По словам Андрея Гаева, чаще всего после вступления закона в силу люди жалуются на организации сферы оказания услуг и торговли, в том числе ретейл, на организации электросвязи и ЖКХ, на банки. Например, их не устраивает, что торговая сеть собирает для программы лояльности сведения об идентификационных номерах. Также поступают жалобы на несвободный, связанный характер собираемых у них согласий: человек обращается за приобретением какого-то конкретного товара, а ему в договоре навязывают рекламную рассылку, не давая возможности отказаться от нее.
Еще граждане жалуются, что при приеме на работу от них требуют представить сведения о родственниках или, например, о привлечении к ответственности — а это не предусмотрено законодательством.
Люди недовольны и тем, что организации не хотят удалять по требованию их персональные данные.
Андрей Гаев советует: если человеку кажется, что при обработке персональных данных нарушаются его права, вначале стоит попробовать решить вопрос с оператором (организацией, с которой возник конфликт). Если стороны не достигли согласия, можно направить жалобу в центр защиты персональных данных (в письменной форме или в виде электронного документа).
А что не понятно компаниям?
Чаще всего, говорит Андрей Гаев, вопросы бизнеса касаются:
- необходимости получения согласия на обработку персональных данных в конкретной ситуации — например, нужно ли брать с работника согласие для размещения его фото на сайте;
- отнесения тех или иных сведений к персональным данным. Чаще всего это различные онлайн-идентификаторы — куки файлов, IP-адреса и т. д.;
- назначения ответственных за осуществление внутреннего контроля за обработкой персональных данных;
«К сожалению, многие недооценивают важность наличия такого лица в организации. Наиболее часто допускаемая ошибка — возложение соответствующих функций на специалиста по информационной безопасности, который просто не владеет необходимыми компетенциями», — пояснил Гаев.
- трансграничной передачи информации.
«Организации, стараясь оптимизировать расходы, пользуются услугами зарубежных организаций, не задумываясь о том, способна ли привлекаемая структура надежно защитить данные белорусов. В итоге это приводит к различным утечкам», — подчеркнул специалист.
Над какими вопросами защиты персональных данных еще нужно работать?
По словам директора Национального центра защиты персональных данных Андрея Гаева, сейчас специалисты отрабатывают вопросы обработки персональных данных при осуществлении видеонаблюдения, видеосъемки и размещения информации в виде изображения человека в интернет-ресурсах.
Неясна пока и возможность уполномоченного лица привлекать субуполномоченных лиц для обработки персональных данных.
Прорабатывается вопрос об уточнении круга оснований для трансграничной передачи персональных данных.
Нюансы обсуждают в рабочей группе, некоторые вопросы будут урегулированы изменениями в Гражданском кодексе.