В том, что тема защиты персональных данных сейчас максимально актуальна, нет ничего удивительного, говорит Андрей Гаев: все процессы нашей жизни все больше переходят в виртуальную среду, личная информация «расходится» во многих направлениях и может использоваться «против нас». Сегодня обработка персональных данных достигла беспрецедентных масштабов — и они могут использоваться в различных целях: начиная от рекламной рассылки и заканчивая манипулированием поведением человека.
— Все страны мира сейчас стремятся разумно регулировать процессы, связанные с оборотом информации и личных данных. Это не о том, чтобы «запретить обработку и остановить жизнь», — это о балансе между интересами организаций, которым нужны персональные данные потребителей товаров и услуг, и собственно интересами людей, которым принадлежат эти сведения.
Закон о защите персональных данных, уверен Андрей Гаев, учитывает баланс интересов: с одной стороны, закрепляет для операторов понятные и прозрачные правила, с другой — обеспечивает практическую реализацию права на защиту персональных данных обычных людей. И исполнение всех мер, предусмотренных законом, позволит повысить уровень защищенности обрабатываемых персональных данных и предупредить наступление неблагоприятных последствий для всех сторон.
Проверки: какие они бывают
— Центр проводит проверки операторов и уполномоченных лиц планово и внепланово, — поясняет Андрей Гаев. — Информация о плановых проверках доступна, любая компания может посмотреть на нашем сайте, есть ли она в плане на нынешний год. В 2023 году плановые проверки ждут 13 организаций.
Внеплановые же проверки, как правило, назначаются по обращениям и жалобам граждан. Они могут быть вызваны, например, незаконным распространением в интернете похищенных баз данных операторов или же невыполнением рекомендаций Центра об устранении уже выявленных нарушений законодательства. В 2022 году Центр провел 7 внеплановых проверок.
Как бизнесу подготовиться к проверке?
Закон «О защите персональных данных» предусматривает рискориентированный подход: каждый оператор, исходя из своих бизнес-процессов, самостоятельно определяет перечень необходимых и достаточных мер для обеспечения защиты персональных данных.
Но также прописан ряд обязательных мер, которые должна реализовать любая организация. Большинство их, говорят в Центре, относятся к правовым и организационным и не требуют от операторов значительных финансовых затрат.
— Во время проверки серьезно изучается, в частности, вопрос назначения оператором ответственного лица (или структурного подразделения), которое осуществляет внутренний контроль за обработкой персональных данных, — рассказывает Андрей Гаев.
Вопрос от бизнеса
Как правильно назначить ответственного за персональные данные в компании?
Требования к такому работнику определены в Едином квалификационном справочнике должностей служащих.
Основное — наличие высшего образования. Также ответственное лицо должно знать законодательство о персональных данных, понимать, как его применять, и быть способным выполнять эти функции.
Есть несколько вариантов:
— создать отдельное структурное подразделение (для крупных операторов, осуществляющих масштабную обработку персональных данных),
— назначить освобожденного работника,
— возложить дополнительные функции на одного работника или нескольких (например, один отвечает за организационные и правовые меры, второй — за техническую и криптографическую защиту персональных данных).
Не нужно назначать ответственного в каждом структурном подразделении: это приводит к сложностям при их взаимодействии, конкуренции, а также возможности появления различных подходов в этих подразделениях.
Важно исключить конфликт интересов: не стоит назначать ответственным человека, который сам осуществляет обработку персональных данных (например, специалист по кадрам, бухгалтер). Ответственным должен быть независимый от этих процессов сотрудник.
Нельзя нанимать ответственного за контроль по гражданско-правовому договору — такие функции может выполнять только штатный сотрудник компании.
Также сотрудники Центра проанализируют изданные оператором документы, определяющие политику в отношении обработки персональных данных, другие локальные правовые акты в этой сфере, изучат эффективность и достаточность принятых оператором мер.
— Например, оценивается работа по изменениям в должностные обязанности тех работников, которые непосредственно осуществляют обработку персональных данных. С ними обязательно пообщается специалист — чтобы убедиться, что они на должном уровне знают и понимают законодательство о персональных данных.
Центр проверит и информационные системы (ресурсы) компании: правомерно ли в них обрабатываются персональные данные, а также как реализованы меры по их технической и криптографической защите.
Справка Office Life
Ответственность за нарушение законодательства о защите персональных данных может быть дисциплинарная (увольнение работника, допустившего утечку), административная (штраф для виновного до 200 базовых величин) и уголовная (от штрафа до лишения свободы на срок до года). Есть возможность компенсации пострадавшему морального вреда.
КоАП предусматривает также ответственность именно организаций за несоблюдение мер обеспечения защиты персональных данных физических лиц (ч. 4 ст. 23.7) — штраф 20-50 базовых величин.
По словам Андрея Гаева, государство со своей стороны помогает всем, чем может: в Центре проводится обучение ответственных за защиту персональных данных, на сайте можно найти «портфель оператора» и все необходимые формы и образцы документов, которые разработаны практически под любой бизнес, — их просто нужно адаптировать под конкретную компанию. Также по четвергам работает горячая линия со специалистами. На Правовом форуме Беларуси планируется ветка по защите персональных данных — можно будет консультироваться и там.
— Так что, когда вы готовитесь к проверке по персональным данным, начните с изучения информации на сайте и в телеграм-канале Центра: там все есть — как образцы политики, согласий, нужные формы, так и ответы на часто возникающие вопросы, — советует руководитель Центра.
Далее проверьте, выполнены ли компанией обязательные меры — вот здесь есть пошаговый алгоритм.
С какими нарушениями чаще всего приходится сталкиваться?
1. Избыточный сбор персональных данных
Несмотря на то что каждый оператор может самостоятельно определять перечень персональных данных, которые он собирает, этот перечень не должен быть избыточным для достижения конкретной цели бизнеса, обращают внимание специалисты Центра.
Условно, для того чтобы дать покупателю 3% скидки, ретейл не должен спрашивать личный номер гражданина или даты рождения его детей — это несоразмерно целям.
Или, например, наниматель старается перестраховаться — и при приеме на работу берет у соискателя ненужные согласия.
— Главный принцип согласия на обработку персональных данных — свободный и осознанный выбор человека, — уточняет руководитель Центра. — А в отношениях между работником и нанимателем ни о какой добровольности предоставления согласия речи не идет: работник изначально находится в подчиненном положении по отношению к нанимателю, которому законом дано право собирать те данные, которые необходимы для оформления.
2. Сотрудников плохо научили работать с персональными данными
В современных компаниях с персональными данными имеют дело практически все работники, кроме, возможно, уборщика помещений. Кадровики, продавцы, маркетологи, юристы, экономисты, специалисты отдела закупок — через всех проходят персональные данные других людей.
— Практически повсеместно мы сталкиваемся с ситуацией, когда работники не ознакомлены — или ознакомлены формально — с требованиями законодательства о персональных данных, документами, определяющими политику оператора в отношении их, а также не обучены работе с персональной информацией, — рассказывает Андрей Гаев.
По его словам, даже если компания, условно, создала хорошую обучающую презентацию, положила ее в свою базу знаний (на любой внутренний образовательный ресурс) или же показала и рассказала на собрании в актовом зале, а сотрудники расписались за ознакомление, это обучение не всегда можно считать достаточным.
— Обязательно должна быть разработана форма контроля полученных знаний, например тестовая. Наниматель должен быть уверен, что его работники знают правила работы с персональными данными и осознают ответственность за нарушение законодательства в этой сфере. Этот вопрос серьезно изучается во время проверок. Некоторые категории ключевых в данной сфере работников обязаны проходить обучение в Центре, но большинство из работающих в стране более 430 тыс. белорусских организаций должны с этим определиться самостоятельно: как и где обучать сотрудников защите персональных данных. На сайте Центра можно пройти тест, он поможет понять, какую форму контроля полученных работниками знаний стоит выбрать и вам. В любом случае обучение должно проводиться не реже чем раз в пять лет.
3. Утечки данных
Отдельным проблемным блоком нарушений в Центре называют утечки персональных данных, в результате которых незаконно распространяются сведения о гражданах. И происходят они чаще всего по вине самих операторов.
— Анализ причин таких утечек показывает, что операторами не реализованы обязательные меры по обеспечению защиты персональных данных либо они реализованы формально, — поясняет Андрей Гаев. — Причинами становятся, в частности, пренебрежение внутренними регламентами при работе с конфиденциальной информацией (например, нарушение порядка доступа к персональным данным), технический сбой в информационной системе, в том числе в результате внешнего воздействия (взлома), утрата внешних носителей или документов, содержащих персональные данные (флешки, внешние диски и др.).
Иногда причиной таких утечек бывают виновные действия работников оператора — например, передача логинов и паролей третьим лицам.
Вопросы от бизнеса
Будет ли наказание в ситуации, когда приняты все необходимые меры по защите информации, но утечка персональных данных все равно произошла — например, по вине недобросовестных сотрудников или третьих лиц (хакеров)?
— На этот вопрос невозможно ответить однозначно: нужно проанализировать и оценить все обстоятельства. Если такое происходит, Центр чаще всего назначает внеплановую проверку и по ее результатам принимаются решения.
Сам Центр не ведет административный и уголовный процессы. Если в обстоятельствах утечки есть признаки правонарушения или преступления, материалы для правовой оценки передаются в правоохранительные органы.
В Центре рассказывают, что нередко утечки происходят на территории других стран: когда белорусские организации привлекают для хранения данных ненадежных зарубежных партнеров, руководствуясь исключительно ценой услуги — без учета способности организации обеспечить реальную защиту персональных данных.
Персональные данные согласно требованиям законодательства белорусская компания должна хранить на серверах внутри Беларуси. Как это реализовать при использовании облачных сервисов? Данные должны храниться строго в аттестованном контуре или есть варианты?
— Закон не требует локализации персональных данных на территории Беларуси, но устанавливает ограничения на трансграничную передачу персональных данных в зависимости от государства, на территорию которого она планируется.
Но при этом другие законодательные акты Беларуси (Закон об информации, информатизации и защите информации, Указ Президента Республики Беларусь от 01.02.2010 № 60) требуют, чтобы «деятельность по реализации товаров, выполнению работ, оказанию услуг на территории Республики Беларусь... осуществлялась с использованием информационных сетей, систем и ресурсов национального сегмента сети Интернет, размещенных на территории Республики Беларусь и зарегистрированных в установленном порядке».
Если это информация ограниченного распространения (а к ней относятся и персональные данные), то она «должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Оперативно-аналитическим центром при Президенте».
Использование облачных серверов в понимании Закона о защите персональных данных является поручением оператора обработки персональных данных уполномоченному лицу. При этом ответственность перед субъектами персональных данных в случае нарушения их прав при обработке персональных данных в любом случае будет нести оператор.
Поэтому в Центре советуют тщательно подходить к выбору уполномоченных лиц и привлекать к обработке персональных данных только тех из них, у которых аттестованы системы защиты информации.
Фото: Freepik