Новыя правілы апрацоўкі персанальных даных (ПД) і іх абароны, што запрацавалі з лістапада 2021-га, працягваюць выклікаць шмат пытанняў як улюдзей, так і ў аператараў, якія працуюць з гэтымі звесткамі. Калі чалавек павінен даць дазвол на распаўсюджванне інфармацыі пра сябе, а калі нават не ведае, што звесткі пра яго нехта збірае? Чым пагражае несанкцыянаванае распаўсюджванне ПД і як даведацца, ці правільна ты з імі абыходзішся? Адказы на гэтыя і іншыя пытанні далі спецыялісты Нацыянальнага цэнтра абароны персанальных даных (НЦАПД).
За час існавання цэнтра (няпоўныя тры месяцы) сюды паступіла каля 200 запытаў ад людзей па самых розных кірунках. Пачынаючы ад апрацоўкі ПД у сферах ЖКГ, адукацыі і работы банкаў, якая датычыцца дыстанцыйнага абслугоўвання, заканчваючы дзейнасцю гадлёвых сетак, якія таксама збіраюць ПД у межах сваіх праграм лаяльнасці, заўважыў Андрэй Гаеў, дырэктар Нацыянальнага цэнтра абароны персанальных даных (НЦАПД):
— Мы стараемся канцэнтраваць намаганні на выпрацоўцы рознага роду рэкамендацый і метадалогій, каб дапамагчы і аператарам, і людзям рэалізаваць правы і абавязкі, якія вынікаюць з Закона аб абароне персанальных даных. Найбольш актуальныя зараз пытанні ў сферы працоўных адносін, а таксама звязаныя са службовай дзейнасцю. Са зваротаў ад людзей відаць, што многія праблемы вынікаюць з таго, што аператары ўпусцілі шасцімесячны тэрмін да ўступлення ў сілу закона, калі яны павінны былі прывесці сваю дзейнасць у адпаведнасць з ім.
З'явілася, напрыклад, праблема, якую спецыялісты абазначылі як «культ згоды», калі ў людзей сталі пытаць згоду і ў выпадках, прадугледжаных законам, і калі гэта не патрабуецца. Між тым да атрымання згоды пры апрацоўцы ПД устаноўлены шэраг сур'ёзных патрабаванняў, асноўным з якіх з'яўляецца добраахвотнасць атрымання згоды чалавека і вольны характар выдаванай згоды, падкрэсліў Андрэй Гаеў:
— Законам вызначана шырокае кола сітуацый, калі згода не патрэбна. Напрыклад, калі заканадаўча ўстанаўліваецца пэўны абавязак, які патрабуе работы з ПД грамадзяніна: у сферы працоўных і звязаных з працай стасункаў. Або калі мы пішам у арганізацыю з пэўнымі зваротамі ці хадайніцтвамі, звяртаемся па ажыццяўленне адміністрацыйных працэдур, заключаем дагаворы.
— Сучасныя рэаліі паказваюць, што немагчыма існаваць у грамадстве і быць цалкам ад яго закрытым. Дзеці ходзяць у школу, мы валодаем пэўнай нерухомасцю ці аўто, набываем тавары праз інтэрнэт-банкінг, плацім падаткі, у нас ёсць электронная медыцынская картка, паштовы адрас, на які прыходзяць лісты. Відавочна, што ўсё гэта вымагае пэўнай апрацоўкі нашых ПД. І ў гэтым выпадку пытацца нашай згоды на паведамленне асабістых звестак нелагічна, бо калі я не хачу нешта набываць, то не будзе і апрацоўкі маіх ПД, — дадаў Мікалай Савановіч, першы намеснік дырэктара НЦАПД.
Яшчэ адна праблема — пасля атрымання згоды ад чалавека ёй надаецца гэткі абсалютны характар. Згоду атрымаў — і нібыта ніякіх мер па абароне ПД прымаць не трэба. Гэта не так. Кожны аператар павінен самастойна вызначыць, што ён будзе рабіць, каб абараніць атрыманую інфармацыю, — гэта рызыкаарыентаваны падыход дзеяння закона, якім вызначаны базавыя патрабаванні да абароны ПД, удакладніў Андрэй Гаеў:
— Мы высветлілі таксама праблему, якая вынікае з таго, што адна згода часта бярэцца аднамомантна для некалькіх не звязаных паміж сабой мэт. Напрыклад, уваходзячы ў сістэму дыстанцыйнага банкаўскага абслугоўвання, чалавеку, які жадае атрымаць доступ да лічбавых паслуг, прапануецца пагадзіцца і на рознага роду рэкламную рассылку. Гэтыя рэчы незвязаныя, і для апошняга дзеяння неабходна атрымаць дадатковую згоду, а чалавек павінен мець магчымасць адмовіцца ад непатрэбных яму прапаноў.
Дарэчы, скаргі, якія накіроўваюцца ў НЦАПД электроннай поштай, павінны мець электронны лічбавы подпіс. Звычайныя электронныя паведамленні не падлягаюць разгляду. Гэта зроблена свядома, каб не дапусціць несанкцыянаванай рассылкі і злоўжывання правам, а таксама не спарадзіць своеасаблівай неканкурэнтнай барацьбы паміж асобамі.
— Памылка грамадзян часта ў тым, што яны, каб вырашыць праблему, якая ўзнікла з аператарам, звяртаюцца ў розныя органы, а не да самога аператара, — дадаў дырэктар НЦАПД. — У час сучасных тэхналогій лічбавыя сляды заціраюцца вельмі хутка, і любы орган, у які чалавек накіроўвае сваю скаргу, усё роўна звернецца па тлумачэнні да аператара, а час ужо будзе згублены. Таму мы рэкамендуем звяртацца па вырашэнне ўзніклай праблемы непасрэдна да аператара, а ў цэнтр скардзіцца, ужо калі вынік не задаволіў.
Неабходна звяртаць увагу, каму, навошта і для чаго мы даём свае ПД. Даваць іх неправераным асобам і крыніцам катэгарычна недапушчальна, як і распаўсюджваць ПД іншых асоб, адзначае Андрэй Гаеў:
— Склалася такая практыка, што фотаздымкі са сваімі сваякамі і знаёмымі і іншыя ПД аб гэтых людзях некаторыя асобы распаўсюджвалі ў інтэрнэце з добрых памкненняў. Аднак трэба памятаць, што ПД датычацца непасрэдна і асабіста кожнага з нас, і распараджацца імі могуць толькі ўласнікі гэтых звестак або калі чалавек даў адпаведнае права на распаўсюджванне. Таму многае ў плане абароны ПД залежыць непасрэдна ад нас саміх.
Пры гэтым аператары павінны таксама не дапускаць распаўсюджвання ПД, аднак на практыцы такое здараецца па розных прычынах.
— Часам інфармацыя становіцца даступная неабмежаванаму колу асоб у інтэрнэце з прычыны нядбайнасці чалавека, што прыводзіць да тэхнічнай памылкі ў праграмным забеспячэнні. Здаралася, што на пэўны час некаторыя базы даных станавіліся даступнымі ўсім, — удакладніў Мікалай Савановіч. — А магло адбыцца і так, што чалавек свядома парушыў правілы карыстання ПД і зрабіў звесткі агульнадаступнымі. Матывацыя можа быць розная: ад банальнай рэўнасці ці непрыязных асабістых стасункаў з чалавекам да пачуцця ананімнасці і беспакаранасці, маўляў, ніхто ж не даведаецца, хто гэта ў інтэрнэце зрабіў. Ад свядомага парушэння не можа абараніць ніводзін самы дасканалы закон у свеце. І чалавек, які яго парушыў, падпадае пад дзейнасць адміністрацыйнага ці крымінальнага заканадаўства.
Рэкамендацыі пры апрацоўцы ПД у працоўнай сферы былі распрацаваны цэнтрам аднымі з найпершых, паколькі работа з ПД у гэтай галіне закранае не толькі наймальнікаў, але і мноства грамадзян, і закон тут павінен выконвацца без парушэння правоў суб'ектаў ПД, заўважыла Ірына Пырко, намеснік начальніка ўпраўлення метадалогіі абароны ПД НЦАПД.
— Акрамя персанальных даных работнікаў, наймальнікі апрацоўваюць таксама і звесткі пра іншых суб'ектаў ПД, у тым ліку суіскальнікаў працаўладкавання (даныя рэзюмэ), былых супрацоўнікаў (іх дакументы павінны пэўны час захоўвацца ў арганізацыі). У шэрагу выпадкаў наймальнік апрацоўвае і ПД членаў сям'і і сваякоў сваіх супрацоўнікаў.
Сітуацый, калі работнік можа свабодна даць сваю згоду на апрацоўку ПД, няшмат, паколькі ён з'яўляецца залежным бокам, прыняты на работу для выканання пэўных функцый і абавязаны падпарадкоўвацца наймальніку і распарадку. Так што запатрабаванне ў работніка згоды на апрацоўку яго ПД з пэўнай мэтай цяжка назваць свабодным, удакладніла яна.
Ды суб'ект ПД мае зваротнае права згоды, замацаванае ў законе, то-бок, ён мае права патрабаваць ад аператара спынення апрацоўкі сваіх даных. І аператар, атрымаўшы такі зварот ад чалавека, павінен задаволіць яго. Аднак у працоўнай сферы ў работнікаў мала шанцаў запатрабаваць
выдалення звестак пра сябе.
— Згодна з законам, апрацоўка ПД чалавека пры прыёме на работу і ў працэсе працы ажыццяўляецца без згоды суб'екта персанальных даных, калі такая апрацоўка прадугледжана заканадаўствам, — падкрэсліла Ірына Пырко. — Так, падчас працаўладкавання грамадзянін абавязаны прадставіць наймальніку пэўны пералік дакументаў, а ў асобных выпадках — яшчэ і дадатковыя паперы, якія пацвярджаюць права на пэўную работу. Гэта, напрыклад, медыцынскае заключэнне ці дакументы для работнікаў, якім няма 18 гадоў. Усе гэтыя звесткі будуць апрацоўвацца без згоды чалавека. Нягледзячы на тое, якія прававыя падставы наймальнік выбірае пры апрацоўцы ПД, ён, як і любы іншы аператар, абавязаны прытрымлівацца правіл апрацоўкі гэтай інфармацыі. У тым ліку не дапускаць празмернасці апрацоўкі ПД і вытрымліваць тэрміны іх апрацоўкі і захоўвання.
— Пры працаўладкаванні ў дзяржорганы чалавеку цяпер патрабуецца абавязковая характарыстыка ад папярэдняга наймальніка, і некаторыя з іх пачалі пытацца ў былых работнікаў згоды распаўсюдзіць іх ПД новаму работадаўцу (трэцяму боку). Ці абавязкова гэта?
— Распаўсюджванне такой інфармацыі адбываецца без атрымання згоды чалавека, у дачыненні да якога гэтая інфармацыя запытваецца, — адказаў Андрэй Гаеў.
— Ці не стане дадатковай нагрузкай для службы «Адно акно» неабходнасць запытаў згоды ў розных інстанцый і чалавека пры падрыхтоўцы пэўных пакетаў дакументаў, напрыклад, для афармлення пенсіі?
— У законе сказана, што апрацоўка ПД суб'екта ажыццяўляецца на падставе згоды чалавека, калі іншае не прадугледжана законам аб абароне ПД ці іншымі заканадаўчымі актамі. Якраз іншыя выпадкі ўтрымліваюць больш як 20 прававых падстаў (арт. 6 закона), якія дазваляюць апрацоўваць ПД у розных сітуацыях з рознымі мэтамі без атрымання згоды ад суб'екта ПД, у тым ліку для налічэння пенсій ці дапамог. Таму службам не варта непакоіцца на гэты конт, — удакладніла Ірына Пырко.
— Усё больш аперацый пераходзіць у анлайн, дзе часта патрабуецца папярэдняя аплата. Уладальнікі паслугі пры гэтым запытваюць не толькі нумар банкаўскай карткі, але і код яе праверкі (CVV). Ці бяспечна паведамляць яго?
— Сапраўды, CVV — гэта вельмі важная інфармацыя, і калі ведаць гэты код і нумар банкаўскай карткі, іх можна выкарыстаць у тым ліку і з супрацьзаконнымі мэтамі. Для падобных разлікаў варта мець у рэзерве асобную картку і разлічвацца ёю за пакупкі ў інтэрнэце. Тады рызыкі будуць мінімізаваны, — параіў Мікалай Савановіч.
Адна з функцый НЦАПД, акрамя кантролю за выкананнем Закона аб абароне ПД, — адукацыйная. Спецыялісты цэнтра вучаць аператараў, як прымяняць закон на практыцы ў двух асноўных кірунках: абарона персанальных даных і тэхнічная крыптаграфічная абарона інфармацыі.
Уласнікі і ўладальнікі інфармацыйных сістэм і крытычна важных аб'ектаў інфармацыі і арганізацыі, якія займаюцца ліцэнзаванай дзейнасцю ў сферы абароны інфармацыі, павінны раз на тры гады навучаць сваіх супрацоўнікаў, якія забяспечваюць інфармацыйную бяспеку, непасрэдна ў НЦАПД. Заканадаўствам вызначана кола суб'ектаў, абавязаных прайсці навучанне па пытаннях абароны ПД у цэнтры. Гэта, прынамсі, арганізацыі, якія апрацоўваюць вялізныя аб'ёмы даных — больш як 10 тысяч фізічных асоб (напрыклад, буйныя гандлёвыя інтэрнэт-пляцоўкі), або асобныя катэгорыі ПД (банкі, страхавыя арганізацыі, медыцынскія ўстановы і іншыя), акрэсліў Сяргей Задзіран, намеснік дырэктара НЦАПД:
— Навучанне пытанням абароны ПД асоб, якія адказваюць у арганізацыях за ўнутраны кантроль за апрацоўкай такіх звестак, а таксама непасрэдна апрацоўваюць ПД, павінна адбывацца раз на пяць гадоў. Заканадаўча прадугледжана таксама мноства іншых формаў арганізацыі навучання, накшталт лекторыяў, тэматычных семінараў і трэнінгаў. Шмат заявак на навучанне ў цэнтры мы атрымліваем нават ад тых, хто не абавязаны, згодна з заканадаўствам, праходзіць у нас навучанне.
Днямі ў НЦАПД з'явіўся ўласны сайт cpd.by, дзе можна падаць электронны зварот, высветліць, як дзейнічаць, калі правы чалавека падчас апрацоўкі ПД былі парушаны, а таксама даведацца пра навучанне пытанням абароны персанальных даных.
«Асаблівую ўвагу ўдзяляем палітыцы апрацоўкі cookіe. Для цэнтра непрымальна, каб даныя пра наведвальнікаў нашага сайта захоўваліся на старонніх серверах, таму мы абралі для яго аўтаномную аналітыку. Мы не перадаём cookіe трэцім асобам і не выкарыстоўваем іх для ідэнтыфікацыі суб'ектаў ПД», — падкрэслілі ў цэнтры.
Ірына СІДАРОК
Фота аўтара
Амаль тысяча дзвесце чалавек збяруцца, каб вырашаць найважнейшыя пытанні развіцця краіны.
Расказаў першы намеснік старшыні Дзяржаўнага камітэта па навуцы і тэхналогіях Рэспублікі Беларусь Дзяніс Каржыцкі.
Як вакцыны выратоўваюць жыцці і чаго можа каштаваць іх ігнараванне?
Аляксандр Курэц – самы малады народны выбраннік у сваім сельсавеце і адзіны дэпутат сярод сваіх калег па службе.
