Федеральный закон № 152-ФЗ «О персональных данных» принят в России в 2006 году, однако до сих пор его исполнение вызывает вопросы. В частности, юристы указывают на неправомерность фиксации сотрудниками бизнес-центров паспортных данных посетителей. Зачастую это делается без согласия граждан на обработку и хранение этой информации.
Отметим, что в большинстве офисных центров посетители сталкиваются с необходимостью при входе предъявить паспорт. При этом сотрудники управляющей компании или охранного предприятия записывают в журнал учета или вводят в базу данных на компьютере фамилию, имя, отчество посетителя, номер паспорта, дату и место его выдачи, а иногда и место регистрации. Иногда страницы паспорта копируют или сканируют.
По мнению управляющего партнера юридической компании «ЭНСО» Алексея Головченко, такие действия являются прямым нарушением 152-ФЗ «О персональных данных» в том случае, если посетители бизнес-центра не дают согласия на обработку и хранение их личной информации. Они могут привести к утечке данных, условия хранения и доступа к которым зачастую не контролируются.
«Сегодня есть современные компании, которые осознают, что являются операторами персональных данных. Они объясняют посетителям цель сбора информации и просят заполнить небольшое соглашение, а также используют специальные программы, гарантирующие защиту от взлома. Но большинство организаций действуют, как в советские времена: они требуют предъявить паспорт, куда-то данные записывают или вводят в базу, не спрашивая у человека никакого разрешения и храня на удобных для них ресурсах. Это прямое нарушение закона о персональных данных, с соблюдением которого в России вообще большие проблемы», — пояснил Алексей Головченко.
Впрочем, по словам экспертов, закон допускает, что согласие на обработку информации может быть не письменным, если данные фиксируются для достижения общественно значимых целей при условии, что не нарушаются права и свободы субъекта персональных данных (подпункт 7 пункта 1 статьи 6 ФЗ № 152). В случае с бизнес-центрами речь идет о безопасности, поэтому данное исключение применимо.
Однако наблюдатели отмечают, что на основании права не получать письменное согласие граждан «бюро пропусков» бизнес-центров зачастую некорректно трактуют закон, полагая, что он вообще написан не для них. В результате информацию они собирают в избыточном количестве, о целях ее фиксации никого в известность не ставят, а разрешения на хранение и обработку не спрашивают даже в устной форме.
Эксперты отмечают, что при таком подходе возникают сомнения в том, что выполняются и другие требования законодательства, в частности, касающиеся условий хранения информации и обеспечения доступа к ней только оговоренным в законе лицам. А это уже может повлечь крайне нежелательные последствия для субъектов персональных данных, так как не очень понятно как хранятся журналы учета и каким образом впоследствии ими распоряжаются.
При этом посетителям бизнес-центров бывает очень сложно определить, не вступая в конфликт, гарантирует ли такой сбор данных безопасность их личной информации.
«Нарушается закон или нет, зависит от того, как устроен документооборот в конкретной компании. Но посетителю офисного центра сложно разобраться, соблюдаются ли нормы действующего законодательства при фиксации данных его паспорта. Существует много требований к хранению этой информации, и никто не может сказать, выполняет ли их организация. Я не встречал нигде, чтобы бизнес-центры, вводя данные в свою базу, спрашивали согласие в какой-либо форме, поэтому можно предположить, что нарушения имеют место», — отметил управляющий партнер юридической компании Legal Jazz Роман Фадеев.
По словам Алексея Головченко, надзорные ведомства, ответственные за исполнение ФЗ № 152, — Роскомнадзор и Федеральная антимонопольная служба — зачастую не отслеживают подобные действия и не назначают за них наказания. Хотя закон предусматривает штрафы для юридических лиц до 75 тыс. руб.
Таким образом, строгость закона «О персональных данных», по словам экспертов, компенсируется необязательностью его исполнения. Несмотря на несколько этапов доработки нормативного документа, компании находят способы избежать ответственности за нарушения.
А не проще ли для всех будет, если прописать в законе, что добровольная передача документа является согласием на обработку данных, в нем содержащихся? Не хочешь фиксировать данные — не передавай документ. Единые и понятные для всех правила — лучшая профилактика проблем.
А не проще отменить этот закон. Наши данные гуляют где хочешь, от воспитателя в детском саду до интернета. При этом загруженность работников по защите , обработке возрастает, штрафуют регулярно, но наши данные утекают все равно.