30 май 2018
В частности, юристы указывают на неправомерность фиксации охранными службами бизнес-центров паспортных данных посетителей. Зачастую это делается без согласия граждан на обработку и хранение этой информации.
Отметим, что в большинстве офисных центров посетители сталкиваются с необходимостью при входе предъявить паспорт. При этом сотрудники управляющей компании или охранного предприятия записывают в журнал учета или вводят в базу данных на компьютере фамилию, имя, отчество посетителя, номер паспорта, дату и место его выдачи, а иногда и место регистрации. Иногда страницы паспорта копируют или сканируют.
По мнению управляющего партнера юридической компании «ЭНСО» Алексея Головченко, такие действия являются прямым нарушением 152-ФЗ «О персональных данных» в том случае, если посетители бизнес-центра не дают согласия на обработку и хранение их личной информации. Они могут привести к утечке данных, условия хранения и доступа к которым зачастую не контролируются.
«Сегодня есть современные компании, которые осознают, что являются операторами персональных данных. Они объясняют посетителям цель сбора информации и просят заполнить небольшое соглашение, а также используют специальные программы, гарантирующие защиту от взлома. Но большинство организаций действуют, как в советские времена: они требуют предъявить паспорт, куда-то данные записывают или вводят в базу, не спрашивая у человека никакого разрешения и храня на удобных для них ресурсах. Это прямое нарушение закона о персональных данных, с соблюдением которого в России вообще большие проблемы», — пояснил Алексей Головченко.
Впрочем, по словам экспертов, закон допускает, что согласие на обработку информации может быть не письменным, если данные фиксируются для достижения общественно значимых целей при условии, что не нарушаются права и свободы субъекта персональных данных (подпункт 7 пункта 1 статьи 6 ФЗ № 152). В случае с бизнес-центрами речь идет о безопасности, поэтому данное исключение применимо.
Однако наблюдатели отмечают, что на основании права не получать письменное согласие граждан охранные фирмы зачастую некорректно трактуют закон, полагая, что он вообще написан не для них. В результате информацию они собирают в избыточном количестве, о целях ее фиксации никого в известность не ставят, а разрешения на хранение и обработку не спрашивают даже в устной форме.
Эксперты отмечают, что при таком подходе возникают сомнения в том, что выполняются и другие требования законодательства, в частности, касающиеся условий хранения информации и обеспечения доступа к ней только оговоренным в законе лицам. А это уже может повлечь крайне нежелательные последствия для субъектов персональных данных, так как не очень понятно как хранятся журналы учета и каким образом впоследствии ими распоряжается охранная фирма.
При этом посетителям бизнес-центров бывает очень сложно определить, не вступая в конфликт, гарантирует ли охранная фирма безопасность их личной информации.
«Нарушается закон или нет, зависит от того, как устроен документооборот в конкретной охранной компании. Но посетителю офисного центра сложно разобраться, соблюдаются ли нормы действующего законодательства при фиксации данных его паспорта. Существует много требований к хранению этой информации, и никто не может сказать, выполняет ли их организация. Я не встречал нигде, чтобы охранники, вводя данные в свою базу, спрашивали согласие в какой-либо форме, поэтому можно предположить, что нарушения имеют место», — отметил управляющий партнер юридической компании Legal Jazz Роман Фадеев.
По словам Алексея Головченко, надзорные ведомства, ответственные за исполнение ФЗ № 152, — Роскомнадзор и Федеральная антимонопольная служба — зачастую не отслеживают подобные действия и не назначают за них наказания. Хотя закон предусматривает штрафы для юридических лиц до 75 тыс. руб.
Таким образом, строгость закона «О персональных данных», по словам экспертов, компенсируется необязательностью его исполнения. Несмотря на несколько этапов доработки нормативного документа, компании находят способы избежать ответственности за нарушения.