Вы тут

Спецыялісты НЦАПД змагаюцца з незаконным распаўсюджваннем персанальных даных


Сёння ў Беларусі працуе каля 400 тысяч аператараў, якія займаюцца зборам, апрацоўкай і захоўваннем персанальных даных людзей. На жаль, часта яны дапускаюць хібы ў рабоце або праз неахайнае стаўленне да стварэння належнай абароны асабістых звестак, або з-за празмерных патрабаванняў да людзей (захоўванне копій пашпартоў, запытванне пра адміністрацыйныя пакаранні, уладкаванне відэакамер у прыбіральнях, навязванне рэкламы) у выпадках, калі гэта не патрэбна. За два гады спецыялістамі Нацыянальнага цэнтра абароны персанальных даных (НЦАПД) было выдалена 22 мільёны запісаў з незаконна распаўсюджанымі звесткамі, з якіх 1,7 мільёна — унікальныя запісы; больш за 220 тысяч — персанальныя даныя непаўналетніх. Пры гэтым найбольш буйныя базы выдаляліся больш як 30 разоў! Спецыялісты Цэнтра расказалі пра акалічнасці работы з асабістымі звесткамі людзей і скаргі пацярпелых ад дзеянняў нядбайных аператараў.


Фота аўтара

Сочыць ці ахоўвае?

Дзейнасць Цэнтра скіравана найперш на прафілактыку парушэнняў у сферы абароны персанальных даных праз узаемадзеянне з аператарамі. Акрамя таго, установа аказвае практычную дапамогу арганізацыям пры стварэнні мер па абароне асабістых даных. У межах кантрольнай дзейнасці Цэнтрам праведзена звыш 100 праверак, вынікам большасці з якіх стала выяўленне парушэнняў закона аб ПД, а спецыялістамі Цэнтра ўказаны меры па выпраўленні хібаў.

— У плане прафілактычнай работы Цэнтр надае ўвагу найперш аператарам, якія назапашваюць вялікія базы ПД, што збіраюцца з дапамогай сеціва. Напрыклад аператары інтэрнэт-крам генеруюць высокія рызыкі, якія звязаны з уцечкамі. Цэнтр правёў маніторынг выканання заканадаўства такімі аператарамі (праверыў звыш 50 сайтаў) і адпрацоўвае з аператарамі пытанні прыбірання парушэнняў, — расказаў Віталь Бойка, начальнік аддзела па рабоце са зваротамі Нацыянальнага цэнтра абароны персанальных даных. — Акрамя нарматыўнай і метадалагічнай базы па пытаннях абароны ПД створаны каментарый да закона аб абароне персанальных даных, які змешчаны на сайце cpd.by і даступны для спампавання ў любых фарматах.

Цэнтр таксама аказваў метадалагічную дапамогу па прывядзенні ў адпаведнасць з заканадаўствам сацыяльна-значных сфер. Напрыклад, для вырашэння праблемных пытанняў, якія ўзнікаюць ва ўстановах адукацыі адносна прымянення заканадаўства аб ПД, распрацаваны матэрыялы, дзе адлюстраваны асобныя аспекты прымянення закона ў гэтай галіне. Спецыялісты спадзяюцца, што гэта паменшыць колькасць памылак аператараў, накшталт той, калі на сайце адной з ВНУ без прававой падставы распаўсюдзілі больш за тысячу запісаў пра асоб, якім выдзелілі жылыя памяшканні ў інтэрнаце.

— Вядома, такія звесткі па патрабаванні Цэнтра з рэсурсу выдалілі. Падобная інфармацыя павінна даводзіцца праз асабісты кабінет студэнта або электронныя лісты, але ж ніяк не праз Інтэрнэт, — нагадаў прадстаўнік Цэнтра. — Спецыялістамі распрацаваны і пакрокавыя алгарытмы (прыкладныя формы і ўзоры) прывядзення дзейнасці аператара ў адпаведнасць з патрабаваннямі закона, каб не дапускаць парушэнняў абароны ПД. А ў Telegram-канале Цэнтра змешчаны актуальныя пытанні сферы абароны ПД і адказы на іх.

У дакуменце ў прыватнасці абазначана, што камеры відэаназірання могуць усталёўвацца як унутры шматкватэрных жылых дамоў, так і на памяшканнях (аб’ектах, абсталяванні), якія адносяцца да агульнай маёмасці сумеснага домаўладання, з мэтай забяспечыць ахоўнасць гэтай маёмасці. Рашэнне аб арганізацыі відэаназірання прымаецца на агульным сходзе жыхароў, калі за яго прагаласавала больш за палову ўдзельнікаў. Апрацоўка ПД пры гэтым можа праводзіцца без згоды жыхароў.

Звычайна доступ да аналйн-трансляцый (архіваў) відэаназірання даецца толькі таварыству ўласнікаў дома ці ўпаўнаважаным дзяржорганам, а не жыхарам. Аднак нярэдка дагавор заключаецца з канкрэтнымі жыхарамі, і тады апрацоўка ПД закранае не толькі правы і інтарэсы гэтых суб’ектаў ПД, але і іншых асоб (другіх жыхароў, гасцей, камунальных служачых), якія трапляюць у аб’ектыў, патлумачылі ў Цэнтры:

— Кола грамадзян, якія маюць доступ да відэаархіва, вызначае аператар, напрыклад, таварыства ўласнікаў, або гэта вызначаецца на агульным сходзе разам з прыняццем рашэння аб відэаназіранні ўвогуле. Пры гэтым нельга даваць доступ жыхарам аднаго пад’езда да запісаў з відэакамер з іншага пад’езда. Аднак гэта не выключае доступ абанентаў відэаназірання (незалежна ад пад’езда) да архіваў са стаянак аўтатранспарту, дзіцячых пляцовак. Іншай прыдамавой тэрыторыі, то-бок з відэакамер, якія ўсталяваны па-за межамі пад’ездаў дома, на выхадах з іх.

Захоўваць відэазапісы з камер рэкамендуецца не даўжэй за 30 дзён, што варта адлюстраваць у дагаворы, каб такім чынам вытрымаць баланс паміж тымі, хто ўвогуле быў незацікаўлены ў арганізацыі відэаназірання, і тымі, хто хоча захоўваць архівы як мага даўжэй.

Жыхароў, якім аказваецца паслуга відэаназірання, неабходна інфармаваць пра недапушчальнасць распаўсюджвання ці перадачы атрыманых відэазапісаў або доступу да акаунта трэцім асобам; выкарыстання відэаінфармацыі для стварэння канфліктаў (напрыклад для вырашэння спрэчак без звароту да ўпаўнаважаных органаў); адсочвання дзеянняў суседзяў.

Без права на патрабаванне

Сярод асноўных парушэнняў закона аб ПД фармальны падыход пры рэалізацыі абавязковых мер, прадугледжаных заканадаўствам. Не заўжды мадэль прызначэння асоб, якія адказныя за ажыццяўленне кантролю за апрацоўкай ПД, адпавядае працэсам, якія пры гэтым адбываюцца ў аператара. Шмат парушэнняў, звязаных з атрыманнем згод, якія не заўжды ўтрымліваюць канкрэтныя мэты, то-бок суб’ект персанальных даных не разумее, з якой мэтай запытваецца тая ці іншая асабістая інфармацыя, агучыў спецыяліст:

— Часам згода ўключаецца ў дагаворы, і фактычна грамадзянін не можа адмовіцца ад мэт, якія абазначаны ў дагаворы, напрыклад, на рэкламную рассылку. Далучаючыся да такога дагавора, чалавек мусіць атрымліваць такую рассылку, хаця прававой падставай для гэтага тут можа быць толькі дадзеная ім згода.

Парушаюцца аператарамі таксама агульныя патрабаванні да работы з ПД, калі апрацоўка асабістых звестак адбываецца без належных прававых падстаў. Напрыклад, распаўсюджваецца ў чатах і месэнджарах інфармацыя пра даўжнікоў (членаў садаводчых таварыстваў, таварыстваў уласнікаў), якая павінна апрацоўвацца са згоды гэтых людзей. У практыцы спецыялістаў Цэнтра здараліся і выпадкі відэаназірання ў неналежных месцах, накшталт прымерачных кабінак ці прыбіральні.

— Аператар не заўжды разумее, што неабходна справядліва падыходзіць да апрацоўкі ПД. Калі выпатрабоўваюцца асабістыя звесткі чалавека і пры атрыманні згоды ўказваюцца вялізныя тэрміны (да 50 гадоў), што ў ва многіх выпадках супярэчыць патрабаванням справядлівасці апрацоўкі ПД. А яшчэ неправамерна, калі аператары назапашваюць і захоўваюць ПД людзей цягам тэрмінаў, якія перавышаюць абазначаны для гэтага законам (ці нават самім аператарам) час, — абазначыў Віталь Бойка. — Часта празмернасць пры апрацоўцы ПД назіраецца пры працаўладкаванні. Адны аператары, напрыклад, патрабуюць звесткі пра прыцягненне да крымінальнай ці адміністрацыйнай адказнасці, калі гэта прама не прадугледжана законам. А іншыя — бяруць копіі пашпартоў і захоўваюць іх у асабістых справах, што таксама парушэнне.

За два гады ў Цэнтр звярнулася звыш 2300 грамадзян і арганізацый, якім дадзена больш як 600 адказаў і звыш тысячы тлумачэнняў на запыты юрыдычных асоб. Апошніх, дарэчы, асабліва тых, хто працуе ў банкаўскай сферы, гандлі, адукацыі, галіне аховы здароўя, найчасцей цікавяць аспекты прымянення заканадаўства: калі патрэбна згода чалавека на апрацоўку ПД; як прызначыць спецыяліста, адказнага за работу з ПД; якія меры па абароне ПД павінны быць абавязкова рэалізаваны. Грамадзян цікавіць, ці справядліва збіраюцца, апрацоўваюцца і распаўсюджваюцца іх ПД, напрыклад пры працаўладкаванні ці атрыманні адукацыі.

У Цэнтр можна таксама і паскардзіцца. З 250 разгледжаных скаргаў чацвёртая частка датычыцца нараканняў на сферы гандлю, паслуг гандлёвых сетак і інтэрнэт-крам, 16% — дзейнасці арганізацый уласнікаў (апошнім часам людзі масава скардзяцца на распаўсюджванне ПД у месэнджарах падобных арганізацый), 10% — работы банкаў, страхавых і іншых фінансавых арганізацый, 10% — на дзеянні наймальнікаў.

Банкі, гасцініцы, турагенцтвы

Шмат нараканняў паступае адносна правамернасці ўсталявання камер відэаназірання, і ў большасці выпадкаў супрацоўнікі Цэнтра становяцца на бок работніка, бо не заўжды наймальнік, на жаль, пераследуе правамерны інтарэс, падзяліўся спецыяліст Цэнтра. Ён расказаў пра выпадак, калі працадаўца ўладкаваў у кабінеце работніка («прафесійнага» скаржніка) відэакамеру, каб назіраць, як той выконвае працоўную дысцыпліну. Праз два тыдні наймальнік прыцягнуў работніка да дысцыплінарнай адказнасці. Спецыялісты вывучылі скаргу гэтага працаўніка і прыйшлі да высновы, што з улікам функцый, якія выконваў работнік, устаноўка відэакамеры не была неабходная для забеспячэння мэт, дзеля якіх яна ўсталёўвалася.

— Увогуле відэаназіранне дае аператарам вялікія магчымасці для кантролю за паводзінамі работнікаў і суб’ектаў персанальных даных. Такое відэаназіранне павінна быць выключэннем, а не правілам. Яго прымяненне магчыма, калі працоўная функцыя работніка звязана са спецыфікай функцый, якія ён выконвае. Напрыклад, калі яна звязана з каштоўнымі металамі ці з абслугоўваннем грашовых сродкаў (касір), — падкрэсліў Віталь Бойка.

Варта памятаць, што раз на пяць гадоў асобы, адказныя за ўнутраны кантроль за апрацоўкай ПД і работнікамі, якія гэтым займаюцца, павінны павышаць сваю кваліфікацыю па пытаннях абароны персанальных даных. Такое патрабаванне і пералік катэгорый асоб, якія павінны праходзіць навучанне ў Цэнтры, вызначаны заканадаўствам. Гэта, напрыклад, банкаўскія і страхавыя служачыя ці аператары, якія апрацоўваюць асабістыя звесткі больш як 10 тысяч асоб. А з гэтага года абавязак распаўсюджаны таксама на спецыялісты арганізацый гасцінічнага абслугоўвання; тых, хто аказвае турыстычныя паслугі, дапамогу ў працаўладкаванні; апрацоўвае біяметрычныя генетычныя даныя. Неабходнасць іх навучання ў Цэнтры абумоўлена маштабнасцю апрацоўкі ПД у такіх аператараў і ўразлівасцю інфармацыі, якая падлягае абароне. Навучанне ў Цэнтры не абмяжоўваецца толькі гэтымі катэгорыямі — заяўку на навучанне могуць падаць і спецыялісты любога іншага аператара, нагадалі спецыялісты.

— Сістэма абароны інфармацыі — комплекс арганізацыйна-тэхнічных мер, якія дазваляе забяспечыць абарону ўсіх апрацоўваемых у інфармацыйнай сістэме звестак. Для стварэння сістэм абароны патрэбна тры этапы: праектаванне, стварэнне і атэстацыя сістэмы абароны, — паведаміў Уладзімір Мацкевіч, начальнік аддзела сістэмы інфармацыйнай бяспекі навукова-даследчага інстытута тэхнічнай абароны інфармацыі. — Стварэнне сістэмы абароны інфармацыі асабліва актуальнае для інфармацыйных сістэм, дзе апрацоўваюцца значныя аб’ёмы ПД. Шэраговым карыстальнікам варта звяртаць увагу, каму, куды, на якіх умовах і навошта яны перадаюць свае асабістыя звесткі.

З 1 студзеня ў Беларусі запрацаваў рэестр аператараў, які сваім існаваннем павінен забяспечыць празрыстасць функцыянавання сістэмы збору і апрацоўкі інфармацыі. Здараецца, нават самі аператары не заўжды ведаюць, якія даныя і ў якім аб’ёме ў іх апрацоўваюцца, заўважыў спецыяліст НЦАПД:

— Аператары такім чынам праводзяць рэвізію сваіх сістэм і лепш уяўляюць, якія звесткі яны апрацоўваюць. У сваю чаргу Цэнтру будзе зразумела, колькі, якія менавіта і наколькі ўразлівыя звесткі апрацоўваюць аператары.

Загадам аператыўна-аналітычнага цэнтра пры Прэзідэнце вызначаны чатыры асноўныя крытэрыі ў дачыненні да інфармацыйных рэсурсаў, якія падлягаюць уключэнню ў рэестр.

Інфармрэсурсы, дзе апрацоўваюцца генетычныя ці біяметрычныя ПД незалежна ад іх аб’ёму — дастаткова факта апрацоўкі падобных звестак.

Інфармрэсурсы, у якіх апрацоўка ПД звязана з трансгранічнай перадачай звестак у краіны, дзе не забяспечваецца належны ўзровень абароны інфармацыі.

Інфармрэсурсы, дзе апрацоўваецца асабістыя звесткі больш як 100 тысяч суб’ектаў ПД і звыш за 10 тысяч персанальных даных непаўналетніх ва ўзросце да 16 гадоў.

Хоць усе аператары павінны былі ўнесці свае базы (шляхам аўтэнтыфікацыі ў электронным кабінеце з выкарыстаннем электроннага лічбавага подпісу) у рэестр да 15 студзеня, работа па напаўненні рэестру звесткамі працягваецца.

Ірына СІНІЦА

Прэв’ю: pixabay.com

Выбар рэдакцыі

Калейдаскоп

Усходні гараскоп на наступны тыдзень

Усходні гараскоп на наступны тыдзень

Стральцам на гэтым тыдні не трэба пераацэньваць сваіх магчымасцяў.

Гандаль

Кандытарскія вырабы — брэнд беларускай харчовай прамысловасці

Кандытарскія вырабы — брэнд беларускай харчовай прамысловасці

Напярэдадні Міжнароднага сімпозіума кандытараў эксперты расказалі аб планах і перспектывах кандытарскай галіны.

Сям'я і дэмаграфія

Святлана Клачкова: Чым больш дзяцей, тым больш любові

Святлана Клачкова: Чым больш дзяцей, тым больш любові

Як жа шматдзетная сям’я спраўляецца з хатнімі клопатамі?