Приуроченная к Международному дню защиты персональных данных конференция «Актуальные проблемы защиты персональных данных на современном этапе», организаторами которой выступили Национальный центр защиты персональных данных (далее Центр) и ООО «ЮрСпектр», прошла 25.01.2024. В материале приводится краткий обзор самых важных тем, которые обсуждали участники конференции.

Справочно
Международный день защиты персональных данных отмечается во всем мире 28 января начиная с 2007 г. Установлен в связи с годовщиной открытия для подписания Конвенции Совета Европы от 28.01.1981 «О защите лиц в связи с автоматизированной обработкой персональных данных».

1. Социальная инженерия — обратная сторона цифровизации

Цифровизация активно проникает во все сферы и в конечном счете затрагивает интересы конкретного человека. С одной стороны, это приводит к улучшению качества жизни граждан и повышению эффективности работы различных отраслей экономики. С другой стороны, беспрецедентные масштабы обработки персональных данных создают значительные риски нарушения приватности — права граждан на неприкосновенность их личных данных и частной жизни.

Персональные данные становятся нематериальным активом со значительной социально-экономической ценностью. Они позволяют прогнозировать поведение клиентов, расширять продажи, совершенствовать товары и услуги с учетом предпочтений потребителей. В качестве инструмента такого прогнозирования часто выступает создание цифровых профилей личности, основанных на изучении размещенной в социальных сетях информации о ней и ее семье, историй поисковых запросов в браузере и другой информации, составляющей так называемый цифровой след.

Информация, собранная для одних целей (возможно, самых благих), может использоваться и в других целях, например для шантажа, мошенничества, иных форм деструктивного воздействия на личность, в том числе для манипулирования с использованием ее персональных данных. Многие эксперты отмечают, что именно дезинформация, в том числе как результат использования искусственного интеллекта, занимает первое место среди глобальных рисков. Владение персональными данными позволяет сделать воздействие на человека точечным, более целенаправленным, а следовательно, эффективным. Можно с уверенностью утверждать, что таргетированной может быть не только реклама, но и социальная инженерия.

Справочно
Социальная инженерия в контексте информационной безопасности — это психологическое манипулирование людьми в целях совершения определенных действий или разглашения конфиденциальной информации.

2. Эффективная защита личной информации — первостепенная задача

Стремительное и повсеместное развитие технологий выводит задачу эффективной защиты личной информации в число первостепенных. На важность защиты персональных данных обращается внимание в таких важнейших стратегических документах, как Концепция правовой политики, Концепция национальной безопасности и Концепция информационной безопасности.

Право граждан на защиту персональных данных гарантировано Конституцией Республики Беларусь. Так, ч. 2 ст. 28 Основного Закона закреплено, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании.

Большое внимание теме безопасности в цифровой среде уделяется Главой государства. Так, в 2023 г. приняты указы:

— от 14.02.2023 N 40, предусматривающий создание Национального и отраслевых центров кибербезопасности;

— от 29.08.2023 N 269, направленный на предупреждение и выявление несанкционированных операций на платежном рынке Республики Беларусь и на противодействие им и предусматривающий действенные механизмы отслеживания и блокирования мошеннических транзакций.

Создание условий для защиты персональных данных, координация в этих целях деятельности госорганов, иных организаций и граждан — основные задачи, стоящие перед Центром.

Центр ведет активную работу с гражданами в целях их правового просвещения, решения волнующих их вопросов, а также с операторами, оказывая им необходимую методологическую помощь по реализации Закона от 07.05.2021 N 99-З «О защите персональных данных« (далее — Закон).

Сформирована значительная методологическая база:

— подготовлен постатейный комментарий к Закону с детальным анализом конкретных ситуаций и примерами, которые помогут операторам и уполномоченным лицам грамотно применять законодательство о персональных данных, а гражданам — лучше понимать Закон, знать свои права в этой сфере и эффективно пользоваться ими;

— разработан пошаговый алгоритм приведения деятельности операторов и уполномоченных лиц в соответствие требованиям законодательства о персональных данных;

— сформирован «Портфель оператора«, объединивший методологические материалы и формы локальных актов, рекомендуемых для использования операторами и уполномоченными лицами;

— подготовлены комплексные рекомендации и разъяснения по реализации Закона с учетом особенностей обработки персональных данных в отдельных сферах деятельности. Так, в 2023 г. особое внимание Центром уделено оказанию методологической помощи по приведению в соответствие законодательству о персональных данных деятельности организаций социально значимых сфер, включая сферы образования и здравоохранения.

Активная работа ведется Центром по правовому просвещению населения в сфере защиты персональных данных и цифровой безопасности, по формированию осознанного и бережного отношения граждан к своим персональным данным.

3. Жалобы и проверки: результаты работы Центра в 2023 г.

По сравнению с предыдущим годом количество обращений, поступивших в Центр в 2023 г., выросло почти наполовину, вдвое увеличилось и количество жалоб. Среди основных вопросов, затрагиваемых в обращениях и жалобах:

— излишняя обработка интернет-магазинами информации, испрашиваемой для продвижения товаров; направление рекламных сообщений без получения согласия;

— распространение организациями собственников различных списков участников тех или иных мероприятий, списков должников по оплате тех или иных услуг;

— осуществление видеонаблюдения, использование биометрических данных для входа в многоквартирные дома;

— получение излишней информации в сфере трудовых отношений, в частности с использованием систем видеонаблюдения.

В ходе выполнения контрольной функции Центра в 2023 г.:

— проведено свыше 200 плановых, внеплановых, камеральных проверок, иных контрольных мероприятий, по итогам которых направлены предписания, требования, рекомендации по устранению нарушений законодательства о персональных данных;

— удалено свыше 600 тыс. записей незаконно обрабатываемых персональных данных;

— направлено 18 материалов в ОВД для решения вопроса о привлечении виновных лиц к административной ответственности;

— вынесено 2 требования (предписания) о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе).

4. О перспективах совершенствования механизмов защиты персональных данных

В Концепции правовой политики в качестве одной из задач в сфере конституционного законодательства и законодательства о госуправлении предусмотрена своевременная актуализация законодательства и совершенствование практики обработки персональных данных.

Важным видится обеспечение развития законодательства о персональных данных на основе его гармонизации с отраслевым законодательством. Особое внимание при разработке проектов нормативных правовых актов следует уделять минимизации обрабатываемых персональных данных. Отдельные механизмы защиты персональных данных нуждаются в совершенствовании.

В текущем году запланирована корректировка законодательства об административных правонарушениях. Так, прорабатывается вопрос:

— о наделении Центра правом составлять протоколы за административные правонарушения по ст. 23.7, 24.11 КоАП;

— усилении санкций за несоблюдение операторами мер обеспечения защиты персональных данных.

Максимальный размер штрафа, налагаемого на юридическое лицо за данное нарушение, составляет 50 базовых величин, что в большинстве своем несопоставимо с расходами, которые оператор вынужден нести в связи с реализацией положений законодательства. По этой причине отдельные операторы уклоняются от принятия необходимых мер по обеспечению защиты персональных данных, рассчитывая отделаться незначительным штрафом.

Безусловно, усиление ответственности не панацея, а лишь один из инструментов организации более эффективной защиты персональных данных. В вопросах защиты персональных данных важно объединение усилий всех заинтересованных сторон: граждан, бизнеса, госорганов.

Справочно
Тенденция к увеличению штрафных санкций за неправомерные действия с персональными данными наблюдается во многих государствах. В частности, в декабре 2023 г. в Российской Федерации в очередной раз пересмотрены штрафы в сторону их увеличения за незаконную обработку персональных данных.

5. Взаимодействие Центра с бизнес-сообществом по вопросам совершенствования работы с персональными данными

Бизнес-союзы и объединения нанимателей должны быть активно вовлечены в решение вопросов, с которыми сталкиваются субъекты хозяйствования в деле защиты личной информации.

С учетом отсутствия у Центра территориальных структур взаимодействие с бизнес-союзами может дать значительный положительный эффект при формировании у операторов модели правильного обращения с персональными данными для снижения риска их неправомерной обработки и утечки.

Большой потенциал видится в разработке бизнес-союзами секторальных рекомендаций, учитывающих специфику деятельности операторов — субъектов хозяйствования, а также комплексных продуктов, представляющих собой пакеты организационных и технических решений по защите персональных данных, адаптированных применительно к условиям конкретных операторов.

6. Локализация чувствительных персональных данных

Государства стремятся установить контроль за личной информацией граждан, устанавливая требования по локализации отдельных категорий особо чувствительных для национальной безопасности, в том числе для экономического и информационного суверенитета, персональных данных. Этот вопрос актуален и для Республики Беларусь.

Так, подготовлен и проходит согласование проект Указа, которым предлагается закрепить требования о локализации отдельных категорий наиболее чувствительных персональных данных.

Реализация требования о локализации персональных данных в национальном законодательстве является последовательной и обусловлена необходимостью обеспечения надежной и всесторонней защиты персональных данных, что определено Концепцией информационной безопасности. В п. 29 проекта новой Концепции национальной безопасности закреплен тезис о том, что неправомерные действия в отношении персональных данных являются одной из основных угроз национальной безопасности страны.

7. Реестр операторов персональных данных не для целей наказания

С 01.01.2024 начал функционирование Реестр операторов персональных данных (далее — Реестр) (https://register.cpd.by/).

В соответствии с ч. 1 п. 2 приказа ОАЦ от 01.06.2022 N 94 оператор или уполномоченное лицо вносят сведения в Реестр не позднее 15.01.2024; в отношении информационного ресурса (системы), созданного после 01.01.2024, — в течение 10 рабочих дней после ввода в постоянную эксплуатацию.

Внесение информации в Реестр прежде всего означает открытость и добросовестность работы с персональными данными. Конечно, и государство должно знать, когда и кто обрабатывает большие массивы персональных данных.

На данный момент около 500 операторов всех сфер деятельности внесли в Реестр сведения о 758 информационных ресурсах (системах). Самый частый критерий для внесения информации в Реестр — обработка персональных данных более 100 тыс. субъектов. По такому критерию в Реестр внесено более 600 информационных ресурсов (систем).

Следующий критерий — обработка персональных данных более 10 тыс. физических лиц, не достигших 16 лет. Это более 100 информационных ресурсов (систем), которые такую информацию содержат.

Еще один критерий — обработка биометрических данных и (или) генетических персональных данных. Их обрабатывают около 90 ресурсов (систем).

Один оператор уже успел исключить сведения из Реестра в связи с ошибочным внесением информации.

Пока субъекты хозяйствования по-прежнему могут внести в Реестр информацию без применения к ним санкций.

Читайте этот материал в ilex >>*
* по ссылке Вы попадете в платный контент сервиса ilex