Биометрия, взаимодействие с подрядчиками и автоматизированная обработка данных – наиболее актуальные темы для белорусских специалистов по защите персональных данных. Это показал круглый стол, организованный отделением специалистов по защите персональных данных ОО «Белорусский республиканский союз юристов» в Минске 12 июня.
Биометрические методы идентификации
Поставщики технических решений все активнее предлагают бизнесу внедрение биометрии – для защиты клиентских профилей, контроля персонала и выявления потенциально проблемных посетителей. При этом у специалистов по защите персональных данных сохраняются вопросы к таким подходам.
По мнению заместителя директора ЗАО «РИТЭЙЛ КОНСАЛТ» (холдинг «5 элемент») Максима Сергеевича Гречаникова, эффективность биометрических технологий пока вызывает сомнения с учетом требований к защите персональных данных. Их внедрение предполагает создание и хранение базы биометрической информации с применением комплексных мер технической и криптографической защиты. В процессе применения также есть подводные камни: при визуальном контроле будет происходить сопоставление изображения со всей базой данных, что может замедлять доступ на рабочие места. Кроме того, при использовании 2D-сканеров систему можно обмануть с помощью чужой фотографии.
Также возникает вопрос соразмерности цели и результата: к примеру, чтобы выявлять потенциальных мошенников, посещающих торговые объекты, надо фиксировать данные всех посетителей, что ставит вопрос о допустимости такого объема обработки персональных данных.
В то же время представители нотариального сообщества, в частности нотариус, председатель Минского городского отделения Белорусского республиканского союза юристов Наталья Владимировна Борисенко, отмечают интерес к созданию государственного ресурса биометрической идентификации, особенно в условиях внедрения удаленного режима удостоверения сделок.
Национальный центр защиты персональных данных в лице начальника управления методологии защиты персональных данных Ирины Анатольевны Пырко подчеркивает, что сбор и хранение любых персональных данных должны быть пропорциональными и обоснованными. Если в стране произошло несколько случаев обмана из-за отсутствия биометрического контроля, то это не повод собирать и хранить данные всех граждан.
Персональные данные клиентов обрабатывает компания-подрядчик
Слабым звеном в существующей системе защиты персональных данных в белорусском бизнесе остается взаимодействие с подрядчиками (уполномоченными лицами), особенно если они являются микроорганизациями, индивидуальными предпринимателями или самозанятыми.
Как отметили участники дискуссии – DPO (ответственные за внутренний контроль обработки персональных данных), представители этих категорий подрядчиков не всегда готовы соблюдать требования законодательства. Нередко они считают, что отсутствие отдельного соглашения об обработке персональных данных (DPA) с заказчиком освобождает их от ответственности за возможные утечки. Поэтому предложение закрепить такие условия в договоре на выполнение работ часто воспринимается негативно.
При этом значительная часть работ выполняется удаленно, с использованием домашних компьютеров, на которых ситуация с технической защитой информации может быть далека от идеальной.
Подобные риски встречаются и у крупных компаний-подрядчиков. В качестве примера приводился случай, когда заказчику предоставлялся аттестат ОАЦ на систему технической защиты, однако при проверке выяснялось, что он выдан только на 1C-бухгалтерию в защищенном сегменте, тогда как обработка данных фактически велась на других мощностях информационной системы.
Эксперты рекомендуют:
- закреплять обязанности и ответственность подрядчиков по обработке персональных данных в отдельных соглашениях либо в договорах на выполнение работ;
- проверять систему защиты информации у подрядчика, прописывать требования технической защиты информации к его рабочим местам, особенно при удаленном доступе.
Автоматизированная обработка персональных данных: подходы к регулированию
НЦЗПД подготовил поправки в законодательство о защите персональных данных, в которых отдельное внимание уделено автоматизированной обработке, включая использование технологий ИИ.
По словам И. Пырко, на первом этапе согласования законопроекта существенных замечаний от госорганов не поступило – в основном они касаются отраслевой специфики.
Принципиальный подход при автоматизированной обработке персональных данных заключается в следующем: человек должен быть заранее информирован о том, что решение на основании обработки его данных будет принимать компьютерная программа. И если такая ситуация не вытекает из нормы закона – дать на такую обработку свое согласие. Кроме того, по запросу человеку должны предоставляться пояснения, на каком основании программой принято не устраивающее его решение, например, об отказе в выдаче кредита или в приеме на работу.
Также в законопроекте предусмотрены и другие новации. В частности, предлагается закрепить сложившиеся в практике реализации закона подходы о том, что согласие граждан на обработку их персональных данных не требуется в случае, если организация исполняет обязанности (полномочия), возложенные на нее не только законодательными, но и иными нормативными правовыми актами, принятыми в их развитие.
Помимо этого, предполагается закрепить сложившуюся практику назначения DPO. Для организаций со штатом работников более 50 человек, осуществляющих обработку больших массивов персональных данных, предлагается закрепить требование о наличии освобожденного DPO. А вот организациям, относящимся к субъектам малого предпринимательства, предлагается предоставить право привлекать для этой работы аутсорсеров, оказывающих соответствующие услуги.
Отделение специалистов по защите персональных данных Белорусского республиканского союза юристов ставит задачу формирования в стране профессионального сообщества и приглашает к работе профильных специалистов. Также оно стремится привлечь внимание регуляторов к актуальным проблемам сферы.
Источник: Экономическая газета