Больше года прошло с того времени, как вступил в силу новый закон, затрагивающий абсолютно каждого жителя Беларуси. Речь идет о законе о защите персональных данных. Большинство компаний, полагаю, скорректировали свои бизнес-процессы с учетом требований законодательства. Тем же, кто еще не успел это сделать, этот материал будет полезен. На примере конкретной белорусской компании в сфере ретейла мы расскажем, как грамотно выстроить работу по приведению деятельности организации в соответствие с законодательством о персональных данных.
Что было сделано
"В нашей компании было понимание, что с принятием закона "О защите персональных данных" необходимо приводить деятельность в соответствие с законодательством о персональных данных, - отметил начальник службы по защите информации компании Максим Гречаников. - Мы провели аудит бизнес-процессов, которые затрагивают обработку персональных данных. Безусловно, их большое количество. Минимизировали объем обрабатываемых персональных данных для определенных бизнес-процессов, при этом для некоторых бизнес-процессов и вовсе исключили обработку персональных данных".
"Подобрали правильные, на наш взгляд, правовые основания обработки, издали и опубликовали на сайте компании политики обработки персональных данных. В частности, внешняя политика объясняет клиентам, как компания и для каких целей обрабатывает их персональные данные, политика по видеонаблюдению разъясняет, где и каким образом в компании осуществляется видеонаблюдение и сколько хранятся видеозаписи, а политика по файлам cookie позволяет посетителям сайта компании понимать, какие файлы cookie используются, как обрабатываются и как долго хранятся" - добавил специалист.
Что касается трудовых отношений, то согласие на обработку персональных данных у работников берется лишь для минимального количества целей. Во взаимоотношениях между нанимателем и работником работники находятся в зависимом положении, и вряд ли согласие может быть свободным. И в большинстве случаев информация о работниках обрабатывается нанимателем на основании требований законодательных актов.
Кто контролирует обработку персональных данных
"Наша компания уделяет большое внимание обработке и защите персональных данных клиентов, поэтому у нас создано отдельное структурное подразделение, контролирующее этот процесс. Мы планомерно, но, на мой взгляд, уверенно двигаемся вперед по выполнению требований закона", - отметил Максим Гречаников.
По его словам, в этом подразделении работают три сотрудника: два специалиста по защите информации, имеющие высшее юридическое образование, и специалист по информационной безопасности с высшим техническим образованием в IT-сфере. В перспективе подразделение планируется расширять.
К слову, ранее квалификационные требования к работникам, ответственным за внутренний контроль за обработкой персональных данных, отсутствовали. С недавнего времени появилось требование о наличии высшего образования. Это закреплено в Едином квалификационном справочнике должностей служащих (ЕКСД). Причем, как порекомендовал Максим Гречаников, желательно назначать специалистов с высшим юридическим образованием. Технический специалист не всегда может понять тонкости юридического характера.
Начальник службы также пояснил, почему в его организации было принято именно такое решение - создать отдельное структурное подразделение, а не ограничиться одним специалистом. "Руководство приняло такое решение исходя из объема и количества бизнес-процессов, которые связаны с обработкой персональных данных. В компании может быть и не много сотрудников, но если их деятельность сопряжена с большим количеством бизнес-процессов, которые затрагивают обработку персональных данных, то у специалистов, как я, работы будет очень много, в том числе юридической и технической", - отметил он.
Национальный центр защиты персональных данных рекомендует составить реестр обработки персональных данных по каждому структурному подразделению. "В нашей компании около 20 структурных подразделений, и руководитель каждого из них совместно с нашей службой заполняет его. В этом реестре прописан каждый бизнес-процесс, касающийся обработки персональных данных", - добавил он.
Когда исключается обработка персональных данных
Если из какого-то бизнес-процесса можно исключить или минимизировать обработку персональных данных, то, безусловно, это нужно сделать, заметил Максим Гречаников. Он привел классический пример - резюме кандидата на трудоустройство. Ранее многие работодатели запрашивали у потенциальных работников избыточную информацию, в том числе идентификационный номер, сведения о лицах, которые могут дать рекомендации с прошлых мест работы, информацию о близких родственниках, привлечении к уголовной или административной ответственности, состоянии здоровья. Согласитесь, такая информация в резюме зачастую носит избыточный характер.
Или другой пример из практики, который часто приводит руководство Национального центра защиты персональных данных, - бабушка хочет стать участником программы лояльности торговой сети. Чтобы выдать бонусную карту, у нее спрашивают идентификационный номер. "То есть чтобы получить бонусную карту и пользоваться скидками на социально значимые товары, бабушке нужно предоставить идентификационный номер. Это несколько странно. Возникает вопрос: зачем интересуются этой информацией и что с ней будут делать далее. Безусловно, такие случаи нужно искоренять", - уверен начальник службы.
Еще один пример, который вполне можно допустить. Для получения скидки в строительном гипермаркете необходимо предоставить копию своего паспорта и свидетельства о государственной регистрации недвижимости. "Информацию скопировали, а значит, она куда-то ушла, - заметил Максим Гречаников. - Но как далеко она ушла, в каких информационных системах осела и как в дальнейшем ее будут защищать? А ведь копия того же паспорта содержит гиперважную информацию, которая сопровождает человека большую часть его жизни. Более того, если эта информация попадет злоумышленникам, то они, сопоставив некоторые факты, будут знать о человеке практически все и могут использовать против него".
Кстати, о книге замечаний и предложений
Типовая форма книги замечаний и предложений включает довольно много персональных данных: фамилию, имя, отчество, контактный номер телефона и адрес места жительства. Кроме того, там указывается суть замечания или предложения. Таких записей может быть сотня - с каждой из них вполне может ознакомиться заявитель, который пишет новое обращение.
"То есть любой человек, попросив книгу замечаний и предложений (а ее должны выдать по первому требованию), может полистать более ранние обращения и ознакомиться с персональными данными людей, оставившими до этого свои записи. Можно создать некую базу данных: кто и чем был недоволен либо кто за что благодарил, где проживает заявитель и какой его телефон", - заметил Максим Гречаников.
В настоящий момент форму книги замечаний и предложений изменить проблематично. Поэтому Национальный центр защиты персональных данных неоднократно требовал от компаний предпринять иные меры по защите персональной информации. Например, в компании, где работает Максим Гречаников, в книгу вкладывают лист бумаги так, чтобы скрыть прежние записи, скрепляют исписанные страницы вместе и прикладывают пояснительную записку следующего содержания: "В соответствии с законодательством о персональных данных доступ к персональным данным лиц, которые ранее оставили обращения в книге замечаний и предложений, ограничен. Убедительно просим вас не ознакамливаться с ранее оставленными обращениями, содержащими персональные данные".
"Соглашусь, вложенный лист бумаги выглядит несколько двусмысленно. На самом деле мы просто скрываем и таким образом защищаем персональные данные лиц, которые оставили обращения ранее", - добавил начальник службы.
Организации и компании, которые являются операторами по обработке персональных данных, должны принимать меры по защите персональных данных и недопущению случайного или несанкционированного доступа к персональным данным. Об этом говорится в ст.17 закона о защите персональных данных, заметил Максим Гречаников.
Показательным будет и пример с оформлением доверенностей. "Наши контрагенты просят или даже требуют, чтобы в доверенности были указаны ФИО, занимаемая должность, дата рождения, идентификационный номер, серия и номер паспорта, адрес места жительства. Ознакомившись с этой информацией, контрагент будет знать все мои чувствительные персональные данные. Но как они будут обрабатываться, как долго, насколько четко будет соблюдаться законодательство? В частности, наши работники этим озадачены", - отметил начальник службы.
По его словам, Национальный центр защиты персональных данных прорабатывает вопрос объема персональных данных, которые указываются в доверенности.
Много ли работы у специалиста по внутреннему контролю за обработкой персональных данных
Максим Гречаников признался, что сам не раз слышал, как руководители предприятий предлагали юристам взять ответственность за осуществление внутреннего контроля за обработкой персональных данных на 3-4 месяца, наладить процесс, а затем вернуться к своей основной юридической работе. К сожалению, это невозможно, уверен он.
Большинство бизнес-процессов связано с обработкой персональных данных. К тому же возникают новые бизнес-процессы, и эти процессы также необходимо привести в соответствие с законодательством. "Кроме того, у нас большой объем договорной работы с контрагентами. Необходимо заключать соглашения об обработке персональных данных, контролировать сроки их обработки, не допускать избыточной обработки персональных данных", - добавил начальник службы.
Вместе с тем специалист по защите информации не может отдаляться от специалиста по информационной безопасности, уверен он. "Мне как юристу необходимо развиваться и в части обеспечения информационной безопасности, поэтому считаю большим подспорьем возможность пройти обучение, организованное Национальным центром защиты персональных данных совместно с БГУИР. Я вижу для себя это как точку роста", - отметил Максим Гречаников.
Обучение сотрудников не для галочки
В компании, в которой работает Максим Гречаников, очень большое внимание уделяют обучению работников защите персональных данных. Специалисты, которые осуществляют внутренний контроль за обработкой персональных данных, должны проходить обучение в Национальном центре защиты персональных данных не реже одного раза в пять лет, специалисты по информационной безопасности - не реже одного раза в три года. Это установлено законодательством.
Что касается обучения работников, которые обрабатывают персональные данные, здесь применен в чистом виде рискориентированный подход: сотрудников можно либо направлять на обучение в Национальный центр защиты персональных данных, либо проводить обучение в самой компании, но обязательно с контролем знаний.
"В прошлом году у нас был принят локальный правовой акт об обучении работников и составлен график. В январе обучение прошли служба по корпоративной культуре, отдел по подбору персонала, отдел по обучению и развитию персонала, отдел кадров", - рассказал начальник службы.
Сначала обсуждаются общие требования законодательства. "При этом мы избегаем излишнего цитирования закона, а нормы законодательства объясняем простым и понятным языком, поскольку не у всех работников высшее юридическое образование. Затем разъясняем требования нашей политики обработки персональных данных и далее переходим в сферу бизнес-процессов конкретного отдела. После этого отвечаю на вопросы - сначала касательно бизнес-процессов, а затем плавно переходим на повседневную жизнь. Наши сотрудники тоже ведь субъекты персональных данных: они ходят в магазины, обращаются в банки, в риелторские и страховые компании и прочее. И всем интересно, как должны обрабатываться их персональные данные", - отметил Максим Гречаников.
По его словам, работники задают очень много вопросов, проецируя услышанное не только на свою рабочую деятельность, но и личную жизнь. "Честно говоря, я был приятно удивлен, что обучение вызывает такой живой интерес, и оно проводится не для галочки. Люди действительно очень интересуются, что такое обработка персональных данных и как правильно это делать", - заключил он.
Светлана ВАСИЛЕВСКАЯ,
БЕЛТА.-0-