Андрей Гаев
С 15.11.2021 действует Закон от 07.05.2021 N 99-З «О защите персональных данных». В этот же день в стране создан Национальный центр защиты персональных данных (далее — Центр), сумевший за сравнительно короткое время наладить активное сотрудничество с госорганами, организациями и предприятиями различных форм собственности. В частности, Центр является автором и рецензентом многих материалов, размещаемых в сервисах ООО «ЮрСпектр». О достижениях и планах Центра мы поговорили с его директором Андреем Анатольевичем Гаевым.
Прошло чуть больше года со дня создания Центра. Как он развивался, чего успели добиться за это время?
Центр был создан для того, чтобы развивать в стране национальную систему защиты персональных данных, обеспечивать в условиях информационного общества безопасные сбор, хранение, распространение, иную обработку данных граждан, соблюдая баланс интересов между теми, кому персональные данные нужны в деятельности, и теми, кому они принадлежат.
За прошедший год сделано немало.
На первом этапе работы мы сделали упор на методологическое обеспечение деятельности организаций, которые обрабатывают персональные данные, а также на оказание практической помощи обладателям персональных данных — гражданам, нам с вами. Закон новый и критически важно было единообразное понимание и применение положений Закона различными организациями как государственного, так и частного секторов.
Так, в первые месяцы работы мы создавали пошаговые алгоритмы действий, формы документов, рекомендации, сформировав «Портфель оператора». Цель — помочь операторам и уполномоченным лицам успешно выполнить обязанности, которые возложены на них законодательством. И сегодня можно с уверенностью сказать, что методология и совокупность стартовой информации, чтобы организации могли успешно исполнять требования законодательства, есть.
Центр аккумулирует вопросы обработки персональных данных применительно к различным сферам, направлениям деятельности. И когда видим признаки системности проблематики по какому-то направлению, то готовим соответствующие рекомендации. Например, с первых дней создания Центра очень много вопросов поступало об обработке персональных данных в сфере трудовых отношений. Поэтому были подготовлены рекомендации об обработке персональных данных в связи с трудовой деятельностью. Также аналогичный подход реализован применительно к таким сферам, как образовательная, банковская, страховая, электросвязи, торговли и некоторым иным, где обрабатываются значительные массивы социально-значимой информации.
Отмечу, что все выработанные нами решения открыты и мы оперативно размещаем их в свободном доступе. В частности, на нашем сайте, в телеграм-канале. Так, буквально позавчера обнародованы рекомендации по весьма чувствительному вопросу о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.
Одновременно развивалась и наполнялась содержанием такая наша функция, как контроль за обработкой персональных данных. Контрольные мероприятия проводятся в трех формах: плановых, внеплановых и камеральных (без выезда на место) проверок.
В этом году плановых проверок немного — всего шесть, т.к., повторюсь, организациям нужно было дать время и возможность адаптироваться к изменениям. Но внеплановых камеральных проверок проведено уже несколько десятков. Многие из них затронули крупнейших белорусских операторов в различных отраслях экономики и по их результатам практически во всех случаях фиксировались различные нарушения. Важно отметить, что фиксацией нарушения и выдачей предписания наша миссия не заканчивается. По каждому оператору создается план устранения нарушений и Центр осуществляет сопровождение исполнения такого плана до полного исправления всех недостатков.
Обращаются ли к вам физические лица с жалобами на нарушения их прав и если да, то что это за случаи?
Да, обращаются. И по мере повышения осведомленности людей о нашем Центре, его функциях таких жалоб становится все больше. Интересно, что вопреки расхожим утверждениям о том, что сфера обработки данных — прерогатива молодых, немало обращений и жалоб поступает от людей преклонного возраста.
Вот один из последних примеров. Женщина, которой уже более 70 лет, обратилась к нам на прием с жалобой на действия одной из розничных сетей, собирающей для программы лояльности у людей сведения об их идентификационных номерах. При этом степени ее владения терминологией нашего Закона и погружения в проблематику могут позавидовать многие специалисты.
В целом чаще всего люди жалуются на организации сферы оказания услуг и торговли, в т.ч. ритейл, на организации электросвязи и жилищно-коммунального хозяйства, на банки. По характеру поднимаемых проблем жалобы чаще всего связаны с безосновательным, по мнению заявителей (что зачастую подтверждается в ходе проверки), истребованием их персональных данных, сбором избыточных персональных данных, которые для достижения той или иной цели вовсе не требуются. Так, широко распространена практика истребования от граждан при приеме на работу сведений о родственниках, привлечении к ответственности, когда их предоставление не предусмотрено законодательством. Во многих жалобах люди выражают недовольство нежеланием организаций удалять по требованию граждан их персональные данные. Кроме того, люди жалуются на несвободный, связанный характер собираемых у них согласий. Например, когда человек обращается за приобретением какого-то конкретного товара, а ему в договоре навязывают рекламную рассылку, не предоставляя возможность отказаться от этого.
Каким образом гражданин может обратиться в Центр, если его права нарушены? Как вообще человеку реагировать на подобные нарушения?
Когда гражданин узнал о нарушении его прав при обработке персональных данных, в первую очередь мы рекомендуем сразу решать вопрос с оператором. Это обусловлено тем, что в век информационных технологий «следы» затираются достаточно быстро, и чем раньше проблема начнет решаться, тем легче ее разрешить в принципе. При обращении к нам в Центр все равно вначале запрашивается информация у оператора, и, соответственно, время может быть упущено.
Если по каким-то причинам оператор обращение гражданина не удовлетворил или если человек не может найти лицо, допустившее нарушение его прав, т.е. к кому обращаться, то он имеет право направить жалобу в Центр. При этом важно соблюсти установленную законодательством форму — жалоба подается в письменной форме или в виде электронного документа.
С чем обращаются к вам организации? Что чаще всего их интересует?
Запросы организаций весьма разнообразны, начиная от банальных вопросов о том, являются ли Ф.И.О. и номер телефона персональными данными и заканчивая вопросами конкуренции различных национальных юрисдикций при трансграничной передаче персональных данных. Но если попытаться обобщить проблематику, то наиболее часто вопросы касаются:
необходимости получения согласия на обработку персональных данных в конкретной ситуации, например, нужно ли брать с работника согласие для размещения его фото на сайте;
отнесения тех или иных сведений к персональным данным. Это прежде всего различные онлайн-идентификаторы типа куки файлов, IP-адресов и др.;
назначения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных. К сожалению, многие операторы недооценивают важность и значимость наличия такого лица в организации. Наиболее часто допускаемая ошибка — возложение соответствующих функций на специалиста по информационной безопасности, который просто не владеет необходимыми для их выполнения компетенциями;
трансграничной передачи информации. Многие организации, стараясь оптимизировать свои расходы, активно пользуются услугами зарубежных организаций, зачастую не задумываясь о том, способна ли привлекаемая структура надежно защитить данные белорусов. В итоге это приводит к различным утечкам и необходимости нашего вмешательства;
взаимоотношений между оператором и уполномоченным лицом. Чаще всего организации стараются убедить нас в том, что они, мол, не операторы, а всего лишь уполномоченные лица, и все обязанности должен нести некий иной субъект.
Нередки случаи, когда вместо методологических вопросов мы получаем элементарное перекладывание бремени оценки всех ситуаций оператора на Центр. В этой связи хочется отметить, что вопросы, ответы на которые прямо следуют из Закона «О защите персональных данных» и принятых в его развитие актов, должны успешно решаться юридическими службами операторов и уполномоченных ими лиц.
Есть ли вопросы, на которые вы пока не можете ответить?
Скорее я бы говорил о том, что есть вопросы, которые требуют тщательной и взвешенной проработки, потому как их решение имеет серьезные последствия для всей страны.
Сейчас мы отрабатываем актуальные аспекты обработки персональных данных при осуществлении видеонаблюдения, видеосъемки и размещения информации в виде изображения человека в интернет-ресурсах. Данный вопрос сейчас изучается рабочей группой в рамках деятельности созданного при Центре консультативного совета. В ее состав входят представители разных органов и организаций, задействованных в организации сбора и обработки такой информации. Отдельные вопросы в этой сфере планируется урегулировать в подготавливаемом в настоящее время к рассмотрению во втором чтении проекте закона, предусматривающем внесение изменений в Гражданский кодекс.
Проблемными являются некоторые вопросы, которые не нашли отражения в Законе, например возможность уполномоченного лица привлекать субуполномоченных лиц для обработки персональных данных. Прорабатывается и вопрос об уточнении круга оснований для трансграничной передачи персональных данных.
Размещаются ли где-либо ответы на поступающие в Центр вопросы по теме применения законодательства о защите персональных данных?
Да. Если мы видим, что вопрос может затрагивать интересы и других лиц (либо организаций, либо граждан) или есть несколько вопросов по одному и тому же направлению, то мы, подготавливая ответ на такой вопрос, размещаем также его в нашем телеграм-канале () и на сайте Центра в рубрике «Ответы на часто задаваемые вопросы«.
Планируют ли ваши сотрудники писать статьи, материалы для СМИ, информационно-правовых сервисов по теме защиты персональных данных?
Сотрудники, а их в Центре совсем немного, плотно заняты методологической частью нашей работы и вопросами контроля. Кроме того, мы получили необходимые разрешительные документы от Министерства образования и сейчас Центр в рамках одной из главных задач — организации обучения — осуществляет повышение квалификации по темам, связанным с защитой персональных данных, а также технической и (или) криптографической защитой информации. Проводим также рабочие встречи и иные мероприятия по обсуждению насущных вопросов совершенствования системы защиты персональных данных, которыми за год охвачено около 15 тыс. человек.
Сотрудники задействованы во всех названных направлениях работы. Но по мере возможности они стараются готовить тематические статьи.
Пользуясь случаем, не могу не отметить проблему, с которой мы столкнулись при проведении проверок, а именно, использование операторами готовых решений, проектов документов, рекомендаций и советов, размещаемых различными справочными правовыми системами и ресурсами. Многие такие документы носят характер банального «калькования» российских материалов или просто подготовлены ненадлежащим образом. Кажущиеся простота их реализации и доступность создают иллюзию возможности благополучного исполнения Закона с минимальными затратами времени. К сожалению, потом в большинстве своем в ходе проверок фиксируются различные нарушения Закона, в том числе прямо вытекающие из использованных «готовых» пакетных решений. В этой связи я призываю ориентироваться на официальные позиции Центра, наши материалы на сайте, в телеграм-канале.
Отмечу, что сейчас Центр заканчивает подготовку практического постатейного комментария к Закону о защите персональных данных. Как только он будет готов, планируем разместить его в свободном доступе.
Мы понимаем, что нужно быть публичными и нужно больше информации давать людям, поэтому стараемся активно взаимодействовать со СМИ. В настоящий момент имеется более 400 публикаций разного рода.
Как известно, ни одно хорошее дело не может обойтись без трудностей. Что помогает вам в их преодолении?
Действительно, на Центр возложен ряд социально и государственно значимых задач. Энергия и силы чувствуются, когда достигнут полезный для конкретного человека, а также для общества и государства результат — решены возникшие проблемы и удалось защитить нарушенные при обработке персональных данных права человека, а что еще лучше и на что прежде всего нацелена работа Центра — когда удается предупредить неблагоприятные последствия в этой сфере.
Принеся пользу по конкретному вопросу, хочется сделать больше.
Какие ближайшие планы в работе Центра?
Неизбежно мы будем больше заниматься контролем. Как показывает практика, нарушения имеют место, поэтому проведение контрольных мероприятий необходимо.
Только за истекший год из интернета в результате работы Центра удалены около 1,5 млн записей с незаконно распространенными персональными данными жителей нашей страны.
По-прежнему Центр будет развивать методологию защиты персональных данных, помогать защищать права граждан в конкретных ситуациях. В планах у нас также развитие обучения — появятся новые программы повышения квалификации. Во взаимодействии с Белорусским государственным университетом информатики и радиоэлектроники решаются вопросы об организации в 2023 г. на базе его Института информационных технологий переподготовки (обучение 1,5 года) специалистов, которые отвечают у операторов за вопросы безопасности персональных данных.
Готовим также социальную рекламную кампанию. Она поможет гражданам лучше знать свои права в области защиты своей личной информации.
Институтом социологии Национальной академии наук Беларуси по заказу Центра в настоящее время проводится социологический опрос по актуальным вопросам защиты персональных данных. Уверен, результаты этого исследования также позволят определить направления и вопросы, над которыми предстоит поработать.
