Кожны чалавек павінен ведаць, хто, калі, як, з якой мэтай, у якім аб’ёме і навошта працуе з персанальнымі данымі, а таксама мець магчымасць уплываць на гэтыя працэсы. З дадзенай мэтай, а таксама для абароны індывідуальных звестак беларуса, яго правоў і свабод пры апрацоўцы такой інфармацыі, у сярэдзіне лістапада запрацаваў Закон аб абароне персанальных даных і быў створаны Нацыянальны цэнтр абароны персанальных даных. Як працуе і на што прыдатны новы закон, расказалі эксперты.
Закон упершыню кансалідаваў разрозненыя нормы, якія дагэтуль існавалі ў шэрагу нарматыўных актаў, што рэгулявалі абарот персанальных даных, падкрэсліў Андрэй ГАЕЎ, дырэктар новастворанага цэнтра:
— Усё больш працэсаў, якія адбываюцца ў рэальным жыцці і эканоміцы, пранікае ў віртуальнае асяроддзе. Таму ўзрастае патрэба забеспячэння бяспекі інфармацыі, у тым ліку даных грамадзян. Папярэдні базавы закон, які дагэтуль рэгуляваў адносіны, звязаныя з апрацоўкай персанальных даных, меў пэўныя недахопы. У прыватнасці, не рэгуляваў моманты, звязаныя з інфармацыяй адносна электронных адрасоў, нумароў тэлефонаў і іншымі аспектамі, якія цяпер нарматыўна рэгулююцца.
Поспех рэалізацыі закона залежыць ад кожнага з нас, бо толькі ў нашых сілах вырашаць, каму і навошта персанальныя даныя прадастаўляць. А Цэнтр зробіць усё магчымае, каб працэсы адбываліся дакладна і сістэмна, паабяцаў яго дырэктар.
Перад Цэнтрам стаяць дзве галоўныя задачы. Першая звязаная з арганізацыяй абароны персанальных даных. Аднак гэта не значыць, што ў Цэнтры будуць сканцэнтраваны ўсе інфармацыйныя рэсурсы. Банкі і базы даных застануцца ва ўласнікаў гэтых сістэм, падкрэсліў Андрэй Гаеў.
— Аднак праз пытанні, звязаныя з забеспячэннем метадалагічнага суправаджэння, кантролю, праз разгляд скаргаў, якія, магчыма, будуць узнікаць у суб’ектаў персанальных даных, Цэнтр будзе ўплываць на гэтыя працэсы, — дадаў ён. — Спачатку ўпор будзе рабіцца на метадалагічнае забеспячэнне і суправаджэнне рэалізацыі ўваходжання ў сілу закона. У кожнага аператара было паўгода, каб забяспечыць рэалізацыю закона на практыцы, таму спасылацца цяпер на тое, што камусьці чагосьці не хапае, — катэгарычна няправільна. Хоць, зрэшты, Цэнтр і яго каманда таксама толькі фарміруюцца, таму мы з разуменнем будзем ставіцца да працэсаў, якія будуць яшчэ патрабаваць вырашэння.
Арганізацыя адукацыйнага працэсу — другая задача Цэнтра. Установа будзе забяспечваць павышэнне кваліфікацыі па пытаннях абароны персанальных даных. А ад нацыянальнага цэнтра абмену трафікам да яго пяройдуць пытанні па тэмах, звязаных з тэхнічнай і крыптаграфічнай абаронай інфармацыі.
Распрацоўка закона пачалася яшчэ ў 2016-м, і стаўленне да яго было неадназначнае, многія арганізацыі дагэтуль успрымаюць яго палажэнні як пэўны цяжар і неабходнасць ускладнення сваёй дзейнасці. І ў пэўнай ступені гэта сапраўды так, заўважыў Мікалай САВАНОВІЧ, намеснік начальніка ўпраўлення — начальнік аддзела канстытуцыйнага права Нацыянальнага цэнтра заканадаўства і прававых даследаванняў:
— Раней той, хто фізічна кантраляваў звесткі на папяровым носьбіце, адпаведна, кантраляваў і інфармацыю аб сабе. Па меры з’яўлення інфармацыйных сістэм аднойчы ўведзеная ў сістэму інфармацыя магла адначасова адлюстроўвацца ў розных кропках свету, і чалавек пераставаў кантраляваць гэтыя звесткі і не ведаў, як, кім і для чаго яны будуць выкарыстоўвацца.
Раней персанальныя даныя ахоплівалі толькі тую інфармацыю, якая непасрэдна ідэнтыфікавала суб’екта. І гэта ўжо не адпавядае сённяшнім рэаліям, як і тое, што ўся апрацоўка некалі павінна была ажыццяўляцца па пісьмовай згодзе чалавека, калі іншае не было прадугледжана нарматыўнымі актамі. Відавочна, што ў час развіцця інфармацыйных тэхналогій патрабаванне атрымання пісьмовай згоды — вельмі складанае і нават невыканальнае, падкрэсліў спецыяліст:
— Важны інструмент закона — комплекс правоў, якімі надзяляюцца грамадзяне (дагэтуль іх не было). З аднаго боку, ён дазваляе чалавеку кантраляваць апрацоўку даных аб сабе, а з другога — накладае на арганізацыі пэўныя абавязацельствы, што вымушае іх больш пільна ставіцца да апрацоўкі і ўліку персанальных даных. Законам вызначаны выпадкі, калі апрацоўка магчымая са згоды чалавека ці без яе.
Закон рэалізаваў рызыкаарыентаваны падыход, калі дакладныя меры па абароне правоў суб’екта персанальных даных вызначае сам аператар зыходзячы з мэт, для якіх ён апрацоўвае інфармацыю. Такі падыход не зусім характэрны для нашай прававой сістэмы. Але паколькі колькасць аператараў у краіне налічвае сотні тысяч, вызначыць для кожнага з іх вычарпальны пералік мер немагчыма. Аднак створаны шэраг мер, які павінен рэалізаваць кожны аператар, адзначыў Мікалай Савановіч.
Сярод іх, дарэчы, — прызначэнне спецыяліста, які будзе займацца пытаннямі ўнутранага кантролю за выкананнем заканадаўства, кансультаваць кіраўніка, разглядаць звароты грамадзян. Важная і палітыка канфідэнцыяльнасці падчас апрацоўкі даных, якую павінен вытрымліваць кожны аператар і ў межах якой ён раскрывае звесткі, якія персанальныя даныя, з якой мэтай і на падставе чаго ён апрацоўвае. Такая мера забяспечвае прынцып празрыстасці апрацоўкі персанальных звестак.
— Яшчэ адна цікавая норма, аналагаў якой няма ў іншых краінах, — абавязак усіх аператараў праводзіць навучанне асоб, упаўнаважаных на ажыццяўленне ўнутранага кантролю, а таксама тых, хто непасрэдна апрацоўвае персанальныя даныя. Такі падыход не дае ім у будучым магчымасці сказаць, быццам яны не ведалі, што нейкім чынам парушылі закон, — удакладніў спецыяліст.
У рэальным свеце большасць персанальных даных ужо апрацоўваецца ў электронным выглядзе, і нормы, якія прад’яўляе закон да аператараў, з’яўляюцца пэўнай прававой рамкай, што тлумачыць суб’ектам і аператарам, у межах якога тэрміну і з якой мэтай можа адбывацца такая апрацоўка. Аднак каб рэальна абараніць даныя, трэба, каб сістэма адпавядала адэкватным патрабаванням, звярнуў увагу Сяргей ПАШКОЎСКІ, спецыяліст па кібербяспецы «БелВЭБ-ІT»:
— Такое рэгуляванне ў краіне існуе з 2013 года. І згодна з патрабаваннямі, інфармацыя абмежаванага распаўсюджвання павінна апрацоўвацца ў сістэмах, якія маюць атэставаную сістэму абароны інфармацыі.
Каб персанальныя даныя чалавека захоўваліся бяспечна, па-першае, у сістэме павінна быць дакладнае размежаванне правоў доступу пэўных работнікаў. Па-другое, у сістэме павінна быць арганізавана адэкватная антывірусная абарона на камп’ютарах і паштовых сэрвісах. Па-трэцяе, аператар павінен вызначыць пералік іншых інфармацыйных сістэм, з якімі ён узаемадзейнічае, аднак якія яму не належаць. Сюды ж адносяцца і пытанні рэзервавання інфармацыі (не хацелася б сутыкнуцца з сітуацыяй, калі праз нейкі збой ці чалавечую памылку аказалася, што нейкая інфармацыя проста перастала існаваць).
— Наладзіць абарону інфармацыі аператар можа самастойна — або скарыстацца паслугамі кампаніі, якая мае ліцэнзію аператыўна-аналітычнага цэнтра на тэхнічную і крыптаграфічную абарону інфармацыі, — удакладніў спецыяліст. — Калі кампанія пажадае размясціць сваю інфармацыйную сістэму ў пэўнага воблачнага правайдэра, які з’яўляецца рэзідэнтам Беларусі, працэдура атэстацыі часткова спрашчаецца. У такім выпадку яна зводзіцца, па сутнасці, проста да пераезду і заключэння дагавора. Такая паслуга, пэўна, будзе папулярная сярод сярэдняга і малога бізнесу.
Ірына СІДАРОК
Прэв’ю: pexels.com
Канцэрт для дзяцей і моладзі, пластычны спектакль Ягора Дружыніна і «Рок-панарама».
Выбар саджанца для садавода — той момант, значнасць якога складана пераацаніць.
Актрыса НАДТ імя М. Горкага — пра шлях да сцэны і натхненне.
Тата і мама — два самыя важныя чалавекі ў жыцці кожнага дзіцяці.