Очень личное
Не зря в нашем топе законопроектов на 2019 год первую позицию занял будущий закон о персональных данных. Степень готовности текста, судя по всему, очень высока. Проект уже публиковали в интернете для общественного обсуждения. Оно закончилось. Возможно, общественность еще сможет повлиять на окончательный вариант. Ведь появилась ОРВ (что это такое, читать тут).
Но давайте сначала разберемся, почему многих должны волновать персональные данные и правила обращения с ними? Да просто потому, что обращаются с ними многие. Одно только наличие «црмки» контрагентов c указанием имен и мобильных номеров менеджеров — это как минимум сбор персональных данных.
Пока не можем сказать, каким конкретно будет новый закон, давайте сначала разберемся, а как сейчас.
Адвокат, эксперт по IT-праву Надежда Хаданович внесла немного ясности на конференции Privacy Day Конференция организована белорусской правозащитной организацией «Консультационный центр по актуальным международным практикам и их имплементации в праве «Хьюман Константа».2019 в минском стартап-хабе Imaguru.
На данный момент есть два закона (о регистре населения и об информации, информатизации и защите информации), два указа и один приказ ОАЦ. Оперативно-аналитический центр — специальная служба, которая занимается техническим контролем в области цифровых технологий. Является администратором национальной доменной зоны. Основана в 2008 году.
Персональными данными у нас сейчас считают любые данные, которые позволяют достоверно идентифицировать конкретное физическое лицо. Но к ним пока не относят косвенные данные, как в европейском GDPR. Например, это IP-номер, который во многих ситуациях и, конечно, в умелых руках позволяет установить личность.
Нет сейчас в нашем законодательстве и выделения из ПД спецкатегорий (чувствительные данные, общедоступные и т. д.). В любом случае все, что признается персональными данными, — это информация ограниченного доступа.
Нет и перечня случаев, когда однозначно можно перерабатывать личные данные. В нормативной базе говорится о письменном согласии на обработку данных, и это трактуется по-разному: одни говорят, что это может быть публичная оферта на сайте, где ставишь галочку. Другие считают, что человек обязательно должен подписать именно бумагу.
Дело усложняется и тем, что некоторые документы позволяют передавать ПД органам в рамках расследований. Не всегда эти данные названы в «нормативке» именно как персональные или личные данные. Это, к примеру, кредитные истории.
Есть и болезненная точка для IT — отсутствие правил трансграничной передачи ПД. Беларусь внешние игроки пока не признают благонадежной страной для получения личных данных извне. Это создает сложности в отношениях с партнерами из ЕС. Приходится подписывать дополнительные соглашения, совершать другие дополнительные телодвижения. Например, один из магазинов одежды, работающий в Беларуси по франшизе, долго не мог подключиться к базе своего франчайзи. Хотя там не предполагалась передача какой-то суперсекретной информации.
Есть в Беларуси норма о том, что передача из страны данных физлица делается по письменному согласию. Хотя в таком согласии не обязательно оговаривать подробности: куда, кому, на какой срок, с какой целью передается информация.
И получается, что, с одной стороны, мало конкретных норм, которые относятся к работе с ПД как таковыми. С другой, обработка данных — лицензируемый вид деятельности. Аттестация в ОАЦ сложная и дорогая. Далеко не всем под силу ее пройти. Этот момент актуален больше всего для тех, кто постоянно работает с ПД. Например, для визовых центров. То есть максимальный риск у тех, кто зарабатывает именно на передаче данных физлиц. А ведь это очень «вкусное» и обещающее направление.
Обезличенные ПД — часть Big Data, о которой изо всех «утюгов» вещают: «Это сырая нефть XXI века».
И многие обратили внимание, как ревностно стало относиться государство к Big Data и, в частности, к ПД. В белорусском случае применение неаттестованных средств защиты информации — это потенциальный повод для претензий со стороны проверяющих органов. Аттестации сейчас не подлежат только блокчейн-системы. Все остальное, по идее, должно получать добро от властей еще до ввода в эксплуатацию. Подключать систему обработки и хранения данных к интернету можно, только когда есть специальный паспорт.
Естественно, за нарушения предусмотрены финансовые санкции. Есть такая статья 22.13 КоАП — от 4 до 20 базовых. Сейчас это от 102 до 510 рублей. Другая статья — 22.7 (за нарушения правил защиты информации) — грозит компаниям штрафом до 7650 рублей.
Так что лучше уже штудировать проект закона, а не только изучать действующие документы. Ну и готовиться надо к тому, что после принятия нового документа будут и подзаконные акты. Принять закон теоретически могут в апреле-июне 2019 года. Гадать на счет подзаконных, а тем более их содержания лучше не будем.
В законе, если ничего не изменится, ПД будут нескольких категорий: биометрические, генетические, общедоступные (которые мы сами решили выставить на обозрение общественности) и специальные (к примеру, расовая принадлежность).
Существует термин «обработка персональных данных», как в законодательствах РФ и ЕС. Есть предоставление данных (ограниченному кругу лиц) и распространение (неограниченному), а также сбор.
Сбор (если ваша компания — не разведслужба государства) и обработка (кроме обезличивания), а также распространение ПД — только по согласию граждан (но уже будут указываться цели, сроки). Согласие может быть и письменным, и в виде электронного документа (нужна электронная цифровая подпись) или в иной электронной форме. Тогда спорный момент будет снят.
Операторы ПД будут обязаны принимать меры по обеспечению точности имеющихся данных, при необходимости — обновлять их.
Важный нюанс. Согласие на сбор, обработку и распространение данных компании брать не будут, если это нужно для заключения или исполнения договора, где одна из сторон — «владелец» своих личных данных.
Как и в GDPR, согласие можно будет отзывать.
Государство планирует, что будет некий орган по защите прав субъектов ПД. ОАЦ пока не выказывает желания быть этим органом. Кого выберут? Создадут ли что-то новое?.. Неизвестно. Ясно, что надо будет чутко следить за практикой этой структуры и ее рекомендациями.
А в своей компании многим придется или создать подразделение по защите ПД, или выделить специалиста. В общем, новый закон обещает много интересного и неизведанного.
Более-менее для нас пока изведан GDPR. Европейский документ задает тон всему миру. Если это не учитывать, то могут быть разные последствия: схлопотать штраф от еэсовских структур, потерять доверие клиентов или самих клиентов (из Евросоюза). Если говорить в позитивном ключе, то соблюдение GDPR может стать конкурентным преимуществом. Так считает корпоративный тренер и консультант в сфере информационной приватности, директор ООО «Дата прайваси офис» Сергей Воронкевич, который тоже выступил на Privacy Day.
Он предупредил о риске «убийства» бизнесов, построенных на продаже обезличенных данных. Уже доказано, что можно некоторые обезличенные наборы заново персонализировать. То есть восстановить имя и фамилию человека, которому эти данные принадлежат. Подобные случаи могут стоить компаниям огромных штрафов. В частности, на них уже «попал» госпиталь в Португалии. Для небольших организаций деньги могут быть существенными. Наверняка многим известен свежий случай с Google. Франция выкатила IT-гиганту штраф в размере 50 млн евро. Это для такой компании мелкий укус. Но грозило ей более 3 млрд.
И здесь не работает «хитрый» рецепт, когда вы просто копируете чужую политику приватности. Ее надо адаптировать под конкретный бизнес. Это может стоить денег, и, естественно, на рынке появились шарлатаны либо просто консультанты, переоценившие свои возможности и знания по GDPR. Потом за ними «разгребают» другие. Неплохо бы узнать, специализируется ли консультант именно на защите ПД. Если у него в профайле еще пять сфер, он вряд ли поможет. GDPR — не тот документ, чтобы им заниматься параллельно с несколькими направлениями.
Самый надежный способ защиты от шарлатанов — это, пожалуй, наличие официальных сертификатов по теме.
Сергей Воронкевич констатировал, что пока у многих, кто даже прошел через адаптацию к GDPR, царит бардак. Губит компании мода сохранять «атмосферу стартапа», когда фирма выросла в большой формат, и необходимо должное внутреннее регулирование.
Но, во-первых, не надо мечтать о том, что все быстро решит стандартный пакет документ. Во-вторых, нельзя формально все принять, а после ухода консультанта перестать читать внутренние документы и следить за их актуальностью.
К тому же проверяются всегда не просто сами документы, но еще и конкретные действия по обращению с данными. В любой момент надо быть способным показать соответствие регламенту. Никакие пакеты документов и приглашения консультантов тут не спасут.
Посмотрим, что будет дальше. Кино только начинается. Впереди множество бодрящих адреналиновых эпизодов.
