В мае 2021 года был принят закон "О защите персональных данных", направленный на обеспечение и защиту прав граждан при обработке их персональных данных. 15 ноября он вступил в силу.
Обеспечить исполнение закона призван недавно созданный Национальный центр защиты персональных данных. Он наделен статусом уполномоченного органа по защите прав субъектов персональных данных. Определены его основные права, задачи и функции.
Участники круглого стола рассказали о разработке и положениях закона, об аспектах его практического применения, а также о направлениях деятельности Национального центра защиты персональных данных.
Участники:
Центр защиты персональных данных обеспечит методологическое сопровождение и обучение
Об этом сообщил директор центра Андрей Гаев во время круглого стола в пресс-центре БЕЛТА.
"Центр будет решать две главные задачи. Первая связана с организацией защиты персональных данных в Беларуси. Это не значит, что в центре будут сконцентрированы все информационные ресурсы - базы, банки данных. Они останутся у собственников, владельцев этих систем. Но через вопросы, связанные с обеспечением методологического сопровождения, контролем, через рассмотрение жалоб, которые, возможно, будут возникать у граждан, субъектов персональных данных, центр будет влиять на данные процессы", - сказал Андрей Гаев.
В первое время деятельности упор будет на методологическом обеспечении реализации вступления в силу закона о защите персональных данных. "У каждой организации, оператора было полгода, чтобы обеспечить реализацию этого закона на практике. Поэтому ссылаться на то, что чего-то в глобальном аспекте не хватает, категорически неверно. Ряд вопросов должен был урегулировать центр, который только чуть больше недели назад юридически создан. Мы понимаем, что некоторые моменты требуют времени, поэтому с пониманием будем относиться к тем процессам, которые еще должны быть решены, но работу юридических и иных служб организаций, конечно, этот центр подменять не будет, каждый должен обеспечить исполнение того, что в законе написано", - подчеркнул Андрей Гаев.
Вторая важная задача Национального центра защиты персональных данных связана с организацией образовательного процесса. Центр будет обеспечивать повышение квалификации по вопросам защиты персональных данных. Кроме того, от Национального центра обмена трафиком переходят вопросы по повышению квалификации по темам, связанным с технической и криптографической защитой информации. Есть соответствующие решения, которые определяют, кто и когда должен проходить такое обучение.
Национальный центр защиты персональных данных был создан 15 ноября - в день вступления в силу закона Беларуси "О защите персональных данных". Основная цель этого законодательного акта - обеспечить защиту персональных данных каждого из граждан при их обработке.
"Закон впервые консолидировал до этого разрозненные нормы, существовавшие в ряде нормативных правовых актов, регулировавших оборот персональных данных. Мы видим, как с развитием интернет-технологий и с проникновением все большего количества процессов, происходящих в жизни, экономике, в виртуальную среду возрастает значимость вопросов, связанных с безопасностью информации, в частности, данных о гражданах", - отметил Андрей Гаев.
Базовый закон, который до этого регулировал отношения, связанные с обработкой персональных данных (закон "Об информации, информатизации и защите информации"), как показала практика, имел определенные упущения. В частности, им не регулировались моменты, связанные с информацией об электронных адресах, номерах телефонов, что сейчас нормативно регулируется.
"В целом каждый человек имеет право знать, кто, как, в каком объеме и зачем работает с его персональными данными. Более того, важно еще иметь возможность влиять на эти процессы. Законом эти вопросы также четко регулируются, - сказал директор центра. - Но успех его реализации зависит от каждого из нас, потому что только в наших силах решать вопрос, кому и зачем мы эти персональные данные предоставляем. Конечно, центр сделает все возможное, чтобы исполнение законодательства операторами и людьми происходило максимально четко и системно".
Эксперт рассказал, какие меры по защите персональных данных должны реализовать организации
Каждому оператору предстоит реализовать комплекс мер по защите прав субъектов персональных данных, сообщил заместитель начальника управления - начальник отдела конституционного права Национального центра законодательства и правовых исследований Беларуси Николай Саванович на круглом столе в пресс-центре БЕЛТА.
"В целом закон "О защите персональных данных" реализовал достаточно нетипичный для нас риск-ориентированный подход, когда конкретные меры по защите прав субъектов персональных данных и достаточность этих мер определяет сам оператор исходя из целей обработки персональных данных. Этот подход не совсем характерен для нашей правовой системы, но в условиях развития информационных технологий, учитывая, что количество операторов у нас исчисляется сотнями тысяч, определить для каждого из них исчерпывающий перечень мер на уровне законодательства не представляется возможным. Тем не менее законодатель создал определенный ориентир - целый ряд мер, которые должна реализовать каждая организация", - сказал Николай Саванович.
Он отметил, что фактически любая организация, имея работников, выступает оператором по отношению к обработке персональных данных хотя бы этих работников. Среди мер, которые необходимо реализовать, - назначение специалиста, работника, который будет заниматься вопросами внутреннего контроля соблюдения законодательства о защите персональных данных, консультировать руководителя и иных работников, которые их обрабатывают, рассматривать обращения граждан.
"Достаточно важной мерой является издание каждым оператором политики по обработке персональных данных, она более известна как политика конфиденциальности. В рамках этой политики каждый оператор раскрывает, какие персональные данные, для каких целей, на каком правовом основании он обрабатывает. Эта мера служит обеспечению прозрачности обработки персональных данных, чтобы для гражданина эта обработка не стала неожиданной", - отметил Николай Саванович.
Кроме того, обязанность всех операторов - проводить обучение работников, которые уполномочены на осуществление внутреннего контроля, а также тех, кто непосредственно обрабатывает персональные данные. "Эта мера направлена на то, чтобы в последующем работники, обработчики не могли сказать, что они по тем или иным причинам нарушили закон, не зная, что такой закон существует. Законодатель, формируя такую норму, исходил из того, что предупредить правонарушение гораздо проще, чем потом восстановить статус-кво, потому что личную информацию, которая может появиться в интернете, удалить, вернуть назад очень сложно", - обратил внимание заместитель начальника управления.
Продолжая тему нововведений, Николай Саванович указал на комплекс прав, которыми наделяются субъекты персональных данных - граждане. "Таких прав у нас в законодательстве до сих пор не было. Четкий механизм реализации этих прав, с одной стороны, обеспечивает возможность гражданину контролировать обработку персональных данных о нем, а с другой - возлагает на организации определенные обязанности, что вынуждает их внимательно относиться к обработке, учету персональных данных, определять, кому они могут, а кому нет передавать эти персональные данные", - отметил Николай Саванович.
Также четко определены случаи, когда обработка персональных данных возможна с согласия человека, а когда этого не требуется. Важным является положение об обработке персональных данных в рамках договорных отношений.
Говоря о роли Национального центра защиты персональных данных, заместитель начальника управления отметил, что этот орган будет заниматься контролем за обработкой персональных данных, выполнять функцию разъяснения законодательства. "Еще раз хочу подчеркнуть: этот орган как в силу численного состава, так и функционала не может заниматься юридическим консультированием организаций", - сказал он, уточнив, что вопросы методологического характера, пробелы в законодательстве являются предметом деятельности этой организации.
В целом закон "О защите персональных данных" призван создать комплексное консолидированное регулирование в этой сфере. По словам Николая Савановича, на момент подготовки законопроекта к нему было неоднозначное отношение, потому что многие организации воспринимали и воспринимают до сих пор положения этого закона как бремя для себя, необходимость усложнения своей деятельности. "В определенной степени это действительно так", - согласился он.
Вместе с тем заместитель начальника управления пояснил, почему закон так важен и в целом зачем регулировать обработку персональных данных. По его словам, еще не так давно основной массив информации был на бумажном носителе, и тот, кто физически контролировал бумажный носитель, контролировал и информацию. Но сегодня однажды введенная в информационную систему информация одновременно может отражаться в различных точках мира и человек перестает ее контролировать, не зная, кто, как и для каких целей будет использовать эти данные. Именно развитие информационных технологий, средств информатизации вызвало необходимость совершенствовать законодательство о персональных данных.
В Беларуси вопросы работы с персональными данными регулировались различными актами, но базовым был закон "Об информации, информатизации и защите информации". На сегодня его положения устарели. В этой связи Николай Саванович привел несколько примеров. "Достаточно сказать, что персональные данные охватывали только ту информацию, которая прямо идентифицировала субъекта, то есть информацию, где была его фамилия, имя и отчество. То есть если мой номер карточки и пароль не содержат фамилию, имя и отчество, то это уже не персональные данные. Это не соответствует реалиям сегодняшнего дня. Как не соответствует реалиям и то, что вся обработка осуществлялась с письменного согласия, если иное не предусмотрено законодательными актами. Очевидно, что в век информационного общества, в век развития информационных технологий требование получения письменного согласия излишне обременительно и более того - оно невыполнимо и может стать неоправданным барьером на пути развития информационных технологий", - сказал он.
Заместитель начальника управления подчеркнул: закон направлен на минимизацию тех издержек и недостатков, которые могут возникнуть в связи с автоматизированной обработкой персональных данных.
Операторы при обработке персональных данных должны выполнить требования по техзащите информации
Операторы при обработке персональных данных должны реализовать требования по технической защите информации, сообщил специалист по кибербезопасности ООО "БелВЭБ-IT" Сергей Пашковский на круглом столе в пресс-центре БЕЛТА.
Говоря о персональных данных, следует понимать, что в реальном мире подавляющий их массив обрабатывается уже в электронном виде, отметил Сергей Пашковский. По его словам, те нормы и те требования, которые предъявляет закон "О защите персональных данных" к операторам, уполномоченным лицам, являются правовой рамкой. "Но для того, чтобы реально защитить наши с вами права, необходимо, чтобы эти императивные нормы, которые замечательно могут быть прописаны в документах компаний, реализовывались на практике. И для этого необходимо, чтобы информационные системы, содержащие в себе персональные данные, соответствовали определенным адекватным требованиям, в том числе по защите информации", - сказал он.
В Беларуси такое регулирование существует с 2013 года. В развитие закона "Об информации, информатизации и защите информации" был определен подход, согласно которому информация ограниченного распространения должна обрабатываться в системах, имеющих аттестованную систему защиты информации. "Это процедура, в ходе которой документально подтверждается факт того, что система защиты информации соответствует предъявляемым требованиям", - пояснил Сергей Пашковский.
Он отметил, что синхронно со вступлением в силу закона о защите персональных данных был изменен приказ ОАЦ №66. "Теперь он правильно называется "Приказ ОАЦ №66 в редакции приказа №195". В нем произошли изменения, которые позволяют его адекватно использовать любому юридическому лицу и не только", - добавил специалист по кибербезопасности.
Сергей Пашковский пояснил, что должно выполняться в информационной системе, чтобы там безопасно хранились персональные данные. "Во-первых, должно быть четкое разграничение прав доступа. Операторы это делают в рамках своей политики, определяя, какие подразделения и какие работники имеют доступ. Далее эти требования политики реализуются уже на техническом уровне. Таким образом снимается острота проблемы, и действительно к данным получают доступ только те люди, которые должны осуществлять такой доступ в рамках своих функциональных обязанностей. Плюс исключаются ситуации со случайным ознакомлением", - сказал он.
В информационной системе должна быть организована адекватная антивирусная защита. "Не только в каких-то уязвимых местах, но в целом в информационной системе как на компьютерах, так и на почтовом сервере, который является одним из наиболее частых элементов для несанкционированного доступа к информационной системе", - подчеркнул специалист по кибербезопасности.
Кроме того, оператор должен определить перечень других информационных систем, с которыми он взаимодействует, но которые ему не принадлежат. "Сюда же относятся вопросы резервирования информации. Я думаю, никому бы не хотелось столкнуться с ситуацией, когда мы полагаем, что у оператора есть определенный объем данных, нужных для нас, а потом оказывается, что эта информация в силу каких-либо или программных сбоев, или из-за неправомерных действий третьих лиц перестала быть доступной и ее больше не существует. Требования по технической защите как раз обеспечивают сохранность информации и доступность", - продолжил он.
По словам Сергея Пашковского, операторы обязаны реализовать требования по технической защите информации. "Сделать это можно самостоятельно. Если у вас есть человек, который разбирается в вопросах IT, в состоянии прочитать около шести нормативных правовых актов в этой сфере и пройти обучение раз в три года, то это вполне под силу. Но если вы сейчас не имеете такого человека, либо он сейчас занят, либо вы не хотите брать на себя ответственность как руководитель, можете воспользоваться услугами компаний, у которых есть лицензия на осуществление деятельности по технической и криптографической защите информации", - отметил специалист.
Он пояснил, что во втором случае клиент получает систему "под ключ", причем компании предлагают различные варианты реализации требований, потому что они могут быть выполнены абсолютно по-разному. "Закон достаточно гибкий и позволяет операторам адекватно реализовывать требования в зависимости от того, как у них фактически организован бизнес-процесс", - добавил Сергей Пашковский.
Он также отметил, что частично упрощается процедура аттестации в рамках обновленного приказа №66, если компания пожелает разместить свою информационную систему у некого облачного провайдера. "Мы говорим про провайдеров, которые являются резидентами Беларуси. При одновременном наличии двух компонентов - провайдер имеет аттестованную систему защиты информации и он оказывает для вас услуги по проектированию и созданию системы защиты - аттестация для вас сводится, по сути, к "переезду" и заключению договора", - сказал специалист по кибербезопасности.
Он считает, что такая услуга будет особенно популярна для среднего и мелкого бизнеса, у которого не будет возможности уделить много времени техническим аспектам, поскольку это требует познаний. "И, наверное, каждый должен заниматься своим делом", - заключил он.
Глава группы технологий, медиа, телекоммуникаций юридической фирмы "Сорайнен и партнеры" Кирилл Лаптев в свою очередь остановился на тех моментах, которые наиболее интересовали компании при реализации положений нового закона. В частности, возникал вопрос, как продолжить обработку персональных данных в соответствии с новым законом, нужно ли выполнять дополнительные требования в отношении тех данных, которые были собраны ранее и продолжают обрабатываться.
"Организации столкнулись с вопросами обработки данных своих работников, настройки внутренних систем, чтобы выполнять требования, когда для того, чтобы обрабатывать данные, нужно получать согласие от работника. Сложен вопрос тем, что работник и наниматель не всегда находятся в равных отношениях и нужно смотреть, чтобы не было нарушения прав работника, ущемления его интересов, когда собирается такое согласие. Работник может опасаться неполучения продвижения по службе или изменения финансовых условий, если он откажется дать согласие", - рассказал Кирилл Лаптев.
Компании интересовали и внутренние организационные процессы, которые дополняют правовые меры. Например, каким образом организовать доступ к персональным данным, в том числе где они должны храниться, как организовать взаимодействие между различными подразделениями в организации (например, между кадровыми отделами, бухгалтерией), какие представители этих подразделений могут получать доступ и в какие сроки обрабатывать данные.
Компаниям предстоит провести ревизию бизнес-процессов с учетом закона о защите персональных данных
Компании должны провести серьезную ревизию своих бизнес-процессов, в которых задействованы персональные данные, сообщил журналистам заместитель начальника управления - начальник отдела конституционного права Национального центра законодательства и правовых исследований Беларуси Николай Саванович после круглого стола в пресс-центре БЕЛТА.
"Чтобы реагировать на запросы граждан, выполнять требования о целях, правовых основаниях, компании должны провести серьезную ревизию своих бизнес-процессов, в которых задействованы персональные данные. Посмотреть, есть ли у них правовые основания, как долго хранятся персональные данные", - сказал Николай Саванович.
В этой связи он привел несколько наиболее распространенных нарушений со стороны компаний. Среди них нарушение срока хранения персональных данных: во многих случаях они продолжают храниться, даже если цели обработки уже истекли. "Классический пример: человек хочет поступить на работу, направляет нанимателю резюме. На работу взяли другого человека, а это резюме может лежать годами. А там информация об этом работнике, его близких родственниках, иногда и паспортные данные", - отметил заместитель начальника управления.
Еще одно типичное нарушение - обработка избыточных персональных данных. Речь идет о тех случаях, когда организация полагает, что может запросить о человеке любую информацию у него самого или у других организаций. В действительности, пояснил Николай Саванович, объем персональных данных, которые могут обрабатываться, зависит от той цели, для которой эти данные обрабатываются. "Поэтому закон четко говорит: персональные данные не должны быть избыточными по отношению к этой цели", - подчеркнул он.
При этом заместитель начальника управления обратил внимание: если у компании нет оснований для обработки персональных данных, они должны быть удалены.
Закон вводит для всех операторов, в том числе владельцев интернет-ресурсов, обязанность размещать на таком ресурсе политику по обработке персональных данных. "Эта политика должна быть написана простым, ясным, доступным языком. Человеку следует объяснять, как, для каких целей собираются его персональные данные, для чего они будут использоваться и, что важно в интернет-среде, - кому они могут передаться в дальнейшем. Исходя из этого, человек имеет возможность либо пользоваться такой информационной системой, либо не воспользоваться", - сказал Николай Саванович.
Он добавил, что основная цель принятия закона - обеспечение защиты прав человека в ходе обработки его персональных данных, предоставление ему информации, кто, как и для каких целей это делает. "Это необходимо, чтобы вернуть контроль над персональными данными самому человеку", - сказал заместитель начальника управления.
По его словам, длительное время многие организации, и это не секрет, собирали и собирают до сих пор персональные данные, считая, что эта информация принадлежит им. "Они ее получили, обрабатывают и используют, тратят средства, чтобы создать информационные ресурсы, где эти персональные данные находятся. Но надо помнить, что эта информация о нас, и эти персональные данные все-таки принадлежат нам", - обратил внимание Николай Саванович.
В этой связи закон предусматривает целый ряд обязанностей для операторов, и самое главное - предоставляет комплекс прав гражданам, чтобы они могли контролировать обработку организациями персональных данных о них. При этом эти права действуют независимо от того, требуется ли согласие на обработку персональных данных. "Человек может обратиться в организацию и узнать, есть ли у нее его персональные данные, на каком основании они обрабатываются, какие источники их получения. Он может возражать против обработки, если правовое основание не соответствует требованиям законодательства, в том числе потребовать удаления этих персональных данных. Это так называемое право быть забытым", - рассказал эксперт.
В качестве эффективного инструмента, призванного обеспечить действие этих обязанностей и прав, создан надзорный орган - Национальный центр защиты персональных данных. Он будет заниматься контролем соблюдения требований соответствующего закона.
Николай Саванович рассказал и об ответственности за нарушение законодательства. В частности, изменения внесены в Кодекс об административных правонарушениях, которыми ужесточена ответственность за нарушение законодательства о персональных данных. А Трудовым кодексом сейчас предусмотрена в качестве дополнительной возможность увольнения работника за нарушение порядка обработки персональных данных.
Гаев: обращения граждан по поводу обработки персональных данных должны быть объективными
Обращения граждан по поводу обработки персональных данных должны носить объективный характер, заявил журналистам директор Национального центра защиты персональных данных Андрей Гаев после круглого стола в пресс-центре БЕЛТА.
"Каждому гражданину предоставлено право направить к нам в центр жалобу на то, как оператор поступает в связи с обработкой персональных данных. Но надо понимать, что данные обращения должны носить объективный характер. Конечно, к каждому из них мы будем требовать приложения документов и информации, подтверждающих принятие реальных мер человеком, чтобы урегулировать свои права с оператором должным образом", - сказал Андрей Гаев.
Что касается взаимодействия с организациями, Национальный центр защиты персональных данных не будет заниматься их юридическим консультированием. "Центр не сможет и не должен подменять работу соответствующих служб и специалистов", - подчеркнул он.
"Мы сможем методологически помочь в исполнении требований закона, если возникает некая ситуация, связанная с системным пониманием того, что в той или иной сфере необходимо будет сделать. Это может быть оформлено в виде запроса и направлено в центр. И мы соответствующим образом будем реагировать", - заключил Андрей Гаев.
Фото Егора Павлющика