Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Практические аспекты защиты персональных данных у операторов связи». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Следует понимать, что о тотальной слежке за каждым абонентом речь не идёт, так как на это не хватит ни оборудования, ни сотрудников. В основном такая информация хранится обезличено в специальном массиве. Данные о конкретном абоненте вынимаются только по официальному запросу от правоохранительных органов.
✨ Мнение эксперта. Как нововведение может сказаться на пользователях
На первый взгляд, нововведения не затрагивают обычных пользователей: они и ранее обязаны были предоставлять паспорт, заключая абонентский договор, и сведения будут теперь предоставлять не они сами, а их оператор. Но надо учитывать, что теперь операторам потребуются дополнительные расходы на сбор и анализ информации, на интеграцию с информационным ресурсом Роскомнадзора. Также возможны финансовые потери от того, что заключение корпоративных договоров с юридическими лицами станет сложнее – и компании, вероятно, менее охотно станут пользоваться мобильной связью.
Расходы эти могут быть возмещены за счёт простых пользователей – и, как следствие, следует ждать возможного роста цен на сотовую связь и мобильный интернет.
Обязательно ли уведомление об обработке данных?
Оператор до начала обработки персональных данных обязан уведомить о своем намерении уполномоченный орган по защите прав субъектов персональных данных (п. 1 ст. 22 Закона об обработке персональных данных). Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Закона, является Россвязькомнадзор, разработавший форму такого уведомления и Рекомендации по ее заполнению (Приложения 1 и 2 к Приказу N 08) . На основании уведомления организации регистрируют в реестре операторов, после чего они могут на законных основаниях обрабатывать данные клиентов.
Приказ Россвязькомнадзора от 17.07.2008 N 08 «Об утверждении формы образца уведомления об обработке персональных данных».
Как и в отношении получения согласия на обработку персональных данных, есть ряд исключений, когда компании не нужно уведомлять контролирующие органы. Для операторов связи отдельного исключения для освобождения от подачи уведомления не предусмотрено, поэтому обратимся к общим основаниям. В частности, организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку личных сведений работников, которых с операторами связывают трудовые отношения. Заметим, в этом контексте не идет речь о гражданско-правовых отношениях, поэтому к лицам, работающим по договорам подряда или возмездного оказания услуг, применить указанную норму не удастся. В таком случае следует прибегнуть к другой норме, которая позволяет обрабатывать персональные данные без предварительного уведомления управления Россвязькомнадзора.
Нюансы «ручной» обработки персональных данных
В процессе работы с клиентами еще до того, как заключить договор на оказание услуг связи, операторы иногда используют типовые формы самостоятельно разработанных документов, которые предполагают включение в них персональных данных. Такие действия, как использование, уточнение, распространение, уничтожение личных данных, произведенные при непосредственном участии человека, в соответствии с Законом о персональных данных считаются обработкой персональных данных, осуществляемой без использования средств автоматизации. Даже если персональные сведения просто находятся в какой-либо базе данных или извлечены из нее, они будут считаться обработанными без использования средств автоматизации. Обработка персональных данных не может быть признана как производимая с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе. Об этом говорится в отдельном Положении об особенностях обработки персональных данных без использования средств автоматизации .
Постановление Правительства РФ от 15.09.2008 N 687.
В указанном документе содержится ряд требований к типовым формам документов, характер информации в которых предполагает включение в них персональных данных. Начать следует с того, что форма запроса и иные связанные с ним документы должны содержать информацию о цели обработки личных данных. Основная часть типовой формы включает данные организации, занимающейся «ручной» обработкой, используемые персональные данные клиентов, информацию о сроке их обработки, перечень совершаемых с ними действий и общее описание используемых способов работы с индивидуальными сведениями. Если необходимо письменное согласие на обработку персональных данных (в том числе на передачу третьим лицам), в типовом бланке следует оставить место, где клиент может поставить отметку о своем согласии. Следует учесть еще одно ограничение, суть которого в том, что каждый из субъектов персональных данных, содержащихся в типовой форме, имел возможность ознакомиться только со своими данными. Проще всего это сделать посредством занесения сведений о клиентах в отдельные типовые формы, в которых фирма для учета основных сведений может составить реестр или журнал, доступный лишь для сотрудников компании. Лучше установить строго определенный перечень лиц, которые обрабатывают тот или иной информационный блок либо получают к нему доступ.
Сколько в России «настоящих» и серых сим-карт
По данным AC&M Consulting, на 31 декабря 2018 года в России насчитывалось 255,7 млн активных сим-карт, что на 0,3% меньше, чем по итогам 2017 года. В прошлом году было продано 97 млн новых сим-карт, на 12% меньше, чем в 2017-м.
При этом партнер AC&M Антон Погребинский подчеркнул, что, по его оценке, 19% от общего количества зарегистрированных в стране сим-карт на конец прошлого года уже не использовались абонентами, но продолжали учитываться операторами как активные. Активные же сим-карты распределялись следующим образом: 52% (или 132,96 млн штук) использовались в смартфонах, 23% — в кнопочных телефонах и 6% — в устройствах M2M (межмашинная коммуникация: различные счетчики, датчики и т.п.). Сколько сим-карт могли быть заблокированы из-за поправок, Погребинский оценить не берется. Ранее один из участников рынка говорил РБК, что примерно 80% абонентской базы — это стабильные абоненты, которые оформляли сим-карты по паспорту и пользуются ими уже несколько лет, а остальные 20% — серые абоненты, которые покупают по несколько сим-карт в месяц, используют их для одного-двух звонков и могут попасть под действие поправок.
В первом полугодии 2019 года было изъято более 32,8 тыс. незаконно распространяемых сим-карт, сообщал Роскомнадзор. Большинство нарушений было связано с продажей сим-карт без договора и предъявления покупателем документа, удостоверяющего личность, а также с заключением договора об оказании услуг связи неуполномоченным лицом.
Раньше купить симку без паспорта тоже было нельзя, но многие это делали
Потом заработали поправки, которые позволяли требовать проверки данных у некоторых абонентов и даже отключать им связь. Но для этого нужен был запрос от правоохранительных органов или Роскомнадзора. Если ничего не нарушил, по анонимной или чужой симке можно было разговаривать и дальше. Сами операторы могли не проверять достоверность данных в договорах и не знали, существует ли такой человек и действительно ли у него эта серия паспорта.
Услуги мобильной связи можно предоставлять только тем абонентам, о которых у оператора есть достоверные сведения. То есть должны соблюдаться как минимум два условия:
Это значит, что купить симкарту без паспорта или пользоваться чужой теперь будет как минимум сложнее. Даже если такая возможность останется, в любой момент можно получить смс от оператора: «Подтвердите личность или отключим связь». Такие сообщения могут приходить даже абонентам, у которых симкарты честно оформлены на свое имя и в договоре указаны правильные паспортные данные. Это не любопытство оператора, а его обязанность по закону.
Или старая обязанность?
Обратим внимание, что обязанность абонента, озвученная в пп. «г» п. 25 Правил оказания услуг телефонной связи, существует с момента начала действия этих правил – с 15.01.2015. Однако УК, ТСЖ, не выполнявшие обязанность по предоставлению сведений о пользователях услуг связи до 01.06.2018, действовали правильно, если у них не было согласия пользователей на передачу персональных данных. Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Статьей 7 этого закона предусмотрено следующее.
К сведению: операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Таким образом, передача персональных данных физических лиц – пользователей услуг связи абонента в отсутствие на то их согласия находилась под запретом. Ограничение снято. На основании абз. 7 п. 1 ст. 53 Федерального закона № 126-ФЗ, введенного Федеральным законом № 245-ФЗ, не нужно получать согласие пользователя услуг связи абонента – юридического лица (ИП) для передачи его персональных данных оператору связи.
Актуализация паспортных данных в Теле2
Постоянно актуализировать паспортные данные в Теле2 и другую информацию владельца о себе — не простое занятие, не всегда об этом вовремя вспомнишь, да и держать руку на пульсе не у каждого есть время. Поэтому для пользователей есть универсальный совет — информировать мобильного провайдера Теле2 о изменениях:
- Имени.
- Фамилии.
- Даты рождения.
- Места жительства.
- Замены персональных документов — паспорта.
При начале пользования услугами Теле2 клиент подписывает договор о предоставлении услуг. В этом договоре указаны конкретные данные обеих сторон. Если одна из позиций теряет юридическую силу, то договор считается недействительным. Это значит:
- для клиента теряется основание на предоставление мобильных услуг на телефон;
- для компании Теле2 появляется основание для предъявления нарушения Федерального закона “О связи”.
Оператор персональных данных — кто является оператором ПДн по ФЗ 152
Знание законодательной базы для того, кто намерен осуществлять обработку ПДн в рамках своей деятельности, является обязательным, и главным нормативно-правовым актом является Федеральный Закон № 152, принятый в 2006 году.
Он регулирует взаимоотношения владельцев личной информации и тех, кто использует эти сведения для коммерческих и иных целей.
Детальный анализ ФЗ позволит разобраться, кто признается оператором персональных данных, какие у него права и обязанности, может ли быть обработчиком поручитель, какие требования предъявляются к тем, кто собирает, хранит, копирует, распространяет, уничтожает и блокирует сведения. Особого внимания заслуживает вопрос необходимости исполнения закона о ПДн в полном объеме, например, в отдельных случаях нет необходимости отправлять уведомление Роскомнадзору об осуществлении обработки информации.
Как поменять паспортные данные в Теле2 – актуализация информации
Для изменения владельца симки нужно подготовить полный пакет документации. Какие именно справки входят в этот перечень – зависит от конкретной ситуации. При отсутствии передающей стороны сделать передачу невозможно.
В переносе номера откажут, если он оформлен на другого человека. Несколько лет назад моя коллега купила симкарту на стойке сотового оператора в торговом центре. Паспорта с собой у нее не было, и, чтобы не потерять покупателя, продавец внес в договор свои данные — сейчас это незаконно, а тогда еще было можно.
Друзья! Реклама помогает развиваться проекту, просим внести этот сайт в список разрешенных или отключить AdBlock. Реклама на нашем сайте не будет мешает просмотру статей и не станет вклинивается в их текст. Заранее спасибо!
Ехать для этого в офис не придется. Нужно оформить заявку на сайте того оператора, к которому хотите перейти.
Что подлежит включению в базу Роскомнадзора?
Предпринимать меры по уведомлению Роскомнадзора для включения в список придется:
- Интернет-ресурсам (соцсетям, форумам, порталам), которые проводят регистрацию пользователей с указанием ПД даже в минимальной форме (Ф.И.О. и электронный адрес).
- Онлайн-магазинам, принимающим от покупателей информацию об обратном звонке, адресе доставки товара.
- Сайтам, публикующим информацию о субъекте или отправляющим ее на электронный ящик, а также тем, которые уже содержат конфиденциальные данные.
Внимание! Роскомнадзор имеет право заблокировать интернет-ресурс, нарушающий законодательство в сфере ПД.
- Компаниям, организациям, предпринимателям, которые занимаются оперированием ПД на постоянной основе: юридические и бухгалтерские конторы, турагентства, учреждения ЖКХ, регистраторы и реестродержатели, банки и медучреждения, образовательные учреждения, компании сферы обслуживания, выдающие клубные карты.
- Компаниям, функционирующим на основе гражданско-правовых договоров с внештатными кадрами.
- Фирмам, использующим системы CRM.
Кто такие операторы персональных данных и чем они занимаются?
Для начала стоит разъяснить основные понятия. В Федеральном законе от 27.07.2006 № 152-ФЗ предлагается следующее определение понятию персональные данные: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Сама формулировка определения ясно говорит о том, что исчерпывающего списка, который бы четко регламентировал, какая информация будет считаться персональными данными, а какая нет, не существует. Иными словами, для идентификации гражданина в одной ситуации необходимо будет знать ФИО и контактный номер, а в другом случае может понадобиться его удостоверение и адрес регистрации.
На основании этого можно заключить, что оператором персональных данных будет являться государственный или муниципальный орган, юридическое или физическое лицо, которое занимается сбором, хранением и обработкой персональных данных. Более того, в Роскомнадзоре придерживаются позиции, что организация становится оператором персональных данных непосредственно в тот момент, когда начинает обрабатывать информацию. Поэтому не имеет значения подала ли организация уведомление, получила ли она официальных статус — в глазах ведомства компания стала оператором персональных данных в тот момент, как пользователь заполнил форму обратной связи на сайте.
Таким образом, в каждой сфере есть операторы персональных данных, потому что они используют и обрабатывают сведения, по которым можно идентифицировать гражданина: магазины, салоны красоты, государственный автоматизированные системы, медицинские учреждения и образовательные организации. И поэтому все они должны определенные правила, установленные законом закону № 152-ФЗ:
- разъяснять человеку, какие данные и для каких целей будут собраны;
- обнародовать документы, касающиеся обработки персональных данных;
- обеспечивать защиту персональных данных (в том числе уничтожать записи, если субъект ПД докажет, что сведения были получены незаконным путем или блокировать доступ к сведениям по запросу).
Что проверяет Роскомнадзор?
Регулярные проверки ведомства — мощный стимул для организаций не нарушать положения ФЗ-152. Главное, на что обращают внимание представители госструктуры:
- наличие письменного согласия субъектов в случае их необходимости;
- присутствие локальной документации, регулирующей взаимоотношения между оператором и владельцем ПДн, а также их соблюдение;
- своевременное уведомление о начале обработки;
- поставленные цели и длительность хранения информации;
- применяемые меры защиты, налаженная система ограничения доступа;
- сервера, на которые помещаются сведения для систематизации и хранения.
Как уведомить Роскомнадзор о сборе персональных данных
Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
- наименование компании (ФИО ИП) и ее адрес;
- цель обработки персональных данных (например, заключение трудовых договоров);
- категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
- категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
- сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
- ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
- предполагаемая дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
- сведения об обеспечении безопасности персональных данных.
Направить уведомление можно следующими способами:
- в бумажном виде,
- в электронном виде с использованием усиленной квалифицированной электронной подписи,
- в электронном виде с использованием средств аутентификации ЕСИА.