вышли в Госдуму с инициативой по внесению изменений в законодательство. Суть инициативы в том, чтобы полномочия по возбуждению дел в области нарушений закона "О персональных данных" передать Роскомнадзору. Принятие поправок, рассмотрение которых должно состояться уже этой осенью, позволит существенно сократить время возбуждения и передачи в суды административных дел. Но главное, что будет соблюден принцип неотвратимости наказания.
- Считаете ли вы, что наказания, предусмотренные за нарушение закона о защите персональных данных, недостаточно жесткие?
- Мы выдвинули законодательную инициативу, согласно которой, ответственность за нарушения закона об охране персональных данных будет ужесточена. Я уверен, что ужесточение ответственности повысит защищенность данных. Сейчас максимальный штраф в отношении юридического лица - 10 тысяч рублей, а суды обычно выписывают всего 3-5 тысяч рублей за нарушение.
Кроме того, я считаю, что ответственность должна быть дифференцирована в зависимости от степени вреда. Разумеется, должны быть разработаны и четкие критерии, которые позволят степень вреда определить. Пока никакой градации нарушений у нас нет, но насколько я знаю, наша идея с дифференциацией ответственности находит поддержку и в Госдуме.
Мы хотим, чтобы штрафы соотносились с единоразовыми затратами операторов персональных данных на организацию адекватной защиты. Оператор должен понимать, что единожды потратив деньги на необходимые организационно-технические мероприятия, он, во-первых, будет избавлен от многих проблем с защитой персональных данных, а во-вторых, избежит штрафов, которые могут самым негативным образом сказаться на результатах деятельности его организации, а где-то - и на устойчивости бизнеса.
- Много ли вообще Роскомнадзор выявил нарушений в области защиты персональных данных?
- С 2008 года Роскомнадзор провел более 3 тысяч проверок в отношении операторов, осуществляющих обработку персональных данных, выдано более 4 тысяч предписаний об устранении нарушений, составлено и направлено на рассмотрение в суды 6,5 тысячи протоколов об административных правонарушениях. Суммарно все нарушители оштрафованы на сумму свыше 10,8 миллиона рублей.
- Как же все же добиться того, чтобы персональные данные не оказывались в свободном доступе в интернете? Или хотя бы минимизировать риски?
- Проблема неприкосновенности частной жизни в интернете будет существовать до тех пор, пока граждане будут продолжать доверять ресурсам сомнительного происхождения. В свою очередь, операторы для минимизации риска и сокращения расходов на защиту должны обезличивать обрабатываемые персональные данные.
- Вернемся в офлайн, в реальную жизнь. Нередко при входе, например, в бизнес-центры у нас требуют паспорт, часто - снимают его копию. Законно ли это?
- Требование предъявить документы не является незаконным. Но если у вас попросили документ и внесли ваши данные при посещении других организаций, эти данные должны быть удалены после вашего ухода.
- А как люди могут это проконтролировать?
- В соответствии с законом "О персональных данных" у каждого гражданина есть право обратиться к оператору, осуществляющему обработку персональных данных, и запросить у него перечень обрабатываемых персональных данных, цели их обработки и сроки хранения. В этом смысле охранное предприятие - тоже оператор персональных данных.
По закону оператор, в свою очередь, обязан, в том числе, отвечать на запросы граждан. Если обращение в ЧОП вам не помогает, вы можете обратиться в Роскомнадзор, и если мы выявим нарушение, предприятие будет привлечено к ответственности.
- По все тому же закону бюджетные и часто далеко не богатые организации, такие как поликлиники, детские сады, школы должны будут тоже позаботиться о защите персональных данных. Действительно ли у них найдутся средства для обеспечения такой защиты?
- Новая редакция закона "О персональных данных", которая вступила в силу с 1 июля, установила более гибкие подходы к обеспечению безопасности обрабатываемых персональных данных. Сейчас каждая организация сама определяет модели угроз для себя и самостоятельно определяет набор организационно-технических мер, которые эти угрозы парируют.
Вместе с тем, закон действует с 2007 года, и руководители должны были все эти расходы заранее спланировать. Для государственных предприятий есть программа "Информационное общество", выделены расходы на информатизацию.... Пожалуйста, закладывайте эти расходы, регистрируйте свои информационные системы в реестре федеральных государственных информационных систем и получайте на их развитие и поддержку государственное финансирование.
Снижению издержек может способствовать и привлечение сторонней организации, которая займется обработкой персональных данных. Сейчас закон это допускает.
- Международная конференция по защите персональных данных, инициатором которой стал Роскомнадзор, проводится второй год подряд, и означает ли это, что она оказалась востребованной у специалистов разных стран?
- Убежден, что да. Об этом можно судить хотя бы по количеству участников 2-й конференции, в том числе из-за рубежа. В прошлом году на конференцию приезжали представители уполномоченных органов по защите персональных данных стран СНГ. Сейчас же мы ждем высоких гостей ещё и из стран Центральной и Восточной Европы, Балканского полуострова. Всего участие в конференции подтвердили представители 16 государств.
Для Роскомнадзора, как уполномоченного органа в России, конференция приобретает особый смысл, так как на нас возложены полномочия по сотрудничеству с аналогичными органами из других стран.
- Планируется ли подписать на конференции какие-либо документы?
- Мы предложим коллегам присоединиться к Меморандуму о сотрудничестве уполномоченных органов, что позволит нашим гражданам чувствовать себя защищенными в любой стране.
На прошлогодней конференции Меморандум вместе с нами подписали Республика Молдова, Республика Кыргызстан. Позднее к нему присоединилась Республика Армения. Знаю, что у ряда других стран есть заинтересованность присоединиться к "первопроходцам".
- Каковы практические результаты вашего международного сотрудничества по защите персональных данных?
- Преимущественно нам оказывают содействие в закрытии интернет-сайтов, на которых размещены базы с персональными данными граждан России. Так, в мае Роскомнадзор направил в адрес американского регистратора MarkMonitor письмо с просьбой прекратить делегирование доменного имени shockcrim.blogstop.com. Компания MarkMonitor перенаправила письмо в адрес администратора доменного имени, который закрыл сайт.
Аналогичным образом мы поступили и по сайту Rusleaks.com - направили письмо администратору в США. Ответ пока не получили. Помимо этого, подано исковое заявление в Таганский районный суд Москвы о признании деятельности сайта незаконной.
Всего же в 2011 году Роскомнадзор направил регистраторам доменных имен в США материалы по 13 сайтам. На сегодняшний день по результатам рассмотрения материалов Роскомнадзора американскими и индийским регистраторами, в общей сложности, прекращено делегирование шести доменных имен.
- Всегда ли обращения в другие страны заканчиваются удовлетворением ваших требований?
- К сожалению, не всегда на наши обращения реагируют так, как нам бы хотелось. К примеру, мы обратились в Республику Беларусь с аналогичной RusLeaks ситуацией, просили привлечь гражданина Белоруссии к ответственности. Но белорусы нам ответили, что на сегодняшний день у них нет норм в законодательстве, которые позволили бы это сделать.
Этот факт еще раз подтверждает, сколь нова эта сфера деятельности для многих стран, и что необходимо максимально плотное сотрудничество для выработки единых, сопряженных мер противодействия злоупотреблениям в сфере защиты персональных данных.