Как уходят наши персональные данные: почему обычный визит в бизнес-центр может стать риском

Сегодня большинство граждан считает, что утечка персональных данных происходит исключительно из-за действий хакеров, вирусов или взломов информационных систем. Однако практика показывает, что конфиденциальная информация может оказаться в руках третьих лиц значительно проще — в результате действий самих сотрудников организаций, имеющих доступ к документам посетителей.

Именно человеческий фактор нередко становится причиной неправомерного распространения персональных данных.

Паспорт «для пропуска»

Репортёр информационного агентства «Специальный репортёр» столкнулся с ситуацией при посещении бизнес-центра «Зигги Парк».

При входе сотрудник, находившийся на стойке ресепшен, потребовал предъявить паспорт гражданина РФ для оформления пропуска. После получения документа он вручную переписал паспортные данные в обычную тетрадь.

При этом сотрудник не представился, первоначально не предъявил документ, удостоверяющий его полномочия, а после вопроса о занимаемой должности лишь достал бейдж, на котором были указаны имя и отчество без фамилии.

На вопрос, является ли он сотрудником лицензированной охранной организации и несёт ли ответственность за обработку персональных данных посетителей, однозначного ответа получено не было. Также сотрудник не смог пояснить, какую должность занимает и на каком основании осуществляет сбор паспортных данных.

Что ответила управляющая компания

Редакция направила официальный запрос в управляющую компанию ООО «Основа», обслуживающую бизнес-центр.

В ответе сообщается, что объект режимным не является, а обработка персональных данных посетителей осуществляется в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Однако содержание ответа не устраняет вопросов, возникших при посещении объекта.

Что говорит закон

Согласно статье 6 Федерального закона № 152-ФЗ, обработка персональных данных допускается только при наличии одного из предусмотренных законом оснований.

Одним из таких оснований является согласие субъекта персональных данных.

При этом согласие должно быть конкретным, информированным и сознательным. Посетителю должно быть понятно:

• кто является оператором персональных данных;
• с какой целью собираются сведения;
• какие именно данные обрабатываются;
• как долго они будут храниться;
• кому они могут быть переданы;
• каким образом обеспечивается их защита.

Кроме того, статья 5 Федерального закона № 152-ФЗ устанавливает принцип минимизации персональных данных: оператор вправе запрашивать только тот объём информации, который действительно необходим для достижения конкретной законной цели.

Если посетителю не разъясняются основания обработки данных, порядок их хранения и права субъекта персональных данных, подобная практика может вызвать вопросы относительно соблюдения требований законодательства.

Почему это опасно

Паспорт содержит значительный объём конфиденциальной информации:

• фамилию, имя и отчество;
• дату рождения;
• место регистрации;
• серию и номер документа;
• сведения об органе, выдавшем паспорт.

Попадание этих данных в руки недобросовестных лиц может привести к различным негативным последствиям — от навязчивого использования персональной информации до мошеннических действий. Именно поэтому законодатель предъявляет повышенные требования к её обработке.

Особую обеспокоенность вызывает ситуация, когда сведения записываются вручную в обычную тетрадь. При таком способе хранения возникают вопросы о том, кто имеет доступ к этим данным, как обеспечивается их сохранность, сколько времени они хранятся и каким образом впоследствии уничтожаются.

Вопросы, требующие разъяснения

Описанная ситуация вызывает ряд вопросов, ответы на которые имеют принципиальное значение:

• на каком правовом основании осуществляется переписывание паспортных данных посетителей;
• кто является оператором персональных данных;
• утверждены ли локальные документы, регулирующие обработку персональных данных;
• назначено ли ответственное лицо за их защиту;
• каким образом обеспечивается безопасность собранной информации;
• уведомлён ли уполномоченный орган о деятельности по обработке персональных данных, если такая обязанность предусмотрена законодательством.

Ответы на эти вопросы способны прояснить, соответствует ли практика обработки персональных данных требованиям российского законодательства.

Что следует помнить гражданам

Передавая паспорт любому сотруднику организации, гражданин вправе поинтересоваться:

• кто именно собирает его персональные данные;
• для каких целей они необходимы;
• на каком основании осуществляется их обработка;
• кто отвечает за их сохранность.

Защита персональных данных начинается с внимательного отношения самого человека к собственной информации.

Сегодня можно с уверенностью сказать: беречь необходимо не только документы, но и сведения, которые они содержат. Ведь восстановить утраченную конфиденциальность зачастую значительно сложнее, чем предотвратить её утрату.