Андрей Гаев: «Наша ключевая задача — обеспечить защиту прав граждан при обработке их персональных данных»
29.12.2021 21:38:24
Нынче не оставить цифровой след человек может, наверное, только на необитаемом острове. Современная цивилизация предполагает постоянное фиксирование, хранение, анализ, передачу разнообразных данных. Иной раз человек попадает в «цифру» даже сам этого не осознавая. Заехал на стоянку, камера зафиксировала номер автомобиля для оплаты — и вот уже частичка информации осталась. И так происходит на каждом шагу. Вроде бы какую пользу (или угрозу) могут представлять такие крупицы информации персоне? По отдельности — никаких. Но учитывая, что каждый день мы оставляем десятки и сотни оцифрованных «точек» (а технологии обработки больших массивов данных стали вполне доступными и прогрессируют), то по разрозненным штрихам можно вполне воссоздать и портрет, и биографию человека. А если он активный пользователь цифрового банкинга, различных приложений, постоянный покупатель интернет-магазинов — словом, относится нынче уже к большинству населения, — то, как говорится, смартфон может знать о его пользователе больше, чем его родители. Конечно, информационный прогресс позволяет создать новое качество жизни. Но дьявол и риски кроются в том, что персональная информация может утекать (таких историй становится все больше), использоваться не по назначению, а иногда и в криминальных целях: от мошенничества до шантажа. Чтобы построить барьер между злом и благом цифровой эпохи, в прошлом году в Беларуси был принят Закон «О защите персональных данных», который вступил в силу в ноябре этого года. А для соблюдения его исполнения создан Национальный центр защиты персональных данных. О функциях и роли центра рассказал его директор Андрей Гаев.
— Законодательство, регулирующее вопросы сбора, хранения, использования, распространения, удаления и иной обработки ПД, было и раньше. Но базовый в этой области Закон «Об информации, информатизации и защите информации» в основном привязывал ПД к фамилии, имени и отчеству. Если какая-то информация о человеке не содержала Ф.И.О., например, адрес электронной почты, то она выпадала из правового поля. Кроме того, правовые нормы предусматривали получение согласия гражданина на обработку его ПД только в письменной форме. Отсутствовало закрепление прав граждан в сфере обработки персональных данных. К примеру, право на доступ к своим ПД. Учитывая это и развитие современных технологий, нормативно-правовая база в вопросах ПД требовала актуализации. Эта задача решена принятием Закона «О защите персональных данных», который направлен на обеспечение прав и свобод физических лиц при обработке их ПД.
Закон формирует единую, отвечающую реалиям систему правового регулирования отношений в этой области. При этом речь идет не об установлении каких-либо запретов на обработку ПД, а об обеспечении соблюдения баланса интересов организаций, иных операторов, обрабатывающих ПД в своих целях, и граждан. Поскольку в последнее время персональные данные во многом приобрели для операторов экономическую ценность и в ряде случаев стали использоваться без согласия людей (для продвижения товаров, работ или услуг), можно сказать, что закон нацелен на возвращение гражданам права влиять на то, что по праву принадлежит только им.
Конечно, сам факт принятия закона в одночасье все имеющиеся вопросы не разрешит. Важно, чтобы человек и сам осознанно предоставлял персональную информацию операторам, а они, в свою очередь, не допускали ее незаконного использования. Для этого необходимо повышать уровень правовой грамотности субъектов ПД, чтобы они понимали, какие обязанности возложены на операторов, и знали свои права.
Так, гражданам предоставлено право требовать от оператора бесплатного прекращения обработки ПД при отсутствии правовых оснований для этого, а также отозвать свое согласие на обработку данных. В законе закреплены и права граждан на получение информации, касающейся обработки своих ПД оператором, а также — раз в год запрашивать у оператора информацию о предоставлении его ПД третьим лицам. Такие сведения можно получить бесплатно.
Обновленная нормативно-правовая база, и наш центр, являющийся уполномоченным органом по защите прав субъектов ПД, и осознанные действия граждан и операторов только в совокупности смогут стать барьером для незаконного использования ПД и решить задачу по их надлежащей защите.
— Закон возлагает на операторов ряд обязанностей по обеспечению защиты ПД. Должна быть издана политика в отношении обработки данных, в которой, в частности, определяются категории обрабатываемых ПД, цели и сроки обработки, лица, имеющие право это делать. Он обязан также закрепить порядок доступа к персональным данным, определить лицо или структурное подразделение, осуществляющее контроль за сохранностью ПД и другими действиями по их обработке. Необходимо реализовать и меры по технической и криптографической защите информации, обрабатываемой в информационных ресурсах (системах). То есть технически реализовать возможность работы с ПД только уполномоченным на это лицам и только в объеме предоставленных им прав, а также обеспечить резервирование обрабатываемой информации и ее антивирусную защиту.
Работа с ПД должна быть четко структурирована. Конечно, если это не было сделано ранее, реализация мер по обеспечению защиты ПД потребует от операторов определенных усилий и затрат. Но это инвестиции в будущих клиентов. Ведь уверенность клиентов в защите их ПД может быть серьезным конкурентным преимуществом конкретной компании.
Хочу также отметить, что закон не установил жесткого, закрытого перечня таких мер. Установлен несколько непривычный для нашего законодательства риск-ориентированный подход, когда сами операторы, оценив и сопоставив особенности своего бизнеса, отраслевую специфику и риски, сами определяют комплекс мероприятий, необходимых для выполнения требований законодательства о защите персональных данных.
Закон ни в коем случае не призван сузить сферу обращения ПД. Но так как эти данные принадлежат непосредственно гражданину, то оператор должен следовать основным требованиям.
Любая обработка персональных данных должна осуществляться в конкретных, четко определенных целях. То есть использование персональных данных, полученных, в частности, при заключении договора купли-продажи, для целей рассылки в дальнейшем гражданину рекламных материалов недопустимо.
Еще одно требование, установленное законом, заключается в том, что обрабатываемые ПД не должны быть избыточными по отношению к заявленным оператором целям их обработки. Например, требование об указании в том же договоре купли-продажи аккаунта гражданина в социальной сети никак не связано с приобретением товара и является излишним.
Хранение полученных оператором ПД должно осуществляться не дольше, чем того требуют заявленные цели их обработки. По их достижении ПД должны быть удалены, а при отсутствии такой возможности — заблокированы.
Хотелось бы также остановиться на одном весьма распространенном заблуждении. Мол, со вступлением закона в силу на обработку ПД всегда требуется получать согласие гражданина. Это не так. Жизнь разнообразна и многогранна. Если бы мы давали согласие на обработку ПД во всех случаях, то, наверное, большую часть своего времени только бы это и делали. Более того, перечень случаев, когда обработка может осуществляться без согласия человека, законом расширен. Например, это происходит при получении ПД оператором на основании договора для совершения предусмотренных им действий при оформлении трудовых отношений и в процессе трудовой деятельности, а также при выполнении оператором обязанностей, предусмотренных законодательными актами.
Если же обработка ПД производится с согласия гражданина, то, хочу обратить на это особое внимание, оно должно быть добровольным и получено прописанным в законе способом. Это может быть сделано в классической письменной форме (в частности, договоре), в виде электронного документа или иной электронной форме (например, путем заполнения определенного поля на сайте оператора или в мобильном приложении).
— Под действие закона подпадают сотни тысяч субъектов хозяйствования, индивидуальные предприниматели, и ремесленники, и даже обычные граждане, если они обрабатывают ПД. Каждая организация занимается обработкой ПД как минимум в отношении своих сотрудников.
Конечно, проверить всех невозможно. Это и не является самоцелью деятельности центра, которая направлена прежде всего на предупреждение нарушений законодательства и проведение профилактических, упреждающих неблагоприятные последствия мероприятий. Да и субъекты персональных данных, наделенные законом существенными правами, по сути являются общественными инспекторами по соблюдению законодательства о ПД.
На системной плановой основе будет организована образовательная деятельность. Предусмотрена возможность проведения центром добровольного аудита соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных, в ходе которого оценивается выполнение операторами законодательства о персональных данных и выдаются по его итогам соответствующие рекомендации.
Если говорить о контроле, то он будет осуществляться в формате плановых (на основе годового плана), внеплановых (при наличии конкретных инцидентов) и так называемых камеральных (по месту нахождения центра) проверок. По их результатам будут приниматься соответствующие меры реагирования, в том числе при наличии признаков правонарушений или преступлений в установленном порядке будет решаться вопрос о привлечении виновных к предусмотренной законом ответственности.
Если гражданин считает, что его права в части обработки ПД нарушены оператором, он может обратиться в центр с жалобой. Однако рекомендуем, чтобы первым шагом стала попытка урегулировать спорные вопросы непосредственно с оператором, поскольку (учитывая скорость изменений в виртуальной среде) для достижения успеха в решении возникшего вопроса важна оперативность реагирования. Если найти консенсус не удалось, то тогда оправданно обращаться к нам, приложив имеющиеся и подтверждающие суть проблемы материалы. Есть важный нюанс: обращение в центр должно направляться в письменной форме либо в виде электронного документа, удостоверенного электронной цифровой подписью.
Если изложенная в жалобе проблема содержит основания для внеплановой проверки, будет организовано ее проведение либо информация будет учитываться при составлении плана проверок. Если исходя из содержания поступившего обращения будет усматриваться, что поднятый в нем вопрос носит системный характер, то по итогам его рассмотрения будут готовиться рекомендации по применению законодательства или предложения по внесению изменений в нормативные правовые акты.
— Но немало ПД обрабатывается операторами — транснациональными корпорациями, и происходит это не в Беларуси, а на заграничных серверах.
— В законе прописан механизм трансграничной передачи данных. Допускается передавать на территорию другого государства данные, если там будет обеспечен надлежащий уровень защиты ПД. У центра есть полномочия определять перечень таких государств. Соответствующий приказ уже принят и доступен через Национальный правовой интернет-портал Республики Беларусь www.pravo.by. По сути, это государства, являющиеся сторонами Конвенции № 108 Совета Европы. Если страна не входит в этот перечень, то для легитимной передачи данных требуется выполнить ряд условий. Например, гражданин может сам дать на это согласие, будучи информированным о рисках, возникающих в связи с отсутствием надлежащего уровня защиты ПД. Они могут быть также переданы в рамках исполнения международного договора Республики Беларусь или на основании соответствующего разрешения центра.
volchkov@sb.by
Переход на «цифру»
— Андрей Анатольевич, почему именно сейчас появилась необходимость в новой нормативно-правовой базе для защиты персональных данных (ПД)?— Законодательство, регулирующее вопросы сбора, хранения, использования, распространения, удаления и иной обработки ПД, было и раньше. Но базовый в этой области Закон «Об информации, информатизации и защите информации» в основном привязывал ПД к фамилии, имени и отчеству. Если какая-то информация о человеке не содержала Ф.И.О., например, адрес электронной почты, то она выпадала из правового поля. Кроме того, правовые нормы предусматривали получение согласия гражданина на обработку его ПД только в письменной форме. Отсутствовало закрепление прав граждан в сфере обработки персональных данных. К примеру, право на доступ к своим ПД. Учитывая это и развитие современных технологий, нормативно-правовая база в вопросах ПД требовала актуализации. Эта задача решена принятием Закона «О защите персональных данных», который направлен на обеспечение прав и свобод физических лиц при обработке их ПД.
Закон формирует единую, отвечающую реалиям систему правового регулирования отношений в этой области. При этом речь идет не об установлении каких-либо запретов на обработку ПД, а об обеспечении соблюдения баланса интересов организаций, иных операторов, обрабатывающих ПД в своих целях, и граждан. Поскольку в последнее время персональные данные во многом приобрели для операторов экономическую ценность и в ряде случаев стали использоваться без согласия людей (для продвижения товаров, работ или услуг), можно сказать, что закон нацелен на возвращение гражданам права влиять на то, что по праву принадлежит только им.
Конечно, сам факт принятия закона в одночасье все имеющиеся вопросы не разрешит. Важно, чтобы человек и сам осознанно предоставлял персональную информацию операторам, а они, в свою очередь, не допускали ее незаконного использования. Для этого необходимо повышать уровень правовой грамотности субъектов ПД, чтобы они понимали, какие обязанности возложены на операторов, и знали свои права.
Так, гражданам предоставлено право требовать от оператора бесплатного прекращения обработки ПД при отсутствии правовых оснований для этого, а также отозвать свое согласие на обработку данных. В законе закреплены и права граждан на получение информации, касающейся обработки своих ПД оператором, а также — раз в год запрашивать у оператора информацию о предоставлении его ПД третьим лицам. Такие сведения можно получить бесплатно.
Обновленная нормативно-правовая база, и наш центр, являющийся уполномоченным органом по защите прав субъектов ПД, и осознанные действия граждан и операторов только в совокупности смогут стать барьером для незаконного использования ПД и решить задачу по их надлежащей защите.
Четкая работа с данными
— Сегодня уже практически невозможно представить свою жизнь без различных цифровых приложений, электронной торговли, цифрового банкинга и широчайшего перечня других услуг, так или иначе предполагающих фиксирование и обработку различных данных о пользователе. Закон не станет препятствием для развития цифровой экономики, которая, собственно говоря, зиждется на данных?— Закон возлагает на операторов ряд обязанностей по обеспечению защиты ПД. Должна быть издана политика в отношении обработки данных, в которой, в частности, определяются категории обрабатываемых ПД, цели и сроки обработки, лица, имеющие право это делать. Он обязан также закрепить порядок доступа к персональным данным, определить лицо или структурное подразделение, осуществляющее контроль за сохранностью ПД и другими действиями по их обработке. Необходимо реализовать и меры по технической и криптографической защите информации, обрабатываемой в информационных ресурсах (системах). То есть технически реализовать возможность работы с ПД только уполномоченным на это лицам и только в объеме предоставленных им прав, а также обеспечить резервирование обрабатываемой информации и ее антивирусную защиту.
Работа с ПД должна быть четко структурирована. Конечно, если это не было сделано ранее, реализация мер по обеспечению защиты ПД потребует от операторов определенных усилий и затрат. Но это инвестиции в будущих клиентов. Ведь уверенность клиентов в защите их ПД может быть серьезным конкурентным преимуществом конкретной компании.
Хочу также отметить, что закон не установил жесткого, закрытого перечня таких мер. Установлен несколько непривычный для нашего законодательства риск-ориентированный подход, когда сами операторы, оценив и сопоставив особенности своего бизнеса, отраслевую специфику и риски, сами определяют комплекс мероприятий, необходимых для выполнения требований законодательства о защите персональных данных.
Закон ни в коем случае не призван сузить сферу обращения ПД. Но так как эти данные принадлежат непосредственно гражданину, то оператор должен следовать основным требованиям.
Любая обработка персональных данных должна осуществляться в конкретных, четко определенных целях. То есть использование персональных данных, полученных, в частности, при заключении договора купли-продажи, для целей рассылки в дальнейшем гражданину рекламных материалов недопустимо.
Еще одно требование, установленное законом, заключается в том, что обрабатываемые ПД не должны быть избыточными по отношению к заявленным оператором целям их обработки. Например, требование об указании в том же договоре купли-продажи аккаунта гражданина в социальной сети никак не связано с приобретением товара и является излишним.
Хранение полученных оператором ПД должно осуществляться не дольше, чем того требуют заявленные цели их обработки. По их достижении ПД должны быть удалены, а при отсутствии такой возможности — заблокированы.
Хотелось бы также остановиться на одном весьма распространенном заблуждении. Мол, со вступлением закона в силу на обработку ПД всегда требуется получать согласие гражданина. Это не так. Жизнь разнообразна и многогранна. Если бы мы давали согласие на обработку ПД во всех случаях, то, наверное, большую часть своего времени только бы это и делали. Более того, перечень случаев, когда обработка может осуществляться без согласия человека, законом расширен. Например, это происходит при получении ПД оператором на основании договора для совершения предусмотренных им действий при оформлении трудовых отношений и в процессе трудовой деятельности, а также при выполнении оператором обязанностей, предусмотренных законодательными актами.
Если же обработка ПД производится с согласия гражданина, то, хочу обратить на это особое внимание, оно должно быть добровольным и получено прописанным в законе способом. Это может быть сделано в классической письменной форме (в частности, договоре), в виде электронного документа или иной электронной форме (например, путем заполнения определенного поля на сайте оператора или в мобильном приложении).
Акцент на профилактику
— Фактически под действие закона подпадают все организации. Неужели возможно проконтролировать соблюдение закона всеми операторами?— Под действие закона подпадают сотни тысяч субъектов хозяйствования, индивидуальные предприниматели, и ремесленники, и даже обычные граждане, если они обрабатывают ПД. Каждая организация занимается обработкой ПД как минимум в отношении своих сотрудников.
Конечно, проверить всех невозможно. Это и не является самоцелью деятельности центра, которая направлена прежде всего на предупреждение нарушений законодательства и проведение профилактических, упреждающих неблагоприятные последствия мероприятий. Да и субъекты персональных данных, наделенные законом существенными правами, по сути являются общественными инспекторами по соблюдению законодательства о ПД.
На системной плановой основе будет организована образовательная деятельность. Предусмотрена возможность проведения центром добровольного аудита соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных, в ходе которого оценивается выполнение операторами законодательства о персональных данных и выдаются по его итогам соответствующие рекомендации.
Если говорить о контроле, то он будет осуществляться в формате плановых (на основе годового плана), внеплановых (при наличии конкретных инцидентов) и так называемых камеральных (по месту нахождения центра) проверок. По их результатам будут приниматься соответствующие меры реагирования, в том числе при наличии признаков правонарушений или преступлений в установленном порядке будет решаться вопрос о привлечении виновных к предусмотренной законом ответственности.
Если гражданин считает, что его права в части обработки ПД нарушены оператором, он может обратиться в центр с жалобой. Однако рекомендуем, чтобы первым шагом стала попытка урегулировать спорные вопросы непосредственно с оператором, поскольку (учитывая скорость изменений в виртуальной среде) для достижения успеха в решении возникшего вопроса важна оперативность реагирования. Если найти консенсус не удалось, то тогда оправданно обращаться к нам, приложив имеющиеся и подтверждающие суть проблемы материалы. Есть важный нюанс: обращение в центр должно направляться в письменной форме либо в виде электронного документа, удостоверенного электронной цифровой подписью.
Если изложенная в жалобе проблема содержит основания для внеплановой проверки, будет организовано ее проведение либо информация будет учитываться при составлении плана проверок. Если исходя из содержания поступившего обращения будет усматриваться, что поднятый в нем вопрос носит системный характер, то по итогам его рассмотрения будут готовиться рекомендации по применению законодательства или предложения по внесению изменений в нормативные правовые акты.
— Но немало ПД обрабатывается операторами — транснациональными корпорациями, и происходит это не в Беларуси, а на заграничных серверах.
— В законе прописан механизм трансграничной передачи данных. Допускается передавать на территорию другого государства данные, если там будет обеспечен надлежащий уровень защиты ПД. У центра есть полномочия определять перечень таких государств. Соответствующий приказ уже принят и доступен через Национальный правовой интернет-портал Республики Беларусь www.pravo.by. По сути, это государства, являющиеся сторонами Конвенции № 108 Совета Европы. Если страна не входит в этот перечень, то для легитимной передачи данных требуется выполнить ряд условий. Например, гражданин может сам дать на это согласие, будучи информированным о рисках, возникающих в связи с отсутствием надлежащего уровня защиты ПД. Они могут быть также переданы в рамках исполнения международного договора Республики Беларусь или на основании соответствующего разрешения центра.
volchkov@sb.by