Интересное заявление

Довольно странным мне показалось заявление о намерении Роскомнадзора «завершить формирование Реестра операторов, осуществляющих обработку персональных данных» уже в 2010 году. То, что механизм по привлечению к административной ответственности операторов, не представивших уведомление об обработке персональных данных работает хорошо сомнений нет, но каким образом будет завершен сбор уведомлений непонятно. Сейчас в реестре зарегистрировано 85 000 операторов, всего операторов реально обрабатывающих ПДн несколько миллионов. Даже если предположить, что Роскомнадзор приложит очень большие усилия по сбору уведомлений, то собрать уведомления даже с подавляющего числа операторов все равно не получится. Так что, не знаю, как понимать такие заявления.

По всей видимости, под этими словами подразумевалось что-то другое.

Как новые технологии меняют наш мир или что заставляет взрослых людей впасть в детство?

Чего только не увидишь в наше время…

Такую картину мне довелось наблюдать на днях:

Представьте себе офис крупной компании. По офису бегают инженеры лет 40 с мобильными телефонами и фотографируют все вокруг. Сопровождается сие действо восторженными, почти детскими возгласами.

На мой вопрос: «Что это?», последовал короткий ответ: «Гугл!». Как выяснилось позже, инженеры баловались с приложением Google Goggles.

Google Goggles — это приложение для визуального поиска на устройствах под управлением Android.
Приложение позволяет осуществлять поиск не по словам, а по изображению! То есть, фотографируем объект с помощью встроенной в телефон камеры, и Google распознает, что это за объект, и выдает релевантные результаты поиска.

Например, вы увидели фотографию красивого места и пытаетесь узнать, где оно находится или как называется. Или если вы натолкнулись на информацию в газете и хотите узнать больше про эту тему. Функцию Goggles можно использовать, если нужно получить больше информации о достопримечательности, около которой находишься, или если набегу необходимо записать данные с визитки.

Согласно пресс-центру Google, для осуществления подобного поиска Google Goggles использует следующую технологию: система старается соотносить части картинки с массивом имеющихся изображений. Как только совпадение найдено, Google выдает результаты по поисковому запросу, релевантному найденному изображению. На данный момент Google распознаёт десятки миллионов объектов, в том числе географические точки, известные произведения искусства и логотипы.

Чтобы распознать географическую точку даже необязательно делать фотографию. Просто открываем Google Goggles и наведим телефон на место, которое интересует. После этого с помощью GPS и компаса функция Goggles распознает место и отображает его название на видоискателе камеры. После завершения поиска, можно кликнуть на ссылки, чтобы узнать большее о найденном объекте.

P.S. Скоро Google Goggles обзаведется новой функцией перевода.

Доклад на Второй межбанковской конференции или основной камень преткновения в области персональных данных

Но сайте Роскомнадзора опубликован текст доклада заместителя руководителя Шередина со Второй межбанковской конференции в Магнитогорске.

Сразу отмечу серьезный прорыв в плане содержания доклада. Если сравнить нынешний доклад, например, с докладом на Парламентских слушаньях в прошлом году, то разница разительная. Во-первых, очень мало «воды», доклад содержателен. Во-вторых, есть новая интересная информация. В-третьих, сформулирована четкая позиция по важным вопросам. Одним словом доклад подготовлен для людей, а не андроидов.

Судя по докладу, основной камень преткновения – это получение согласия субъекта, поэтому сегодняшний пост решил написать через призму этой задачи.

Пойдем по порядку.

Всего Роскомнадзор в 2009 году провел 34 проверки в кредитно-финансовых учреждениях. Негусто, но уже появляется статистика. Какие же нарушения обнаруживают чаще?

  • обработка персональных данных без согласия субъекта персональных данных (Банк «Петрокоммерц», Райффайзенбанк»);
  • предоставление неполных или недостоверных сведений, в уведомлении (ОАО «Радиотехбанк», Банк «Петрокоммерц»);
  • нарушение требований конфиденциальности (Райффайзенбанк, Банк «Югра»);
    обработка сведений о судимости и персональных данных близких родственников (Банк «Югра», Банк «Петрокоммерц»);
  • несоответствие содержания письменного согласия субъекта персональных данных требованиям Федерального закона «О персональных данных» («Нижневолжский коммерческий банк»).

Сказать по-честному, почти в любом банке можно найти такие нарушения. Причина далеко не всегда в халатности оператора. Закон существует, его надо исполнять, но что делать, если бизнес-процессы были построены, когда о персональных данных даже не слышали? Некоторые бизнес-процессы сами по себе противоречат закону, это встречается сплошь и рядом. Изменить бизнес-процессы, а уж тем более их ликвидировать, задача не простая и не может решаться в один момент. Например, закон требует получать письменное согласие. Что значит для бизнеса? Нужно (функционально, без названий документов):

  • изменить процедуру заключения договоров с физическими лицами;
  • создать процедуру хранения согласий;
  • обеспечить доступ к согласиям должностных лиц, которые имеют на это право;
  • нужно создать и запустить процесс получения согласия от существующих контрагентов;

и т.д.

Даже ради выполнения одного требования, работы нужно проделать массу, а любая работа это ресурсы. Затрат набегает на кругленькую сумму.

Отдельное внимание в докладе уделялось оформлению согласия некоторыми участниками рынка. Я уже писал о типовых договорах некоторых банков, в которых указывается возможность обрабатывать персональные данные субъекта персональных данных чуть ли не в течение всей его жизни. Так вот в докладе Шередина прозвучала официальная позиция регулятора по этому вопросу:

По нашему мнению, срок действия согласия клиента банка ограничивается сроками действия банковского договора. Таким образом, вышеуказанные формулировки являются не соответствующими законодательству.

Принимая во внимание особую актуальность вопросов защиты прав субъектов персональных данных, считаю необходимым скорейшее принятие кредитными организациями действенных мер, направленных на полное пресечение указанных нарушений и недопущение их в будущем.

Значительная часть доклада уделена взаимоотношениям банков и коллекторских агентств. И опять вопрос согласия стоит на первом месте.

В первую очередь, это касается передачи персональных данных коллекторам без соответствующего согласия субъекта персональных данных. Наиболее остро стоит ситуация с действующими кредитными договорами, заключенными до вступления Федерального закона «О персональных данных» в силу. Позиция Роскомнадзора по данному вопросу остается неизменной: взыскание кредиторской задолженности по указанным договорам должно осуществляться либо силами банка, либо третьими лицами, если это установлено условиями клиентских договоров.

Конечно, регулятор поставлен законом в «неловкое» положения. С одной стороны есть четкое требование закона, что обрабатывать персональные данные можно только при наличии письменного согласия субъекта, с другой стороны есть деликатный вопрос взыскания задолженности. Выработать 100% действующий механизм в существующих условиях НЕВОЗМОЖНО. Под условиями я подразумеваю существующие принципы взаимоотношений «клиент-банк-коллектор-клиент» и спорную «кухню» работы коллекторов. Поэтому обещание Роскомнадзора «жестко пресекать» нарушения в этой области считаю нереализуемым, но… регулятор обязан контролировать соблюдение законности, каким бы закон ни был.

Самым насущным вопросом, который поднимался в докладе, считаю вопрос «баз неблагонадежных заемщиков», которые ведут любые кредитные учреждения. Такие базы есть у всех, их не может не быть, если вы выдаете кредиты! Но с точки зрения закона их быть не должно. В этой части все банки – нарушители. Позиция Роскомнадзора понятна, если базы есть, то их нужно уничтожить. Сделать это нереально! Как банк должен оценивать свои риски? В таком случае, делать нечего, операторам приходится прятать регламенты работы с такими системами и исключать пункты по обращению к таким системам из инструкций сотрудников банка. И уж тем более нельзя ссылаться на результат проверки в таких системах в случае отказа в выдаче кредита.