Президент России Владимир Путин подписал закон, усиливающий административную ответственность за нарушение законодательства в области персональных данных, соответствующий документ опубликован на официальном портале правовой информации.
Поправки вносятся в статью 13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».
Случай из жизни
Как-то раз в одной очень уважаемой организации офис-менеджер решила разгрузить шкафы с ненужной ей «макулатурой». В числе многих килограммов старых счетов, договоров и актов она отложила в угол на выброс два толстенных скоросшивателя Korona, ничем не выделявшихся из десятков других. Неизвестно, почему другие сотрудники обратили на них внимание, но, заглянув внутрь, они ужаснулись тому, что могло произойти, окажись документы добычей афериста. Нет, в них не было свидетельств страшных экономических преступлений или коммерческих тайн компании. В папках хранились «всего лишь» копии паспортов, как внутренних, так и заграничных, партнёров той известной фирмы, две папки этакого досье на высший и средний менеджмент крупнейших торговых компаний страны. Читатель легко осознает весь масштаб возможных последствий как для указанных граждан, так и для той компании, где трудилась наша «героиня», попади те бумаги в мусорный бункер, а далее – на глаза неравнодушного гражданина или беспринципного жулика. Как результат в компании через некоторое время появились опечатанные урны для конфиденциальных документов.
Ситуация не уникальна
Как показывает поиск в Сети, например «личные данные выбросили на помойку» или «выброшенные документы», подобное происходит повсеместно. Помимо одного крупного банка, на счету которого (каламбур) не менее трёх нашумевших случаев в Ижевске, Москве и Зеленограде, аналогичным образом отмечались медики, переписчики населения, военкомы и многие, многие другие.
По-видимому, корень проблемы в том, что Федеральный Закон о защите персональных данных трактуется однобоко, и за его исполнением следят почти исключительно в контексте информации в электронном виде.
Это объяснимо: подавляющая часть данных хранится и обрабатывается на серверах, а не в пыльных картотеках, и наиболее крупные кражи случаются без участия фургонов, гружёных документами. Но всё равно на определённых этапах информация частично или полностью оказывается на бумаге: в виде исходных документов, заполненных анкет, выписок, справок и так далее.
По данным Infowatch за разные годы, Россия находится на 2-м месте в мире по числу утечек конфиденциальной информации. Утечка данных на бумаге находится также на 2-м месте после инцидентов с браузерами и «облачными» хранилищами. Отношение подготовленных (намеренная кража) и случайных инцидентов (забытый или выброшенный ценный документ) примерно одинаково. Наибольшую привлекательность для «внутренних» злоумышленников имеют медицина, системы муниципальных и банковских учреждений.
- Теперь давайте задумаемся, куда денутся наши архаичные медицинские карты из больниц и поликлиник, после того как их когда-нибудь оцифруют?
- Где и как закончат свой век архивы учебных заведений, ЖЭКов, налоговых инспекций, МРЭО?
- Разведут ли костёр во исполнение ФЗ152 бухгалтерия и отдел кадров вашей организации, когда придёт пора освобождать полки?
- Про банки и военкоматы уже было сказано. Мы не упомянули ещё анкеты бонусных клубов торговых сетей, договора с салонами сотовой связи, автодилерами, риелторами, страховщиками, юристами, нотариусами…
- Сколько вообще мест, где приходится предъявлять паспорт, оставлять контакты и делиться информацией о себе и своих приобретениях???
Подведём итог...
Под действие Закона №152-ФЗ подпадает «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», независимо от того, на каком носителе она находится.
Многие из данных, прежде чем лечь в виде гига- и терабайтов в защищённые базы данных, «живут» какое-то время на бумаге, и если за серверами следят, в основном, подготовленные и осознающие риски специалисты, то бумажные архивы сплошь и рядом становятся жертвой, в лучшем случае, халатности персонала, а в худшем, – злого умысла. Хотя первое часто лишь предшествует второму.
Не будем наивными: ничего не изменится, пока эти соображения не начнут принимать во внимание надзорные органы, чтобы предотвращать такие инциденты, а не искать виноватых постфактум.
Сделаем вывод
Во всех организациях и подразделениях, чья деятельность затрагивает чувствительные для граждан данные, необходим контроль на всех этапах от заполнения документов до их уничтожения, а также средства, ограничивающие доступ к выводу их на печать. Учитывая, что в краже часто бывает заинтересован сотрудник, официально имеющий к конфиденциальной информации, требуется контролировать, что, кем, в каком количестве и с какой целью выводится на принтер.