Эксперты: необходимо наводить порядок в сфере оборота персональных данных

За последнее время было очень много «сливов» персональных данных (ПД) в России, в частности жалобы поступали на Альфа-банк и Сбербанк — ЦБ разбирается в ситуации, планирует усилить контроль за банками. Распространена также практика продажи, хищения ПД. Были даже реальные уголовные сроки, с этим связанные.

На Х Международной конференции «Защита персональных данных », которую провела Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор, РКН) 7 ноября, в числе других обсуждался вопрос о защите персональных данных. Глава ведомства Александр Жаров предложил ввести административную ответственность за покупку и незаконное распространение персональных данных.

«Готовим пакет предложений, направленных на регламентацию внутреннего контроля за обработкой персональных данных и установлением административной ответственности не только за распространение персональных данных, полученных незаконным путем, но и за их приобретение и последующее использование таких данных», — заявил А. Жаров.

Инициатива ждет поддержки Минкомсвязи России и Федерального собрания.

По ФЗ «О персональных данных» запрещено использовать персональные данные человека, если он не дал на это письменное согласие, могут создаваться «общедоступные источники персональных данных (в том числе справочники, адресные книги)», вносить туда данные субъекта с его письменного разрешения, при этом они должны быть убраны из общего доступа «по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов» (ст. 8 федерального закона о ПД).

Тем не менее не редки случаи, когда незаконно «сливаются» данные о физлицах. Например, на специализированном форуме были опубликованы данные о владельцах кредиток Альфа-банка (3,5 тыс. клиентов), а также клиентов «АльфаСтрахования» (3 тысячи человек), их выставили на продажу. Банк разбирается в ситуации. С такой же проблемой столкнулся и Сбербанк. На рынок попали данные о 60 миллионах держателей кредиток Сбербанка. Однако Сбербанк отрицает утечку.

Но иногда нарушителей обнаруживают, и он получает уголовный срок, как было с бывшим сотрудником Сибирского филиала ПАО «Мегафон». Он работал инженером по эксплуатации систем обеспечения продаж, и у него, как следует из материалов уголовного дела, был доступ к программе с базой данных об абонентах. Мужчина продал информацию о двух клиентах «Мегафона» «неустановленному лицу», который написал ему в Telegram. Сим-карты этих абонентов были заблокированы. Бывшего инженера компании «Мегафон» судили по ч. 3 ст. 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»).

Эксперты сходятся в том, что недостаточно просто ввести административную ответственность за использование и продажу ПД, нужно заниматься действующими нормами и наводить порядок в хранении и распространении персональных сведений о субъектах.

«За последнее время было очень много сливов персональных данных. Слишком много. Нужна какая-то реакция. И, как обычно, самый простой и прямолинейный выход — начать потрясать кулачками», — считает IT-специалист, исполнительный директор «Общества защиты интернета» Михаил Климарев.

Директор «Бюро корпоративного консалтинга и безопасности» Алексей Долженков сказал о том, что «хотелось бы верить, что Роскомнадзор, как основной регулятор в данной сфере, не ограничится ужесточением ответственности и займется наведением порядка в бесконечном множестве нормативных актов регулирующих порядок оборота персональных данных».

«На сегодняшний день незаконное распространение персональных данных приобрело катастрофический характер, купить можно практически любые сведения, начиная от данных банковских карт, кредитной истории и заканчивая сведениями о приобретенных авиа и ж/д билетах. Ни одна компания, неважно государственная или частная, не застрахована от недобросовестных сотрудников, желающих заработать на продаже имеющихся баз данных, в общем спрос рождает предложение, — отметил в беседе с «Московской газетой» Долженков. — Еще одним из факторов, способствующих развитию нелегального оборота персональных данных, является отсутствие у операторов понимания и системного подхода к выстраиванию внутри компании грамотной политики информационной безопасности, отчасти это обусловлено отсутствием четких правил игры, отчасти отсутствием культуры работы с персональными данными и понимания важности обеспечения их сохранности».

 «Как и в любой другой сфере, бизнесу нужны четкие правила игры, а сейчас большинство нарушений связаны с непониманием операторами, особенно из категории малого и среднего бизнеса, сложной системы регулирования правоотношений в сфере оборота персональных данных», — заключил Алексей Долженков.