Каждый человек должен знать, кто, когда, как, с какой целью, в каком объеме и зачем работает с персональными данными, а также иметь возможность влиять на эти процессы. С данной целью, а также для защиты индивидуальных сведений белоруса, его прав и свобод при обработке такой информации, в середине ноября заработал Закон о защите персональных данных и был создан Национальный центр защиты персональных данных. Как работает и на что годен новый закон, рассказали эксперты.
Закон впервые консолидировал разрозненные нормы, которые до сих пор существовали в ряде нормативных актов, регулировавших оборот персональных данных, подчеркнул Андрей ГАЕВ, директор новосозданного центра:
— Все больше процессов, происходящих в реальной жизни и экономике, проникает в виртуальную среду. Поэтому возрастает потребность обеспечения безопасности информации, включая данные граждан. Предыдущий базовый закон, который до сих пор регулировал отношения, связанные с обработкой персональных данных, имел определенные недостатки. В частности, не регулировал моменты, связанные с информацией относительно электронных адресов, номеров телефонов и другими аспектами, которые сейчас нормативно регулируются.
Успех реализации закона зависит от каждого из нас, ведь только в наших силах решать, кому и зачем персональные данные предоставлять. А центр сделает все возможное, чтобы процессы происходили четко и системно, пообещал его директор.
Перед центром стоят две главные задачи. Первая связана с организацией защиты персональных данных. Однако это не значит, что в центре будут сосредоточены все информационные ресурсы. Банки и базы данных останутся у собственников этих систем, подчеркнул Андрей Гаев.
— Однако через вопросы, связанные с обеспечением методологического сопровождения, контроля, через рассмотрение жалоб, которые, возможно, будут возникать у субъектов персональных данных, Центр будет влиять на эти процессы, — добавил он. — Сначала упор будет делаться на методологическое обеспечение и сопровождение реализации вступления в силу закона. У каждого оператора было полгода, чтобы обеспечить реализацию закона на практике, поэтому ссылаться сейчас на то, что кому — то чего-то не хватает, — категорически неправильно. Хотя, впрочем, центр и его команда тоже только формируются, поэтому мы с пониманием будем относиться к процессам, которые будут еще требовать решения.
Организация образовательного процесса – вторая задача Центра. Учреждение будет обеспечивать повышение квалификации по вопросам защиты персональных данных. А от Национального центра обмена трафиком к нему перейдут вопросы по темам, связанным с технической и криптографической защитой информации.
Разработка закона началась еще в 2016-м, и отношение к нему было неоднозначное, многие организации до сих пор воспринимают его положения как определенное бремя и необходимость усложнения своей деятельности. И в определенной степени это действительно так, заметил Николай САВАНОВИЧ, заместитель начальника управления — начальник отдела конституционного права Национального центра законодательства и правовых исследований:
— Раньше тот, кто физически контролировал данные на бумажном носителе, соответственно, контролировал и информацию о себе. По мере появления информационных систем однажды введенная в систему информация могла одновременно отображаться в разных точках мира, и человек переставал контролировать эти сведения и не знал, как, кем и для чего они будут использоваться.
Ранее персональные данные охватывали только ту информацию, которая непосредственно идентифицировала субъекта. И это уже не соответствует сегодняшним реалиям, как и то, что вся обработка некогда должна была осуществляться по письменному согласию человека, если иное не было предусмотрено нормативными актами. Очевидно, что во время развития информационных технологий требование получения письменного согласия — очень сложное и даже невыполнимое, подчеркнул специалист:
— Важный инструмент закона – комплекс прав, которыми наделяются граждане (до сих пор их не было). С одной стороны, он позволяет человеку контролировать обработку данных о себе, а с другой — налагает на организации определенные обязательства, что вынуждает их более пристально относиться к обработке и учету персональных данных. Законом определены случаи, когда обработка возможна с согласия человека или без нее.
Закон реализовал рискоориентированный подход, когда точные меры по защите прав субъекта персональных данных определяет сам оператор исходя из целей, для которых он обрабатывает информацию. Такой подход не совсем характерен для нашей правовой системы. Но поскольку количество операторов в стране насчитывает сотни тысяч, определить для каждого из них исчерпывающий перечень мер невозможно. Однако создан ряд мер, который должен реализовать каждый оператор, отметил Николай Саванович.
Среди них, кстати, — назначение специалиста, который будет заниматься вопросами внутреннего контроля за соблюдением законодательства, консультировать руководителя, рассматривать обращения граждан. Важна и политика конфиденциальности при обработке данных, которую должен выдерживать каждый оператор и в рамках которой он раскрывает сведения, какие персональные данные, с какой целью и на основании чего он обрабатывает. Такая мера обеспечивает принцип прозрачности обработки персональных данных.
— Еще одна интересная норма, аналогов которой нет в других странах, — обязанность всех операторов проводить обучение лиц, уполномоченных на осуществление внутреннего контроля, а также тех, кто непосредственно обрабатывает персональные данные. Такой подход не дает им в будущем возможности сказать, будто они не знали, что каким-то образом нарушили закон, — уточнил специалист.
В реальном мире большинство персональных данных уже обрабатывается в электронном виде, и нормы, которые предъявляет закон к операторам, являются определенной правовой рамкой, объясняемой субъектом и оператором, в пределах какого срока и с какой целью может происходить такая обработка. Однако чтобы реально защитить данные, нужно, чтобы система соответствовала адекватным требованиям, обратил внимание Сергей Пашковский, специалист по кибербезопасности «БелВЭБ-ІT»:
— Такое регулирование в стране существует с 2013 года. И согласно требованиям, информация ограниченного распространения должна обрабатываться в системах, имеющих аттестованную систему защиты информации.
Чтобы персональные данные человека хранились безопасно, во-первых, в системе должно быть четкое разграничение прав доступа определенных работников. Во-вторых, в системе должна быть организована адекватная антивирусная защита на компьютерах и почтовых сервисах. В-третьих, оператор должен определить перечень других информационных систем, с которыми он взаимодействует, однако которые ему не принадлежат. Сюда же относятся и вопросы резервирования информации (не хотелось бы столкнуться с ситуацией, когда из-за какой-то сбой или человеческой ошибки оказалось, что какая-то информация просто перестала существовать).
— Наладить защиту информации оператор может самостоятельно — или воспользоваться услугами компании, имеющей лицензию оперативно-аналитического центра на техническую и криптографическую защиту информации, — уточнил специалист. — Если компания пожелает разместить свою информационную систему у определенного облачного провайдера, который является резидентом Беларуси, процедура аттестации частично упрощается. В таком случае она сводится, по сути, просто к переезду и заключению договора. Такая услуга, наверное, будет популярна среди среднего и алого бизнеса.
Ирина СИДОРОК
Превью: pexels.com
Интервью с олимпийским чемпионом по фехтованию.
Профессионально, оперативно, по-хорошему.
