Вы здесь

Когда нужно получать согласие человека на использование его данных?


Новые правила обработки персональных данных (ПД) и их защиты, заработавшие с ноября 2021-го, продолжают вызывать много вопросов как у людей, так и у операторов, работающих с этими данными. Если человек должен дать разрешение на распространение информации о себе, а если даже не знает, что сведения о нем кто-то собирает? Чем грозит несанкционированное распространение ПД и как узнать, правильно ли ты с ними обращаешься? Ответы на эти и другие вопросы дали специалисты Национального центра защиты персональных данных (НЦЗПД).


«Культ согласия»

За время существования центра (неполные три месяца) сюда поступило около 200 запросов от людей по самым разным направлениям. Начиная от обработки ПД в сферах ЖКХ, образования и работы банков, касающейся дистанционного обслуживания, заканчивая деятельностью торговых сетей, которые также собирают ПД в рамках своих программ лояльности, заметил Андрей Гаев, директор Национального центра защиты персональных данных (НЦЗПД):

— Мы стараемся концентрировать усилия на выработке различного рода рекомендаций и методологий, чтобы помочь и операторам, и людям реализовать права и обязанности, вытекающие из Закона О защите персональных данных. Наиболее актуальны сейчас вопросы в сфере трудовых отношений, а также связанные со служебной деятельностью. Из обращений от людей видно, что многие проблемы проистекают из того, что операторы упустили шестимесячный срок до вступления в силу закона, если они должны были привести свою деятельность в соответствие с ним.

Появилась, например, проблема, которую специалисты обозначили как «культ согласия», когда у людей стали спрашивать согласие и в случаях, предусмотренных законом, и когда это не требуется. Между тем до получения согласия при обработке ПД установлен ряд серьезных требований, основным из которых является добровольность получения согласия человека и свободный характер выдаваемого согласия, подчеркнул Андрей Гаев:

— Законом определен широкий круг ситуаций, когда согласие не нужно. Например, когда законодательно устанавливается определенная обязанность, требующая работы с ПД гражданина: в сфере трудовых и связанных с работой отношений. Или когда мы пишем в организацию с определенными обращениями или ходатайствами, обращаемся за осуществлением административных процедур, заключаем договоры.

— Современные реалии показывают, что невозможно существовать в обществе и быть полностью от него закрытым. Дети ходят в школу, мы владеем определенной недвижимостью или авто, приобретаем товары через интернет-банкинг, платим налоги, у нас есть электронная медицинская карточка, почтовый адрес, на который приходят письма. Очевидно, что все это требует определенной обработки наших ПД. И в данном случае спрашивать нашего согласия на сообщение личных данных нелогично, так как если я не хочу что — то покупать, то не будет и обработки моих ПД, — добавил Николай Саванович, первый заместитель директора НЦЗПД.

Несвязанные цели и жалобы без рассмотрения

Еще одна проблема — после получения согласия от человека ей придается столь абсолютный характер. Согласие получил — и якобы никаких мер по защите ПД принимать не нужно. Это не так. Каждый оператор должен самостоятельно определить, что он будет делать, чтобы защитить полученную информацию, — это рискоориентированный подход действия закона, которым определены базовые требования к защите ПД, уточнил Андрей Гаев:

— Мы выяснили также проблему, вытекающую из того, что одно согласие часто берется одномоментно для нескольких не связанных между собой целей. Например, входя в систему дистанционного банковского обслуживания, человеку, желающему получить доступ к цифровым услугам, предлагается согласиться и на разного рода рекламную рассылку. Эти вещи не связаны, и для последнего действия необходимо получить дополнительное согласие, а человек должен иметь возможность отказаться от ненужных ему предложений.

Кстати, жалобы, направляемые в НЦЗПД электронной почтой, должны иметь электронную цифровую подпись. Обычные электронные сообщения не подлежат рассмотрению. Это сделано сознательно, чтобы не допустить несанкционированной рассылки и злоупотребления правом, а также не породить своеобразной неконкурентной борьбы между лицами.

— Ошибка граждан часто в том, что они, чтобы решить проблему, которая возникла с оператором, обращаются в различные органы, а не к самому оператору, — добавил директор НЦЗПД. — Во время современных технологий цифровые следы затираются очень быстро, и любой орган, в который человек направляет свою жалобу, все равно обратится за разъяснениями к оператору, а время уже будет утеряно. Поэтому мы рекомендуем обращаться за решением возникшей проблемы непосредственно к оператору, а в центр жаловаться, уже если результат не удовлетворил.

Благими устремлениями или сознательными нарушениями

Необходимо обращать внимание, кому, зачем и для чего мы даем свои ПД. Давать их непроверенным лицам и источникам категорически недопустимо, как и распространять ПД других лиц, отмечает Андрей Гаев:

— Сложилась такая практика, что фотографии со своими родственниками и знакомыми и другие ПД об этих людях некоторые лица распространяли в интернете из благих побуждений. Однако нужно помнить, что ПД касаются непосредственно и лично каждого из нас, и распоряжаться ими могут только собственники этих сведений или если человек дал соответствующее право на распространение. Поэтому многое в плане защиты ПД зависит непосредственно от нас самих.

При этом операторы должны также не допускать распространения ПД, однако на практике такое случается по разным причинам.

— Иногда информация становится доступна неограниченному кругу лиц в интернете ввиду небрежности человека, что приводит к технической ошибки в программном обеспечении. Случалось, что на определенное время некоторые базы данных становились доступными всем, — уточнил Николай Саванович. — А могло произойти и так, что человек сознательно нарушил правила пользования ПД и сделал сведения общедоступными. Мотивация может быть разная: от банальной ревности или неприязненных личных отношений с человеком до чувства анонимности и безнаказанности, мол, никто же не узнает, кто это в интернете сделал. От сознательного нарушения не может защитить ни один самый совершенный закон в мире. И человек, который его нарушил, подпадает под деятельность административного или уголовного законодательства.

Рекомендации для трудовых отношений

Рекомендации при обработке ПД в трудовой сфере были разработаны центром одними из первейших, поскольку работа с ПД в этой области затрагивает не только нанимателей, но и множество граждан, и закон здесь должен соблюдаться без нарушения прав субъектов ПД, заметила Ирина Пырко, заместитель начальника управления методологии защиты ПД НЦЗПД.

— Помимо персональных данных работников, наниматели обрабатывают также и сведения о других субъектах ПД, в том числе соискателях трудоустройства (данные резюме), бывших сотрудниках (их документы должны определенное время храниться в организации). В ряде случаев наниматель обрабатывает и ПД членов семьи и родственников своих сотрудников.

Ситуаций, когда работник может свободно дать свое согласие на обработку ПД, немного, поскольку он является зависимой стороной, принят на работу для выполнения определенных функций и обязан подчиняться нанимателю и распорядку. Так что потребность у работника согласия на обработку его ПД с определенной целью трудно назвать свободной, уточнила она.

Да субъект ПД имеет обратное право согласия, закрепленное в законе, то есть он вправе требовать от оператора прекращения обработки своих данных. И оператор, получив такое обращение от человека, должен удовлетворить его. Однако в трудовой сфере у работников мало шансов потребовать удаления сведений о себе.

— Согласно закону, обработка ПД человека при приеме на работу и в процессе работы осуществляется без согласия субъекта персональных данных, если такая обработка предусмотрена законодательством, — подчеркнула Ирина Пырко. — Так, во время трудоустройства гражданин обязан представить нанимателю определенный перечень документов, а в отдельных случаях — еще и дополнительные бумаги, подтверждающие право на определенную работу. Это, например, медицинское заключение или документы для работников, которым нет 18 лет. Все эти сведения будут обрабатываться без согласия человека. Несмотря на то, какие правовые основания наниматель выбирает при обработке ПД, он, как и любой другой оператор, обязан придерживаться правил обработки этой информации. В том числе не допускать переизбытка обработки ПД и выдерживать сроки их обработки и хранения.


Вопрос — ответ

— При трудоустройстве в госорганы человеку сейчас требуется обязательная характеристика от предыдущего нанимателя, и некоторые из них начали спрашивать у бывших работников согласия распространить их ПД новому работодателю (третьей стороне). Обязательно ли это?

— Распространение такой информации происходит без получения согласия человека, в отношении которого эта информация запрашивается, — ответил Андрей Гаев.

— Не станет дополнительной нагрузкой для службы «Одно окно» необходимость запросов согласия у разных инстанций и человека при подготовке определенных пакетов документов, например, для оформления пенсии?

— В законе сказано, что обработка ПД субъекта осуществляется на основании согласия человека, если иное не предусмотрено законом О защите ПД или иными законодательными актами. Как раз другие случаи содержат более 20 правовых оснований (ст. 6 закона), позволяющие обрабатывать ПД в различных ситуациях с разными целями без получения согласия от субъекта ПД, в том числе для начисления пенсий или пособий. Поэтому службам не стоит беспокоится на этот счет, — уточнила Ирина Пырко.

— Все больше операций переходит в онлайн, где часто требуется предварительная оплата. Владельцы услуги при этом запрашивают не только номер банковской карточки, но и код ее проверки (CVV). Безопасно ли сообщать его?

— Действительно, CVV — это очень важная информация, и если знать этот код и номер банковской карточки, их можно использовать в том числе и с противозаконными целями. Для подобных расчетов следует иметь в резерве отдельную карточку и рассчитываться ею за покупки в интернете. Тогда риски будут минимизированы, — посоветовал Николай Саванович.


Пусть меня научат

Одна из функций НЦЗПД, кроме контроля за исполнением Закона О защите ПД, — образовательная. Специалисты Центра учат операторов, как применять закон на практике в двух основных направлениях: защита персональных данных и техническая криптографическая защита информации.

Собственники и владельцы информационных систем и критически важных объектов информации и организации, занимающиеся лицензированной деятельностью в сфере защиты информации, должны раз в три года обучать своих сотрудников, обеспечивающих информационную безопасность, непосредственно в НЦЗПД. Законодательством определен круг субъектов, обязанных пройти обучение по вопросам защиты ПД в центре. Это, в частности, организации, которые обрабатывают огромные объемы данных — более 10 тысяч физических лиц (например, крупные торговые интернет-площадки), или отдельные категории ПД (банки, страховые организации, медицинские учреждения и другие), очертил Сергей Задиран, заместитель директора НЦЗПД:

— Обучение вопросам защиты ПД лиц, отвечающих в Организациях за внутренний контроль за обработкой таких сведений, а также непосредственно обрабатывающих ПД, должно происходить раз в пять лет. Законодательно предусмотрено также множество других форм организации обучения, вроде лекторий, тематических семинаров и тренингов. Много заявок на обучение в центре мы получаем даже от тех, кто не обязан, согласно законодательству, проходить у нас обучение.


В тему

На днях в НЦЗПД появился собственный сайт cpd.by, где можно подать электронное обращение, выяснить, как действовать, если права человека во время обработки ПД были нарушены, а также узнать об обучении вопросам защиты персональных данных.

«Особое внимание уделяем политике обработки cookіe. Для центра неприемлемо, чтобы данные о посетителях нашего сайта хранились на посторонних серверах, поэтому мы выбрали для него автономную аналитику. Мы не передаем cookіe третьим лицам и не используем их для идентификации субъектов ПД», — подчеркнули в центре.

Ирина СИДОРОК

Фото автора

Выбор редакции

Калейдоскоп

Восточный гороскоп на следующую неделю

Восточный гороскоп на следующую неделю

Звезды обещают много приятных моментов и хороших новостей для Близнецов.

Экология

Какие прогнозы на лето делают метеорологи?

Какие прогнозы на лето делают метеорологи?

Три месяца сплошной жары нам не обещают

Общество

Такое разное молоко... Кому какое подходит?

Такое разное молоко... Кому какое подходит?

«Молоко — полноценный продукт питания, а не напиток, это важно учитывать».