Вы здесь

Защитить нельзя распространить. Эксперты — о нюансах и ошибках обработки личных данных людей


Незаконная обработка персональных данных, с одной стороны, и чрезмерное количество получения согласия на обработку личных сведений с целью «перестраховки» — с другой. В одних организациях нет даже обязательных мер по охране (технической и криптографической) данных людей, а в других — организовывают излишнюю обработку данных для входа, вплоть до отпечатков пальцев и сканирования лица. При этом за нарушение закона при обработке персональных данных (например, их незаконное распространение) предусмотрено наказание в виде штрафа до 200 базовых величин или пяти лет лишения свободы. Даже за непринятие мер по обеспечению охраны личных сведений может наступить административная или уголовная ответственность (если это привело к причинению вреда). Об ошибках в использовании на практике закона Об охране персональных данных (ПД) и работе для исправления ситуации рассказал Андрей Гаев, директор Национального центра охраны персональных данных.


 

Портфель оператора и проверка ошибок

С момента вступления в силу закона об охране персональных данных и создания центра было проведено много разъяснительной работы о документах, которые нужны организациям, чтобы они соблюдали закон. В частности, специалисты центра устроили ряд тематических семинаров, прошедших по всей стране.

— Их результатом стала разработка так называемого портфеля оператора, в который включены документы, необходимые для того, чтобы должным образом охранять персональные данные, — сказал Андрей Гаев.

Разъяснительная работа продолжится, однако приобретет секторальный характер, направленный на конкретные сферы деятельности. В ближайшее время специалисты Центра планируют рассмотрение вопросов обработки ПД в системе здравоохранения, образования. Закончена отработка комплексных вопросов в сфере страхования, банковской сфере. Займутся в центре и проверочными мероприятиями и аудитом, чтобы оценить, насколько правильно в организациях налажена работа с ПД.

Проверками заниматься необходимо, так как случаются инциденты, связанные с незаконным распространением личных данных, убежден директор центра:

— В этом году запланированы проверки шести организаций, среди которых банковская сфера, ритейл, ЖКХ, телекоммуникации и другие. Около 20 проверок уже проведено по жалобам граждан. Это делается путем изучения необходимых документов и направлением рекомендаций для устранения нарушений.

Обработка незаконная или чрезмерная?

Среди нарушений — непринятие мер, которые должны существовать в организации согласно закону Об охране персональных данных. В одних организациях встречается отсутствие обязательных мер по охране (технической и криптографической) сведений. А в других — организуют чрезмерную обработку ПД, когда для входа в организацию, где нет необходимости в повышенных требованиях к безопасности, начинают применять биометрические данные (отпечатки пальцев) просто для входа на работу. А в детских учреждениях, случается, сканируют изображения лиц детей, хотя там существует пропускной режим и есть сотрудник охраны.

— Встречается чрезмерная обработка ПД и в отделах кадров предприятий: от сотрудников требуют данные о родственниках, если в этом нет необходимости. Чтобы просто принять человека на работу — достаточно личных сведений о нем. Случается также, что в договоры вносятся комплексные согласия граждан на рекламную рассылку или предоставление ПД каким-то третьим организациям без их конкретизации. Это все недопустимо! — подчеркнул Андрей Гаев. — Если по договору, например, оказывается какая-то услуга, то дополнительных согласий не нужно — заключения договора достаточно, чтобы услуга была оказана и работа выполнена. А если речь о рекламной рассылке или предоставлении информации о гражданине каким-то другим структурам, то необходимо отдельно брать согласие человека. Согласие должно быть добровольным и однозначным, а на практике случается, что согласие изымается
для всего подряд.

Как показывает практика, внедрение подобного законодательства осуществляется в странах десятилетиями. И хотя Беларусь последней из стран бывшего СССР приняла закон об охране персональных данных, он появился у нас не на пустом месте — к нему действовали нормы закона Об информатизации и охране информации, однако они требовали корректировки и адаптации к новой «цифровой» реальности. А закон об охране персональных данных установил непривычный для белорусов рискоориентированный подход, если конкретного перечня мер, которые должны принять организации для охраны ПД, нет. Предусмотрен определенный ряд обязательных мер, однако что точно делать – должны определять сами организации, исходя из происходящих в ней процессов. Именно поэтому Центр прежде всего направлен на разъяснительную работу, чтобы организации разобрались, что им нужно делать, подчеркнул Андрей Гаев.

Биография по цифровым следам

Сегодня, во время информационных технологий, почти невозможно нигде не оставить свой след. Появляется все больше цифровых услуг (торговых, банковских и других) и других удобств. Люди оставляют свои персональные данные, обращаясь в госорганы, заходя на сайты в интернете, подключают геолокацию на мобильном телефоне, чтобы куда-то добраться.

— Каждый наш вход в информационный ресурс система фиксирует, и многие моменты, которые, казалось бы, не являются персональными данными, потом в совокупности с развитием искусственного интеллекта, с обработкой той информации, которая о нас в этих ресурсах собрана, система формирует психологический портрет личности. Фактически, составляет биографию человека — «профайл», который регулярно пополняется. Нередко цифровое окружение сегодня знает о каждом из нас больше, чем наши родственники, — считает Андрей Гаев. — И если такие данные попадают в руки недобросовестным лицам, то у человека могут возникнуть достаточно большие проблемы. Чтобы установить определенный баланс между добром и злом, связанными с предоставлением цифровых услуг, в Конституции Беларуси и была закреплена норма, что государство создает условия для охраны ПД и безопасности лица при их использовании.

Для граждан на сайте центра также разработан раздел, касающийся их прав, в частности, право влиять на обработку личных сведений о себе. Если права человека нарушены, нужно немедленно обращаться к оператору с вопросами, потому что обращения в госучреждения все равно заканчиваются тем, что сначала потребуют информацию от оператора. Во время информационных технологий следы теряются очень быстро, поэтому чем быстрее человек обратится к оператору (юридическому лицу или предпринимателю, обрабатывающему персональные данные), тем больше можно быть уверенными в положительном рассмотрении вопроса. Своими правами нужно активно пользоваться, призывает специалист:

— Закон об охране ПД впервые так комплексно урегулировал права граждан и они четко прописаны. Если же решить вопрос с обидчиком не удалось, тогда уже необходимо обращаться в центр, и такие случаи имеют место. За пять месяцев существования центра поступило более 40 таких жалоб, по которым провели около 20 камеральных (без выезда на место) проверок. Почти по всем их были выявлены нарушения, большинство из которых исправлено в пользу человека.

За нарушение закона Об охране ПД предусмотрены серьезные последствия. Нарушение порядка обработки личных данных может стать основанием для увольнения специалиста, который то делает. Существует и дисциплинарная ответственность, и даже уголовная с лишением свободы. При этом наказание грозит не только тем, кто незаконно собирает, обрабатывает и распространяет личную информацию, но и организациям, которые не принимают предусмотренные законом меры охраны ПД.

— Если в организации случился инцидент, связанный с охраной личных данных, но ведь не произошло незаконного распространения или предоставления информации за пределы компании, то сообщать о происшествии центру не нужно. Во всех остальных случаях организации обязаны это сделать, — напомнил Андрей Гаев. — Имел место случай, например, когда в результате незаконного взлома в сеть попали сведения о 55 тысячах граждан, а организация не сообщила нам об этом.

Директор центра обозначил, что в стране более 400 тысяч только юридических лиц, а есть же еще индивидуальные предприниматели и ремесленники, которые также обрабатывают личные данные человека. За несоблюдение мер по охране сведений, что по неосторожности привело к их распространению и причинению тяжких последствий для соответствующих работников организаций, предусмотрено лишение свободы до года. А лица, права которых нарушены, могут требовать возмещения морального вреда.

Ирина СИДОРОК

Название в газете: Абаранiць нельга распаўсюдзiць

Выбор редакции

Общество

Время заботы садоводов: на какие сорта плодовых и ягодных культур стоит обратить внимание?

Время заботы садоводов: на какие сорта плодовых и ягодных культур стоит обратить внимание?

Выбор саженца для садовода — тот момент, значимость которого сложно переоценить.

Культура

Чем в этом году будет удивлять посетителей «Славянский базар в Витебске»?

Чем в этом году будет удивлять посетителей «Славянский базар в Витебске»?

Концерт для детей и молодежи, пластический спектакль Егора Дружинина и «Рок-панорама».