Пока мы с коллегой оформляем по красоте работу с ПДн для одного бизнеса, невольно пришлось погрузиться в тему. Штрафы очень серьёзные, требований много, на любой чих нужны либо согласие пользователя либо конкретика в договоре...
И видя, как бизнес мучается с этой технической защитой, регламентами и инструктажами, актированием и журналированием каждого чиха с персональными данными, невольно задумалась вот о чём. Почему с бизнеса дерут три шкуры за нарушения, а госорганизации и учреждения особо не заморачиваются?
Закон говорит, что наши данные защищаются всеми теми, кому мы их предоставили, по одним и тем же правилам. Особенно тщательно эти правила прописаны для ГИС (государственных информационных систем) и государственных и муниципальных организаций. Именно они - основные "хранилища" критически важной информации о гражданах. В законе даже термин для них есть: критическая информационная инфраструктура.
И что мы видим в этих самых критических инфраструктурах на деле?
А то, что сотрудники на местах болт клали на все эти регламенты, требования и прочие средства защиты. Айтишники и руководство думают, что все под контролем, и в случае чего проверяющим просто не к чему будет придраться. А на практике:
- в регистратуре поликлиники вам приходится на весь коридор орать фамилию, имя-отчество и дату рождения, а также адреса и телефоны. Потому что регистратор сидит за толстым стеклом со времён защиты от вируса и плохо вас слышит. А если произносить погромче - слышит и регистратор, и вся очередь заодно. Только успевай записывать (если нужно).
Однажды на моё замечание о том, что я не обязана сообщать свои данные во всеуслышание, и предложение взять мои документы и самой заполнить информацию, мне ответили: да кому они здесь нужны, ваши персональные данные?
- в школьном чате ВатсАп учитель требует от детей срочно уточнить ФИО и место работы родителей - надо для личного дела. Скинуть фото СНИЛС - для заполнения данных для ЕГЭ. Пофамильным списком кидает номера телефонов и адреса электронных почт учеников - проверить актуальность... Да, пользоваться зарубежными мессенджерами запрещено, но кого это останавливает. И да, в общий чат вообще запрещено выкладывать эту информацию - но так же быстрее, нежели за каждым бегать с бумажкой.
- в детском саду лежит в раздевалке бланк. Там ФИО ребёнка, ФИО родителя, номер телефона, адрес прописки и реального проживания - типа анкетный лист, чтобы каждый родитель заполнил, когда приведёт ребёнка в сад. Так быстрее, нежели бегать за каждым родителем и отдельно выяснять информацию. Ну и что, что внесённые данные фактически в свободном доступе всем желающим - родители же сами написали, и вообще - тут все свои.
- в школе учитель требует от родителей предоставить их ИНН, СНИЛС и номера медицинских полисов. На вопрос зачем - "Надо! С нас руководство требует". Что будет, если не предоставить - ну, ничего не будет, личное дело ребёнка будет неполным, нужна полная информация... Для чего школе эта информация и как её собираются использовать - молчание. Предоставьте и всё!
- в суде пристав тайком фоткает паспорта и удостоверения- не успевает записывать в журнал, толпа опаздывает на заседания к 9.30.
Это вроде бы мелочи. И вроде бы мы сами соглашаемся вот так сообщать свою информацию: громко на весь коридор, заполняя анкету и оставляя её на шкафчиках в раздевалке садика, отправляя фото документов, адреса и номера в общие чаты или через зарубежные сервисы... Но в случае жалобы субъекта персональных данных (а это мы и есть), организацию проверят и могут нехило оштрафовать. И все старания юристов (то есть нас) по выстраиванию системы обработки ПДн будут насмарку.
У меня вопрос: вы как, заботитесь о сохранности своих персональных данных? Или тоже погромче сообщаете их в регистратурах и общих чатах? Может, я зря этим заморачиваюсь?
И ещё вопрос: жаловались когда-нибудь на незаконный сбор и обработку персданных? И если да: при каких обстоятельствах и с каким результатом?
Буду очень благодарна за комментарии (для работы надо).