Обеспечить защиту прав граждан при обработке их персональных данных– такова задача нового закона Беларуси «О защите персональных данных», который вступил в силу 15 ноября 2021 года. Для обеспечения исполнения его в тот же день был создан Национальный центр защиты персональных данных, который возглавил Андрей Гаев. В интервью газете «Светлы шлях» Андрей Анатольевич раскрыл основные права, задачи и функции центра, пояснил некоторые нюансы закона.
Никнейм в статусе персональных данных человека. Что еще необходимо знать о новом законе?
– Какие задачи стоят перед Национальным центром защиты персональных данных?
– Центр будет решать две главные задачи. Первая связана непосредственно с реализацией закона «О защите персональных данных». Для этого полномочия достаточно обширны. Центр будет проводить контрольные мероприятия - как плановые, так и неплановые проверки, необходимые при инцидентах, требующих реагирования. Камеральные проверки будут заключаться в мониторинге сайтов и других доступных ресурсов на предмет выполнения закона о защите персональных данных. Вследствие чего будут даваться соответствующие рекомендации.
В функции центра входит и рассмотрение жалоб граждан. Если человек усматривает нарушение своих прав при обработке его персональных данных оператором, он имеет право подать жалобу в центр в письменной форме или в виде электронного документа. В таком случае при подтверждении изложенных в жалобе сведений будут приняты меры по защите нарушенных прав, вплоть до прекращения оператором обработки персональных данных и привлечения его к установленной законодательными актами ответственности.
На данном этапе приоритетным направлением является разъяснительная работа, направленная на предупреждение нарушений при обработке персональных данных. Для того, чтобы подготовиться к реализации закона, у каждого оператора, в том числе индивидуального предпринимателя, физического лица, было полгода для реализации требований закона. Однако, мы понимаем, что нужно определенное время на реализацию тех актов, которые принял центр.
Вторая его задача центра – организация обучения по вопросам защиты персональных данных. Будут организованы курсы повышения квалификации, семинары, вебинары, лектории и пр.
Кроме того, центру поручено заниматься повышением квалификации в сфере технической и криптографической защиты информации. Это важно для собственников, владельцев информационных ресурсов и систем, владельцев критически важных объектов информатизации, а также для тех организаций, которые выполняют лицензируемую деятельность в сфере технической криптографической защиты информации.
Справочная информация
Персональные данные - любая информация, относящаяся к:
1) идентифицированному физическому лицу;
2) физическому лицу, которое может быть идентифицировано (то есть прямо или косвенно определено через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности) (абз.9, 17 ст.1 Закона № 99-З).
Оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Обеспечить защиту прав граждан при обработке их персональных данных– такова задача нового Закона Республики Беларусь «О защите персональных данных», который вступил в силу 15 ноября 2021 года. Для обеспечения исполнения его в тот же день был создан Национальный центр защиты персональных данных, который возглавил Андрей Гаев. В интервью газете «Светлы шлях» Андрей Анатольевич раскрыл основные права, задачи и функции центра, пояснил некоторые нюансы закона. – Почему инициирован новый закон, ведь были правовые акты, защищающие персональные данные?
– С новым Законом появилось единое правовое поле, где консолидированы все нормы, которые регулируют оборот персональных данных. До этого базовый Закон Республики Беларусь «Об информации, информатизации и защите информации» понятие персональных данных во-многом сводил к фамилии, имени, отчеству.
Но сегодня вместе с развитием виртуальных отношений, интернет-технологий, искусственного интеллекта, появилось множество данных, которые непосредственно к физическому лицу не относятся, но позволяют его идентифицировать. Например, при посещении интернет-ресурса человек оставляет за собой цифровой след – информацию о себе, которая остаётся в сети после просмотра им веб-страниц. Она хранится в виде куков – небольших фрагментов данных, отправленных сервером на устройство, откуда был совершён вход в интернет. Куки помогают в аутентификации (установлении подлинности) пользователя, сохранении его настроек и персональных предпочтений. Система фильтров отслеживает, собирает и анализирует всю интернет-активность человека: какие места он посещает, чем интересуется, за что платит и т. д. На основании этого цифрового следа система отбирает важный для конкретного пользователя контент и отсеивает информационный шум. Вокруг человека создаётся эксклюзивная версия виртуального пространства. Не осознавая, человек сам отдает данные о себе. Цифровые следы часто используются в коммерческих целях через сервисы, приложения и таргетированную рекламу.
Поэтому потребовалось актуализировать действовавшие ранее нормативные предписания. Закон о защите персональных данных привел к современным реалиям нормативно-правовое регулирование отношений, связанных с обработкой персональных данных. Его реализацию призван обеспечить Национальный центр защиты персональных данных.
Кстати, такие законы и подобные органы действуют в абсолютном большинстве стран.
– Можно ли отнести никнейм к персональным данным?
– При регистрации на интернет-ресурсе пользователь создает свой никнейм, то есть обозначает свое имя или псевдоним в виртуальной реальности. Проходя процедуру аутентификации на сайте, человек оставляет информацию, согласно которой происходит авторизация и идентификация его личности. Поэтому никнейм относится к персональным данным, так как он отождествляет информацию с личностью конкретного человека.
– Исходя из нового Закона, что необходимо учитывать предприятиям и организациям, которые хранят данные своих сотрудников?
– Закон установил непривычный для нашего законодательства риск-ориентированный подход, согласно которому каждая организация, обрабатывающая персональные данные, оценив происходящие в этой организации процессы, самостоятельно вырабатывает и реализовывает комплекс мероприятий по обеспечению надлежащего исполнения требований Закона. Им закреплен только ряд мер, исполнение которые носит обязательный характер.
К ним относится назначение в организации конкретного работника или определение отдела, иного структурного подразделения, ответственного за осуществление внутреннего контроля за обработкой персональных данных, разработка политики организации в отношении обработки персональных данных и обеспечение беспрепятственного доступа к ней неограниченному кругу лиц. Необходимо установить порядок доступа работников к обрабатываемым персональным данным, обучить сотрудников, ознакомить их с законодательством о защите персональных данных. Требуется также принять меры по технической и криптографической защите данных.
Обеспечить защиту прав граждан при обработке их персональных данных – такова задача нового Закона Республики Беларусь «О защите персональных данных», который вступил в силу 15 ноября 2021 года. Для обеспечения исполнения его в тот же день был создан Национальный центр защиты персональных данных, который возглавил Андрей Гаев. В интервью газете «Светлы шлях» Андрей Анатольевич раскрыл основные права, задачи и функции центра, пояснил некоторые нюансы закона.
- В каких ситуациях согласие субъекта на обработку персональных данных не требуется?
- Согласие является одним из базовых оснований обработки персональных данных. Раньше оно предоставлялось только в письменной форме. Но сейчас, в век цифровых технологий, такой подход устарел. И теперь, в связи с принятием Закона, согласие может быть дано как в письменной, так и в электронной форме, например, с помощью CMC-сообщения с кодом, электронной почты, а также проставления отметки (галочки) на сайте.
Закон определил случаи, в которых при обработке данных получение согласия гражданина не требуется. Например, в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей, предусмотренных законодательными актами, а также при оформлении трудовых отношений или в процессе своей трудовой деятельности при предоставлении нанимателю сведений, которые предусмотрены законодательством. Но бывают ситуации, когда наниматель для каких-то своих целей интересуется дополнительными сведениями, получение которых законодательством не предусмотрено. Например, данными об адресах личной электронной почты или о близких родственниках. В таких случаях, во-первых, на предоставление таких данных необходимо соответственно согласие человека и его родственников, которым эти данные принадлежат. Конечно, при назначении на определенные должности законодательством предусмотрено указание сведений о родственниках, тогда получать согласие не требуется. И, во-вторых, надо помнить о том, что в силу требований закона обрабатываемые персональные данные не должны быть избыточными по отношению к цели их обработки, то есть если без этих данных можно обойтись, их истребование не допускается.
Согласие также не нужно при обращении к нотариусу, начислении платы за жилищно-коммунальные услуги, заключении договора (например, купли-продажи или дарения) для целей, связанных с исполнением этого договора. Однако если продавец предлагает помимо товара еще и свою рассылку рекламного характера, то на эту услугу продавец обязан получить согласие от гражданина отдельно от заключения договора, поскольку данная рассылка непосредственно не связана с договором и такое согласие будет несвободным, вынужденным.
Не требуется согласие при осуществлении журналистами своей законной профессиональной деятельности, направленной на защиту общественного интереса, а также, например, при реализации гражданином права на обращение к оператору. То есть когда человек обращается в организацию для решения какого-то вопроса, он указывает свои персональные данные. Организации, куда поступило обращение, получать согласие на их обработку не требуется.
Законом предоставлены гражданам широкие права влиять на обработку их персональных данных. По сути, они стали «общественными инспекторами» за соблюдением законодательства о защите персональных данных. Они вправе требовать прекращения обработки персональных данных и их удаления при отсутствии оснований для продолжения обработки, предусмотренных законодательными актами. Предоставлено также право получать от оператора информацию, касающуюся обработки своих персональных данных, и один раз в год – о предоставлении оператором его персональных данных иным лицам.
- Какая ответственность предусмотрена за нарушение закона?
- За нарушение законодательства о персональных данных установлена дисциплинарная, административная и уголовная ответственность. Так, умышленные незаконные сбор, обработка, хранение или предоставление конкретному лицу или группе лиц персональных данных гражданина либо нарушение его прав, связанных с обработкой персональных данных, влекут штраф до 50 БВ. Умышленное незаконное распространение (неопределенному кругу лиц, например, в интернете) персональных данных влечет наложение штрафа до 200 БВ. Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет штраф до 10 БВ, на ИП – до 25 БВ, а на юридическое лицо – до 50 БВ.
Уголовная ответственность наступает за умышленные незаконные сбор, предоставление, распространение информации о персональных данных другого лица без его согласия, которые повлекли причинение существенного вреда правам, свободам и интересам гражданина. За такие деяния, совершенные в его отношении или в отношении его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, предусмотрено до 5 лет лишения свободы.
Кроме того, обладатель персональных данных, чьи права были нарушены, может требовать возмещение морального вреда.
Закон призван защитить права каждого человека при обработке персональных данных. Государство создало условия для их надлежащей защиты. В свою очередь, Национальный центр защиты персональных данных сделает все возможное, чтобы исполнение законодательства происходило максимально четко и системно. Но успех в этом важном деле во многом зависит от слаженных, основанных на соблюдении законодательства действий операторов и граждан, то есть от каждого из нас, потому что в наших силах решать, кому и зачем предоставляются персональные данные.
Наталья АНТОНЕНКО.