защита
персональных данных
эксперты
Андрей Евменов
начальник отдела защиты персональных данных Управления по регистру населения и цифровизации Департамента по гражданству и миграции МВД
Кирилл Лаптев
глава группы технологий, медиа, телекоммуникаций юридической фирмы
Дмитрий Корзун
начальник управления электросвязи и регулирования радиочастотного спектра Министерства связи и информатизации
Максим Гречаников
начальник службы по защите информации компании
Андрей Гаев
директор Национального центра защиты персональных данных
Василий Матвеев
первый заместитель генерального директора белта
ОБРАТИЛИ ЛИ БЕЛОРУСЫ БОЛЬШЕ ВНИМАНИЯ НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЛЕ ПРИНЯТИЯ СООТВЕТСТВУЮЩЕГО ЗАКОНА В 2021 ГОДУ

ДАННЫЕ СТАТИСТИКИ
60%
читают документы организаций об обработке персональных данных
75%
ответственно относятся к своим персональным данным
15%
Не придают ЗНАЧЕНИЯ ПЕРСОНАЛЬНЫМ ДАННЫМ
в этом году сосредоточимся на вопросах трансграничной передачи персональной информации
Андрей Гаев
  • ко второму чтению в парламенте готовятся изменения в Гражданский кодекс, которые будут регулировать в том числе вопросы видеонаблюдения
  • будет проводиться работа, связанная со сбором информации о несовершеннолетних, в частности со сбором их биометрических данных
Сейчас есть ряд моментов, которые требуют отдельного внимания и над которыми центр будет плотно работать в этом году. Это, например, связано с вопросами трансграничной передачи персональной информации. Многие наши организации взаимодействуют со своими партнерами за рубежом и информация о гражданах Беларуси передается им. Мы будем продолжать работу, чтобы минимизировать случаи незаконного использования персональных данных. Сейчас также проводится активная законодательная и информационная работа по тематике трансграничной передачи, в каких случаях персональная информация обязательно должна обрабатываться на территории Республики Беларусь и когда и по каким правилам может передаваться за ее пределы.

В работе находится и тематика, связанная с видеонаблюдением. И на рабочих местах, и в домах, и в общественных местах зачастую устанавливаются камеры видеонаблюдения.
Есть национальное регулирование для использования видеонаблюдения в общественных местах, в сфере трудовых отношений и в личностных аспектах тоже необходимо в нормативном порядке проработать это. Сейчас ко второму чтению в парламенте готовятся изменения в Гражданский кодекс, которые будут регулировать в том числе вопросы видеонаблюдения. Когда в том же подъезде выставляется камера, направленная на дверь конкретного человека и снимаются сведения о нем, это влияет на его приватную жизнь. С одной стороны, сбор информации с камер полезен, например, при наблюдении за детьми на площадках, за подозрительными лицами возле автомобилей, но, с другой стороны, эти же камеры фиксируют кто, когда, с кем, в каком состоянии входил в дом, а значит, и позволяют видеть график перемещения человека. Поэтому, в сборе этой информации тоже должна быть разумная грань.
Кроме этого, будет проводиться работа, связанная со сбором информации о несовершеннолетних, в частности со сбором их биометрических данных. К сожалению, имеет место практика, когда для входа в школы собираются сведения в виде радужной оболочки глаза. Эта информация относится к специальным персональным данным и законодательство допускает их обработку исключительно в случаях, когда по-другому достичь цели невозможно. Но для того, чтобы зайти в школу, средств предостаточно - контрольно-пропускные механизмы, охрана, камеры видеонаблюдения в целях обеспечения безопасности и ряд иных возможностей. Вопросы, связанные с избыточной обработкой биометрических сведений, также в поле зрения центра.
В Беларуси могут ужесточить наказание за распространение персональных данных
Законодательство, регулирующее вопросы привлечения к административной и уголовной ответственности, на месте стоять не будет. Максимальный размер штрафа сегодня для юридического лица в 50 базовых величин несоизмерим с теми затратами, которые реально необходимо сделать, чтобы техническими средствами обеспечить должным образом защиту персональных данных.
Например, в Российской Федерации несколько лет назад увеличили размеры штрафных санкций сразу в 250 раз. Сегодня они там достигают до $300 тыс. в эквиваленте. Конечно, когда будет осуществляться корректировка законодательства об административных правонарушениях, к этому вопросу надо вернуться. Но сегодня есть очень действенный механизм, который предоставлен для того, чтобы центр мог воздействовать на недобросовестные организации - это возможность приостановления работы информационного ресурса, а соответственно бизнеса. Понимая, что это влечет для бизнеса, мы прибегаем к его реализации в крайних случаях, но, к сожалению, уже приходилось пару раз это делать.
В каждом случае надо смотреть на цель сбора информации о персональных данных
The Team teachable
Максим Гречаников
Не всегда граждане резонно спорят об излишнем сборе личной информации. Иногда требуемый объем персональных данных предопределен типовой формой документа. Если взять ту же книгу замечаний и предложений, то утверждена типовая форма и в ней необходимо указывать фамилию, имя, отчество, контактный номер телефона, адрес места жительства. Обязанность организаций - рассматривать обращения и направлять ответы. Важно, чтобы граждане тоже понимали закон, читали политику конфиденциальности и знали свои права. Иногда субъекты персональных данных злоупотребляют своими правами и не всегда понимают, на каком правовом основании обрабатывается их информация. Субъекты заполняют книгу замечаний и предложений, пишут какой-то отзыв, благодарность, замечание и задают вопрос: "Почему не берется согласие на обработку персональных данных?". Мы проводим разъяснительную работу с гражданами о том, что согласие не запрашивается, потому что обработка выполняется на ином правовом основании. Также у нас спрашивают, почему мы берем именно такой объем персональных данных. Потому что этот объем предопределен типовой формой той же книги замечаний предложений, расходно-кассового ордера или иного документа.
Андрей Гаев
В каждом отдельном случае надо смотреть на цель сбора этой информации. Одно дело, когда речь идет о соблюдении норм законодательства об административных процедурах, то необходимо соответствующие сведения, те же паспортные данные, идентификационный номер, внести в информационные ресурсы и системы. Другое дело, когда никто законодательно нормы не ставит в рамки, а наоборот, он сам по своей воле дает сведения, чтобы получить условные несколько процентов скидки, подписываясь на программу лояльности. Для регистрации карт лояльности точно не требуется идентификационный номер. А для выполнения административной процедуры, чтобы идентифицировать человека, зачастую нужно.
как обеспечивается безопасность персональных денных
выработана многоуровневая модель обеспечения информационной безопасности
Андрей Евменов
Ведомство сегодня является одним из крупнейших держателей личной информации о белорусах. Это миллионы персональных данных и тысячи пользователей в различных органах, которые используют эту информацию. Органы МВД разграничивают полномочия, обеспечивают информационную безопасность, чтобы каждый пользователь информационной системы получил именно те данные, которые ему положены в рамках решения функциональных обязанностей. Поэтому в ведомстве переосмыслен подход и выработана многоуровневая модель обеспечения информационной безопасности.
  • -1-
    организационный
    Разработка локальных нормативно-правовых актов, методических рекомендаций, консультации с пользователями информационных систем, чтобы дать им доступ и рассказать об основных аспектах работы.
  • -2-
    прикладной
    Установка программного обеспечения на тех ресурсах информационных систем, которые работают с персональными данными. Дальше идут сами ресурсы и базы данных с персональной информацией. Это резервное копирование, восстановление в случаях сбоя, обеспечение работоспособности ресурсов. Все информационные системы в основном работают в режиме 24/7 по мере необходимости.
  • -3-
    Системный и сетевой
    Обновление операционных систем, чтобы убрать уязвимость и корректно их настроить. Следующий, сетевой уровень предусматривает организацию каналов передачи данных, закрытие этих каналов, чтобы не было каких-то вмешательств в линии передачи данных.
  • -4-
    физический
    Обеспечение бесперебойного функционирования всего оборудования. Если обеспечивается должный порядок на каждом уровне, тогда обеспечивается информационная безопасность как самих систем, так и персональных данных.
о наказании за распространение персональных данных: СТО БАЗОВЫХ ИЛИ ПЯТЬ ЛЕТ ТЮРЬМЫ
За такие правонарушения предусмотрена как уголовная, так и административная ответственность. Законодательно они обоснованы в статье 23.7 Кодекса об административных правонарушениях, статье 203-1 Уголовного кодекса (незаконные действия в отношении информации о частной жизни, персональных данных) и статье 203-2 УК (несоблюдение мер обеспечения защиты персональных данных). При нарушении статьи 203-2, то есть несоблюдении мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий, можно лишиться свободы на срок до одного года. Согласно статье 23.7 КоАП, за нарушение законодательства о защите персональных данных выписываются штрафы на 50,100 базовых величин.
Правовой оценке подлежит каждый отдельный случай и индивидуально решается, соответствует преступление административному наказанию или все-таки уже тут необходимо принимать более серьезные меры в виде уголовного наказания в отношении конкретного лица. Если правонарушение совершается умышленно, то может быть штраф или лишение свободы на срок до 2 лет. Если действия, предусмотренные частями 1 и 2 статьи 203-1 (умышленные незаконные сбор, предоставление и распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина), осуществлены в рамках служебной деятельности и выполнением общественного долга, то тут наказание - лишение свободы сроком до 5 лет или лишением свободы на тот же срок со штрафом.

Есть также дисциплинарная ответственность для должностных лиц, которые работают с персональными данными. Декрет Президента №5 "Об усилении требований к руководящим кадрам и работникам организаций" дополнен новым основанием о расторжении трудового договора, если работник нарушил порядок сбора, систематизации, хранения, изменения и использования персональных данных. С ним может быть расторгнут трудовой договор.

  • Андрей Гаев
    Случаи привлечения к ответственности по статье 23.7 КоАП есть. В целом у человека есть возможность требовать компенсацию морального вреда. Законом о защите персональных данных и гражданским законодательством это также предусмотрено. Ответственность установлена как для тех, кто обрабатывает персональные данные, так и для конкретных работников либо физических лиц, которые это законодательство нарушают. За каждым случаем стоит судьба человека и индивидуальные обращения требуют всегда большого внимания, потому что распространение персональных данных влечет за собой большие последствия.
В ЕС ШТРАФЫ ДОСТИГАЮТ 20 МЛН ЕВРО ЗА НАРУШЕНИЕ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ
КИРИЛЛ ЛАПТЕВ
Пока многие белорусские компании добровольно выполняют требования закона, не исходя из тех санкций, которые применяются. В этом плане нельзя сказать, что наши меры ответственности жестче или превышают во много раз те требования, которые установлены в других странах. Понятно, что уголовная ответственность сразу смущает, потому что непонятно, каким образом она применяется к сфере обработки персональных данных. В то же время в других странах это предусматривается. В том же Китае санкции вплоть до лишения свободы в несколько раз превышают те, которые предусмотрены нашим законом.
Если смотреть на определенное мерило в части подобного регулирования (общий регламент защиты данных в Европейском союзе), то он предусматривает финансовую ответственность и штрафы, но не исключает возможность на уровне национального законодательства в странах Европы дополнительно вводить уголовную ответственность. Некоторые страны, в том числе наши соседние, ввели уголовную ответственность в сфере персональных данных раньше нас. Если говорить про финансовую составляющую, то иногда возникает вопрос: а не мал ли размер административной ответственности, если репутационный урон гораздо больше. Для сравнения, если мы посмотрим на ЕС, то у них суммы штрафов в фиксированной величине достигают 20 млн евро, что составляет более 1,5 млн базовых величин. Не думаю, что у нас есть хоть один состав, который предусматривал бы такую ответственность.
Что касается оборотного штрафа, то нынешняя система наказаний за распространение персональных данных в Беларуси "еще цветочки". Один из трендов, к которому сейчас подходят некоторые страны, - это процент от оборота, в том числе в рамках всей группы компаний, не только в стране владельца. Такие суммы достигают сотен миллионов долларов для крупных компаний, в том числе которыми пользуются граждане Республики Беларусь и оставляют там персональные данные. Некоторые страны, которые вводили административную ответственность в фиксированных суммах или зафиксированных лимитах, сейчас рассматривают изменения и введение оборотных штрафов. Это тоже фактор, который может во многом стимулировать компании.
Кирилл Лаптев
О защите личной информации в разных странах
В подходах все же есть общие тенденции. В частности, это вопрос определения целей обработки персональных данных. Это единый подход, который принят в большинстве стран. Сложно назвать страну, которая не применила бы этот подход. Он совпадает с нашим законодательством, что позволяет нам легче работать, когда есть стык или условно трансграничная передача персональных данных.
Второй аспект - риск-ориентированный подход. Это принято во всем мире, но странно для нас, так как мы привыкли к тому, что у нас все предопределено регулированием и мы можем условно по списочному принципу пройтись и проверить выполнение всех требований. Здесь же действительно это невозможно сделать. Но это было определено еще на международном уровне, потому что нет универсальных процессов обработки персональных данных.
Белорусы контактируют с другими странами по вопросам законодательства о персональных данных
в каждой организации должен быть ответственный за работу с персональными данными сотрудник
Андрей Гаев
Закон "О защите персональных данных" действует с ноября 2021 года. Уже к этому моменту юридические лица должны были привести свою деятельность в соответствие с нормами этого закона. Центр был создан в один день с вступлением в силу закона, поэтому мы понимали, что надо время для адаптации к новому законодательству. На центр законом тоже был возложен ряд полномочий, в том числе по принятию некоторых документов, необходимых для работы операторов.
Тем не менее, приступив к плановым проверкам уже в прошлом году, оказалось, что во всех случаях были выявлены нарушения. В пятой части этих нарушений приходилось направлять материалы в органы внутренних дел для решения вопроса о привлечении виновных к административной ответственности. Крупные компании, ритейл, банки и другие организации должным образом стараются наладить эту деятельность. Многое уже сделано, но этим вопросом надо заниматься ежедневно.
Поэтому одна из важнейших мер, которая установлена законом, - это наличие ответственного работника за обучение каждого в организации. Мы проводили большой опрос среди операторов и граждан, чтобы понимать отношение к своим персональным данным и организацию работы с ними. Из результатов этого исследования видно, что многое уже сделано, но еще большой путь впереди.
Самые громкие сливы персональной информации и как избежать инцидентов
Зачастую такие инциденты происходят в сфере торговли. Это связано с торговыми сетями "Соседи", "Остров чистоты и вкуса". В банковской сфере был случай взлома и незаконного распространения информации "Белгазпромбанка". Фиксируем также ситуации, когда нарушение законодательства о персональных данных происходит не на территории Республики Беларусь, а за ее пределами. Примером может быть случай со службой курьерской доставки СДЭК, которая физически и юридически зарегистрирована на территории Российской Федерации, но содержала около 700 тыс. сведений о покупках белорусов. Современные вызовы требуют внимания к этим вопросам. У нас есть специалисты, которые занимаются мониторингом того, что происходит в интернете. Мы стараемся принимать все возможные меры, чтобы удалить данные.
Но, прежде всего, требуем от операторов незамедлительно уведомить каждого человека, который затронут этим инцидентом, чтобы люди могли оперативно среагировать и поменять свои логины, пароли и иную информацию. Но, конечно, это уже следствие свершившегося. Поэтому каждое юридическое лицо обязано реализовать положения закона для исключения таких случаев.

Несмотря на это, законодательно и организационно вся персональная информация граждан защищена, вся методология для работы надлежащим образом в стране создана. Национальный центр защиты персональных данных сделал всю базу для этого: созданы алгоритмы действий, необходимая форма документов, объединенная в так называемый портфель оператора. Многие вещи там пригодны к использованию практически без адаптации для конкретного юрлица с небольшими корректировками применительно к своей деятельности. Со стороны государства вся инфраструктура создана: законодательство, специально уполномоченный орган, права влияния на обработку своих данных самим гражданином. Во многом успех в этом деле зависит от каждого из нас, от осознанного поведения в сети.
Обучение в центре защиты персональных данных за прошлый год прошли 16 тыс. человек
типичные ошибки белорусов при обращении с персональной информацией
пренебрежение своими персональными данными может стать причиной звонка от телефонного мошенника
Дмитрий Корзун
Зачастую абонент забывает кому предоставлял персональные данные. Посещая какой-то магазин часто вижу, что покупателю предлагают карту лояльности. Он, конечно, заполняет все поля заявления, но через какое-то время просто этот вопрос упускает. Человеку кажется, что он не предоставлял персональные данные. Конечно, может случится и так, что эти персональные данные оператор получил незаконным путем.
Если человек оставлял свои данные в группах соцсетей или мессенджерах, то вполне ожидаемо раздастся звонок "сотрудника" банка, МВД или кого угодно. В гипермаркетах не стоит предоставлять свои данные в полном объеме, потому что иногда в анкетах чуть ли не свидетельство о браке надо предоставить. Вот какое дело магазину до места жительства или регистрации?
Надо понимать, что есть ответственность государства за определенные вопросы, но и граждане не должны забывать, что есть огромный блок их обязанностей и ответственности за распространение своих же персональных данных. Все будет хорошо, только когда все эти обязанности будут выполняться в соответствии с законодательством с двух сторон. Тогда все риски будут сведены к минимуму.
об обращениях граждан из-за SMS-рассылки операторов сотовой связи
В Беларуси есть определенные правила оказания услуг электросвязи. Они предусматривают две основные обязанности - не присылать абонентам сообщения от источника, который не идентифицирован, и прекращать передачу сообщений бесплатно по заявлению абонента.
У нас очень много обращений к операторам по поводу получения SMS от абонентов, которые не подписывались на рассылку рекламной информации. Один из операторов поделился статистикой: в месяц таких обращений до 200. Минсвязи как второй уровень по рассмотрению обращений граждан констатирует достойную работу операторов, потому что за последний год к нам таких обращений не поступало.

Ежегодно количество SMS-рассылки от компаний снижается примерно на 15%. С развитием беспроводного широкополосного доступа в интернет, который сейчас доступен практически на всей территории Беларуси, информационные сообщения понемногу перетекают в сторону мессенджеров.
Как прекратить рекламную SMS-рассылку на телефон
Максим Гречаников
Как компании могут обманом собирать личные данные
Я ощутил это на себе, когда начал общаться и проводить обучение с представителями розничных магазинов. Да, к ним люди обращаются много, к нам в организацию приходит порядка 10 обращений в неделю по персональным данным. Моя работа в том числе сводится к тому, чтобы максимально реализовать права субъекта персональных данных. Человек обращается, значит моя обязанность реализовать его права, если у нас отсутствуют какие-то иные правовые основания для обработки его персональных данных.
Обращений на местах много, но иногда граждане ошибочно думают, что единственным правовым основанием обработки персональных данных является согласие. Многое предусматривает закон и зачастую при взаимодействии между ритейлом и субъектом персональных данных это договорные отношения, но не всегда.
Есть незаконные случаи, когда компании могут пользоваться невнимательностью граждан. Иногда кто-то грешит тем, что в договор вносит согласие на рекламу, но это уже вообще не согласие по сути, когда типичная формулировка - "подписывая настоящий договор вы даете согласие на направление вам рекламно-информационной рассылки". Это не законное основание для обработки, а юридически недействительное согласие.
для защиты персональных данных нужно осознанное поведение каждого человека
Андрей Гаев
У центра нет цели контролировать компании, которые работают с персональными данными. Предупредительный характер деятельности со стороны государства и создает условия в виде законодательства, специально уполномоченного органа, обязанностей операторов, которые должны руководствоваться правовыми нормами. Наш национальный закон о защите персональных данных каждому человеку предоставляет широкий объем полномочий по влиянию на обработку своих персональных данных.
Человек наделен правом и получать информацию об обработке своих данных конкретным юридическим лицом, и раз в год запрашивать сведения о том, кому персональные данные предоставлялись, и отзывать согласие на обработку своих данных, а также требовать изменения своих персональных данных, если они неактуальны, прекращать их обработку при отсутствии правовых оснований.
По существу, государство создало все условия, чтобы человек был общественным контролером за соблюдением правовых норм операторами. Сама правовая норма не исключает наступление неблагоприятных случаев. Есть лица, которые, зная нормы закона, умышленно идут на его нарушение. Поэтому у нас установлена достаточно жесткая ответственность за несоблюдение норм законодательства.
Как бизнес приводит свои процессы в соответствие с законом о персональных данных
Максим Гречаников
Если объем информации не определен законодательно, то мы минимизируем ее количество для предоставления
Закон "О защите персональных данных" вступил в силу 15 ноября 2021 года. Отправной точкой в подготовке бизнеса к реализации норм закона стало 7 мая 2021 года, когда документ только был принят. Наша компания очень крупная и имеет большое количество бизнес-процессов, затрагивающих обработку персональных данных. Учитывая, что компания динамично развивается, постоянно возникают новые бизнес-процессы, а неактуальные прекращают свое действие, руководством было принято решение о создании отдельного структурного подразделения, которое занимается внутренним контролем за обработкой персональных данных. В скором времени у нас будет происходить небольшая реорганизация - будет создана отдельная служба, отвечающая за информационную безопасность. То есть у нас будет юридический блок, внутренний контроль за обработкой персональных данных, который выполняет мое подразделение, и будет создано отдельное структурное подразделение, куда войдет порядка трех человек.
Работа компанией в этом направлении ведется постоянно. Думаю, что мы уверенно движемся к соблюдению законодательства. У нас было создано отдельное структурное подразделение, мы провели аудит бизнес-процессов, которые затрагивают обработку персональных данных. Иногда пул персональных данных, которые мы просим у клиентов, определяется типовой формой документов, той же книгой замечаний и предложений, расходно-кассовыми ордерами. Если объем информации не определен законодательно, то мы минимизируем ее количество для предоставления. В Европе это называется экочистота персональных данных. Мы запрашиваем минимальный объем необходимых персональных данных для достижения каждой конкретной цели.
После 2021 года объем персональных данных существенно уменьшился. Для некоторых бизнес-процессов вообще исключена обработка персональных данных, то есть они скорректированы так, что мы не запрашиваем их у клиентов. У крупных организаций и операторов по обработке персональных данных должны быть созданы отдельные структурные подразделения. Нельзя эту работу взять и выполнить до конца, потому что она повседневная. Возникают новые бизнес-процессы, новые требования бизнеса и нам необходимо адаптировать процессы и приводить их в соответствие с законодательством.
Кирилл Лаптев
С какими вопросами в области обращения с персональными данными компании приходят к юристам
Юридические лица обращаются с точки зрения выполнения требований законодательства и приходится зачастую тратить достаточно много времени, чтобы объяснить, что у нас нет необходимого минимума требований, что это индивидуально и в каждом конкретном случае требует введения, иначе это не есть соблюдение законодательства.

Компании, которые присутствуют не только в Беларуси, а и на международном рынке, зачастую сталкивались с ситуациями выполнения требований законодательства других стран. Им ничего не надо объяснять. Они сразу же понимают, что это важно и серьезно может повлиять на оценку бизнеса с точки зрения инвесторов.
Проект создан за счет средств целевого сбора на производство национального контента
© 2023 БЕЛТА
Ссылка на источник обязательна.