Среди изменений и дополнений в Конституцию, выносимых на референдум, фигурирует и такая новелла: «Государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании». С чем связаны предполагаемые изменения и зачем охранять персональные данные (ПД)? Кому можно доверить пин-код от банковской карточки и когда следует требовать удаления сведений о себе с электронной базы? Чем опасно распространение информации о человеке и как личность вскрывается через онлайн-идентификаторы? Ответами на эти и многие другие вопросы, касающиеся персональных данных личности, поделился один из создателей Закона О защите персональных данных Николай САВАНОВИЧ, первый заместитель директора Национального центра защиты персональных данных.
— Почему так важно защищать данные о человеке?
— Современный человек содержит в сети все больше информации о себе (и по работе, и частной), часто не осознавая, что эти сведения могут помочь идентифицировать его личность или попросту быть украдены и использованы ненадлежащим образом. Кроме того, оставляя ПД во время заполнения анкет, участия в соцопросах или приобретая какой-то продукт, граждане также делятся личными данными. Чтобы люди знали, кто, когда, как, с какой целью, в каком объеме и зачем работает с ПД, а также могли влиять на эти процессы, в Беларуси заработал Закон о защите персональных данных и был создан Национальный центр защиты персональных данных (далее — Центр). Основные его цели — организовать защиту ПД и обучить специалистов безопасной работе с ними. Это важный шаг к тому, что прописано в предложенной редакции Конституции.
Раньше, если вы имели бумажный носитель документа, то в значительной степени контролировали оборот вашей личной информации. А значительные рабочие и финансовые затраты на сбор и обработку информации, которой владели различные организации, серьезно сдерживали возможности быстрого получения данных из разных источников. Но развитие информационных технологий, автоматизация многих бизнес-процессов кардинально изменили ситуацию, и этот барьер фактически перестал существовать. Обработка огромных объемов информации стала доступной и довольно дешевой. Сегодня уже распространилось выражение, что «персональные данные — это новая нефть».
Действительно, с каждым днем все больше процессов с участием населения (покупки, общение, даже работа) происходят в виртуальном пространстве. В свою очередь для информационного общества ПД становятся основным «топливом», на котором «работают» ресурсы и системы. Владение ПД позволяет увеличивать доходы, отслеживать изменения рыночной конъюнктуры и гибко на них реагировать. Однако ПД можно использовать и для более опасных целей, в том числе для формирования профиля человека и влияния на личность и его решения. Кроме того, небрежное отношение к защите ПД может иметь серьезные последствия, в первую очередь для граждан — субъектов персональных данных. Это и возможность потерять работу, и проблемы в семье, с друзьями, испорченная репутация... Таким образом, защита ПД становится не просто каким-то модным трендом, а необходимостью, диктуемой самой жизнью.
— Чтобы уберечься от распространения своих персональных данных, некоторые принципиально не пользуются интернетом. Правы ли они?
— Сам по себе факт неиспользования интернета не означает, что человеку не нужно заботиться о своих личных данных. Заключая договор на приобретение мобильного телефона, получая карту «лояльности» в магазине, открывая счет в банке и, даже выписывая журнал, вы становитесь субъектом, персональные данные которого обрабатываются, и должны ответственно относиться к тому, ради чего и как они будут использованы.
Но в тоже время не стоит считать, что каждый случай использования ваших данных — это нарушение и вмешательство в ваше личное пространство. Невозможно, например, стать на учет лиц, нуждающихся в улучшении жилищных условий, если не сообщить паспортные данные, данные об имуществе, составе семьи. Трудно представить доставку товара без указания адреса, постановку диагноза без изучения результатов анализов и т.д.
Что касается обработки ПД различными информационными ресурсами, то, пользуясь определенным онлайн-сервисом, человек должен понимать, что наше законодательство распространяется прежде всего на те организации, которые созданы по белорусским законам. Если же владелец ресурса находится в другой стране или он вообще неизвестен, то возможностей повлиять на содержание такого ресурса гораздо меньше. Существуют определенные риски, что законодательство страны, где размещен сервис, может не содержать требуемых мер по обеспечению безопасности ПД.
— В действующей Конституции прописано право человека «на защиту от незаконного вмешательства в его личную жизнь» предполагается заменить правом на невмешательство в «частную жизнь». В чем принципиальная разница?
— Понятие «личная жизнь» происходит со времен СССР, когда «частное» считалось преимущественно буржуазным проявлением. Поэтому все, что касалось конфиденциальности, обозначалось как личное (жизнь, собственность). Однако во всех международных документах фигурирует понятие «частная жизнь», поэтому и решено привести понятие в соответствие с ними. Интересно, что и действующий Закон Об информации, информатизации и защите информации использует не срок личную жизнь, а категорию информации о частной жизни физического лица (ст. 17).
— Как обеспечивается защита ПД и как человеку убедиться, что сведения о нем под надежной охраной?
— Сегодня мы исходим из рискоориентированного подхода, когда точные меры по защите ПД определяет сам оператор. Вместе с тем отечественный закон предусматривает ряд мер, направленных на то, чтобы человек понял, что будет происходить с его ПД. Основная идея закона О персональных данных — вернуть контроль над ними гражданину. Для этого мы используем ряд инструментов. Прежде всего, закреплены определенные обязанности организаций, которые обрабатывают персональные данные.
В частности, они должны сообщать людям, как их ПД будут обработаны, иначе такая обработка может быть признана недействительной. На сайте каждой организации на виду должны содержаться документ, в котором обозначена Политика обработки ПД — то-есть лаконично, полно и просто разъяснено, какие данные, с какой целью и на какой срок организация намеревается обрабатывать и кому их передавать. Чтобы такой документ был максимально понятен, центр подготовил рекомендации относительно его вида и содержания — они доступны на портале pravo.by.
В каждой организации должно быть назначено лицо, отвечающее за внутренний контроль за обработкой ПД. Вместе с обязанностями для организаций законом предусмотрен и ряд прав для граждан, с помощью которых они могут контролировать обработку своей личной информации. Это касается сведений, которые обрабатываются и по согласию человека, и без нее. Человек может обратиться к оператору с вопросом «обрабатываете ли вы мои ПД?». В случае положительного ответа оператор должен в течение пяти дней сообщить, какие сведения он обрабатывает, откуда их получил, указать правовые основания и цели обработки.
Кроме того, раз в год человек имеет право узнать у оператора, кому передавались сведения о нем. Исключение — передача ПД органам в рамках оперативно-поисковой деятельности. А еще можно требовать прекращения обработки ПД и их удаления, Если у оператора нет юридического основания для обработки сведений. В европейских странах это называется «право быть забытым».
— О защите какой информации человеку нужно заботиться прежде всего?
— Чтобы определить, что нужно охранять в первую очередь, нужно понимать определение понятия «персональные данные». Закон о персональных данных относит к ним любую информацию, касающуюся идентифицированного физического лица или физического лица, которое может быть идентифицировано. Давно прошло время, когда ПД ограничивались сведениями о фамилии, имени, отчестве, месте жительства, паспортных данных. Сегодня количество информации, которую можно так или иначе связать с человеком, резко выросло. При этом даже не всегда нужно знать его имя, чтобы признать определенные данные персональными данными. К ПД теперь относятся многочисленные онлайн-идентификаторы, в том числе іp-адрес, cookіe-fіles, при определенных обстоятельствах адрес электронного ящика, история поиска в интернете, геолокационные данные, фотографии и т.д. Одновременно закон О персональных данных выделяет специальные ПД, требующие дополнительного внимания и мер по их охране. Это, в частности, данные о расовой или национальной принадлежности, политических взглядах, половой жизни, состоянии здоровья, биометрические и генетические данные.
Подчеркну, что каждому следует внимательно следить, кому и для чего он передает свои ПД. Особенно пристально нужно относиться к поведению в интернете, ведь одна из распространенных причин нарушений в данной сфере — действия самих граждан, которые легкомысленно размещают личную информацию в сети.
— Кто может являться оператором персональных данных, то есть субъектом, который обрабатывает ПД?
— Количество существующих в стране операторов огромное. Это и все организации Беларуси, и фактически все индивидуальные предприниматели, и даже некоторые физические лица (счет идет на сотни тысяч). Если человек использует свою социальную страницу в интернете для профессиональной деятельности и она открыта для неограниченного круга лиц, он подпадает под действие Закона О защите ПД, несмотря на то, что не зарегистрирован как ИП. Это касается, по крайней мере, тамады, ремесленника, репетитора. Правда, для таких лиц обязанности немного облегчены — им не нужно размещать на своей странице политику обработки ПД и назначать лицо, ответственное за внутренний контроль.
— Не приведет ли необходимость соблюдения закона к парализации отдельных сфер жизнедеятельности, учитывая, что ПД используются сегодня очень широко?
— Такого не должно произойти. Ради этого законодатель сделал несколько довольно серьезных исключений, определяя сферы, где закон не применяется. Так, под действие закона не подпадает обработка персональных данных физическими лицами во время исключительно личного или семейного (домашнего) использования. Это просмотр фотоальбомов, ведение контактов в телефонной книге, Переписка по электронной почте или в соцсетях. В последнем варианте это касается случаев, когда мы переписываемся в рамках какой-то закрытой группы, большинство участников которой знаем лично. А вот если близкие люди, например, расходятся и начинают в интернете выкладывать информацию о частной жизни друг друга, то это уже будет считаться распространением ПД со всеми последствиями.
Ирина СИДОРОК
Превью: pixabay.com
Ссылки
[1] https://zviazda.by/ru/tags/iryna-sidarok-0
[2] https://zviazda.by/ru/gramadstva
[3] https://zviazda.by/ru/tags/personalnye-dannye
[4] https://zviazda.by/ru/tags/konstituciya
[5] https://zviazda.by/ru/tags/nikolay-savanovich
[6] https://zviazda.by/ru/tags/nacionalnyy-centr-zashchity-personalnyh-dannyh