Рубрика: Новости

Сегодня в Национальном центре защиты персональных данных состоялся круглый стол   на тему ”Реализация Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ в   нормотворческой деятельности“. В мероприятии приняли участие   руководители и специалисты структурных подразделений ряда государственных органов, ответственные за проведение экспертиз проектов нормативных правовых актов.

В формате открытой дискуссии обсудили ключевые проблемные вопросы реализации положений Закона о защите персональных данных в национальном законодательстве и соотнесение его норм с отраслевым законодательством,  в частности:

• включение в проекты нормативных правовых актов положений об обработке персональных данных без согласия субъектов персональных данных;
• регламентация механизмов обмена персональными данными между организациями;
• оценка проектов нормативных правовых актов на предмет избыточности обработки персональных данных.

По итогам совместной работы планируется подготовить рекомендации практического характера для проведения юридической экспертизы НПА и их соответствия законодательству о персональных данных.

Национальным центром защиты персональных данных проведена плановая проверка ЗАО ”Интернет-магазин Евроопт“, в рамках которой были выявлены нарушения законодательства о персональных данных, в том числе при реализации обязательных мер по обеспечению защиты персональных данных.

Установлено, что получаемые оператором согласия на обработку персональных данных при регистрации на своих сервисах:

• edostavka.by,
• evropochta.by,
• emall.by

не соответствуют требованиям статьи 5 Закона о защите персональных данных.
Также выявлены недостатки при информировании клиентов о порядке и пределах обработки их персональных данных.

Центром вынесено требование оператору ЗАО ”Интернет-магазин Евроопт“ устранить выявленные нарушения, а также ”переполучить“ до 1 сентября 2023 г. согласия субъектов персональных данных либо прекратить обработку персональных данных и произвести их удаление.

Сегодня Национальный центр защиты персональных данных присоединился к масштабному празднованию  78-ой годовщины Победы советского народа в Великой Отечественной войне. Главные герои Дня Победы – ветераны и представители поколения победителей.

Директор Национального центра защиты персональных данных Андрей Гаев поздравил с праздником председателя Первомайской районной организации блокадников Ленинграда г. Минска, ветерана труда Вишнякову Тамару Семеновну. Цветы, подарки,  слова благодарности и добрые пожелания сегодня всем тем, кто прошел через огонь войны и, испытав множество лишений, поднимал страну из руин и подарил нам с вами свободу и независимость.

Тамара Семеновна человек с удивительной и сложной судьбой, прожила все 900 дней в блокадном Ленинграде и потеряла в это время 9 членов своей семьи. Сегодня в свои 90 лет она ведет активную общественную жизнь и проводит уроки мужества в школах и вузах, встречается с молодежью и рассказывает им не только о трудностях блокады и войны, но и о созидательном труде и простых человеческих ценностях.

После эстафета поздравлений перенеслась на территорию ветеранского дворика на улице Тикоцкого в столице, где проходил районный праздник. Андрей Гаев поздравил участника Великой Отечественной войны, подполковника  Шишова Василия Петровича с Днем Победы, пожелал ему крепкого здоровья,  мира, добра и долгих лет жизни.

Все больше белорусов отдают предпочтение онлайн-покупкам.  По информации Министерства антимонопольного регулирования и торговли в Беларуси зарегистрировано почти 30 тыс. интернет-магазинов. Все эти организации обрабатывают большой массив персональных данных покупателей, вместе с тем, далеко не все из них не уделяют должное внимание работе с личной информацией клиентов.

Ранее мы рассказывали о фактах утечек персональных данных в ряде торговых сетей, обработке данных удаленных банковских карт, а сегодня собрали топ-5 самых распространённых нарушений в части обработки данных в работе интернет-магазинов. Он составлен по результатам проводимых Национальным центром защиты персональных данных проверок, а также по фактам поступающих от граждан жалоб и обращений.

1. Звонки и рассылка клиентам/покупателям с рекламными, акционными предложениями товаров, услуг без согласия на это. Это незаконно.
2. Отсутствие свободного характера согласия. При оформлении карт лояльности некоторые торговые сети берут общее согласие на несколько не связанных между собой целей, включая в него направление рекламной рассылки. Такое согласие не является свободным, его получение не соответствует требованиям законодательства о персональных данных.
3. Избыточность обработки персональных данных. Отдельные торговые сети для оформления карт лояльности истребуют сведения об идентификационном номере, фактическом месте проживания, поле и образовании физического лица, наличии детей, автомобиля, домашних питомцев. Эти данные являются избыточными по отношению к заявленным целям их обработки. При этом, в согласии не отражаются права граждан, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи согласия или отказа от его предоставления. Не разъясняется кому и для каких целей эти данные будут передаваться. Более того, у ряда интернет-магазинов и вовсе отсутствует политика обработки персональных данных на сайте.
4. Персональные собираются операторами из открытых источников, в том числе из взломанных баз данных. При этом такие операторы не могут подтвердить, что эти сведения были распространены самим человеком или с его согласия. Использование такой информации является нарушением.
5. Отсутствие необходимых знаний у работников. Многие сотрудники, обрабатывающие персональные данные, не знают законодательства, не ознакомлены с политикой конфиденциальности и иными локальными документами. Специалисты, ответственные за внутренний контроль за обработкой персональных данных, во многих случаях не обучены, не обладают необходимыми знаниями для защиты персональных данных. Работа с такой информацией организована формально и с нарушениями.

Национальный центр защиты персональных данных обращает внимание руководителей интернет-магазинов, что Центром проводятся плановые, внеплановые и камеральные проверки деятельности операторов. Так, в настоящее время  завершена проверка одной из крупных торговых сетей, оператором проводится работа по устранению выявленных нарушений.

С учетом того, что каждая четвертая поступающая жалоба от граждан указывает на нарушения при обработке персональных данных в сфере торговли и услуг, Центром будет уделяться особое внимание проведению контрольных мероприятий по соблюдению законодательства о персональных данных операторами данной сферы, в том числе в работе интернет-магазинов.

Обращаем внимание владельцев интернет-магазинов, обрабатывающих (в том числе хранящих) персональные данные не менее 10 тыс. физических лиц, на необходимость обязательного обучения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, в Национальном центре защиты персональных данных.

За непринятие обязательных мер обеспечению защиты персональных данных предусмотрены ответственность и наложение штрафа.

Для защиты персональных данных нужно осознанное поведение каждого человека. Об этом в проекте «Страна говорит» на YouTube-канале БЕЛТА заявил директор Национального центра защиты персональных данных Андрей Гаев.

Отвечая на вопрос о том, как контролируются компании, которые работают с персональными данными граждан, Андрей Гаев подчеркнул, что у центра нет такой цели. «Обращусь к нормам Конституции, где сказано, что государство создает условия для защиты персональных данных. Почему это не гарантирует защиту персональных данных? Для того чтобы персональные данные защитить, прежде всего нужно осознанное поведение каждого человека. Если человек бездумно выставляет свои персональные данные на показ в виде копий паспорта, водительских удостоверений и иной информации, распространяет эти сведения в социальных сетях, то она моментально может быть использована. В этой ситуации государство гарантирует условия для того, чтобы персональная информация обрабатывалась должным образом», – отметил он.

По его словам, предупредительный характер деятельности со стороны государства и создает условия в виде законодательства, специально уполномоченного органа, обязанностей операторов, которые должны руководствоваться правовыми нормами. «Наш национальный закон о защите персональных данных каждому человеку предоставляет широкий объем полномочий по влиянию на обработку своих персональных данных. Человек наделен правом и получать информацию об обработке своих данных конкретным юридическим лицом, и раз в год запрашивать сведения о том, кому персональные данные предоставлялись, и отзывать согласие на обработку своих данных, а также требовать изменения своих персональных данных, если они неактуальны, прекращать их обработку при отсутствии правовых оснований. По существу, государство создало все условия, чтобы человек был общественным контролером за соблюдением правовых норм операторами», – констатировал руководитель центра.

Сама правовая норма не исключает наступления неблагоприятных случаев, продолжил он. «Есть лица, которые, зная нормы закона, умышленно идут на его нарушение. Поэтому у нас установлена достаточно жесткая ответственность за несоблюдение норм законодательства», – заключил Андрей Гаев.

Источник: БелТА

В проекте «Страна говорит» на YouTube-канале БЕЛТА глава группы технологий, медиа, телекоммуникаций юридической фирмы Кирилл Лаптев рассказал о наказании за распространение персональных данных в разных странах.

Говоря о нарушениях закона о персональных данных в разных странах, Кирилл Лаптев подчеркнул, что пока многие белорусские компании добровольно выполняют требования закона, не исходя из тех санкций, которые применяются. «В этом плане нельзя сказать, что наши меры ответственности жестче или превышают во много раз те требования, которые установлены в других странах. Понятно, что уголовная ответственность сразу смущает, потому что непонятно, каким образом она применяется к сфере обработки персональных данных. В то же время в других странах это предусматривается. В том же Китае санкции вплоть до лишения свободы в несколько раз превышают те, которые предусмотрены нашим законом», – рассказал он.

Если смотреть на определенное мерило в части подобного регулирования (общий регламент защиты данных в Европейском союзе), то он предусматривает финансовую ответственность и штрафы, но не исключает возможность на уровне национального законодательства в странах Европы дополнительно вводить уголовную ответственность. «Некоторые страны, в том числе наши соседние, ввели уголовную ответственность в сфере персональных данных раньше нас», – добавил Кирилл Лаптев.

«Если говорить о финансовой составляющей, то иногда возникает вопрос: а не мал ли размер административной ответственности, если репутационный урон гораздо больше. Для сравнения, если мы посмотрим на ЕС, то у них суммы штрафов в фиксированной величине достигают 20 млн евро, что составляет более 1,5 млн базовых величин. Не думаю, что у нас есть хоть один состав, который предусматривал бы такую ответственность», – отметил юрист.

Специалист также рассказал и об оборотном штрафе, упомянув, что нынешняя система наказаний за распространение персональных данных в Беларуси «еще цветочки». «Один из трендов, к которому сейчас подходят некоторые страны, — это процент от оборота, в том числе в рамках всей группы компаний, не только в стране владельца. Такие суммы достигают сотен миллионов долларов для крупных компаний, в том числе которыми пользуются граждане Республики Беларусь и оставляют там персональные данные. Некоторые страны, которые вводили административную ответственность в фиксированных суммах или зафиксированных лимитах, сейчас рассматривают изменения и введение оборотных штрафов. Это тоже фактор, который может во многом стимулировать компании», – заключил он.

Источник: БелТА

В проекте Белорусского  телеграфного агентства  «Страна говорит» директор Национального центра защиты персональных данных Андрей Гаев рассказал о самых громких сливах персональной информации и как избежать таких ситуаций.

Говоря о самых масштабных случаях слива персональной информации, Андрей Гаев отметил, что зачастую такие инциденты происходят в сфере торговли. «Это связано с торговыми сетями «Соседи», «Остров чистоты и вкуса». В банковской сфере был случай взлома и незаконного распространения информации «Белгазпромбанка». Фиксируем также ситуации, когда нарушение законодательства о персональных данных происходит не на территории Республики Беларусь, а за ее пределами. Примером может быть случай со службой курьерской доставки СДЭК, которая физически и юридически зарегистрирована на территории Российской Федерации, но содержала около 700 тыс. сведений о покупках белорусов», –  рассказал директор центра.

Современные вызовы требуют внимания к этим вопросам, уверен он. «У нас есть специалисты, которые занимаются мониторингом того, что происходит в интернете. Мы стараемся принимать все возможные меры, чтобы удалить данные. Но, прежде всего, требуем от операторов незамедлительно уведомить каждого человека, который затронут этим инцидентом, чтобы люди могли оперативно среагировать и поменять свои логины, пароли и иную информацию. Но, конечно, это уже следствие свершившегося. Поэтому каждое юридическое лицо обязано реализовать положения закона для исключения таких случаев», – констатировал руководитель центра.

Несмотря на это, Андрей Гаев заверил, что законодательно и организационно вся персональная информация граждан защищена, вся методология для работы надлежащим образом в стране создана. «Национальный центр защиты персональных данных сделал всю базу для этого: созданы алгоритмы действий, необходимая форма документов, объединенная в так называемый портфель оператора. Многие вещи там пригодны к использованию практически без адаптации для конкретного юрлица с небольшими корректировками применительно к своей деятельности. Со стороны государства вся инфраструктура создана: законодательство, специально уполномоченный орган, права влияния на обработку своих данных самим гражданином. Во многом успех в этом деле зависит от каждого из нас, от осознанного поведения в сети», – заключил он.

Источник: БелТА

В проекте Белорусского  телеграфного агентства «Страна говорит» начальник службы по защите информации одной из компаний Максим Гречаников рассказал, как бизнес приводит свои процессы в соответствие с законом о персональных данных.

Закон «О защите персональных данных» вступил в силу 15 ноября 2021 года. По словам Максима Гречаникова, отправной точкой в подготовке бизнеса к реализации норм закона стало 7 мая 2021 года, когда документ только был принят. «Наша компания очень крупная и имеет большое количество бизнес-процессов, затрагивающих обработку персональных данных. Учитывая, что компания динамично развивается, постоянно возникают новые бизнес-процессы, а неактуальные прекращают свое действие, руководством было принято решение о создании отдельного структурного подразделения, которое занимается внутренним контролем за обработкой персональных данных. В скором времени у нас будет происходить небольшая реорганизация – будет создана отдельная служба, отвечающая за информационную безопасность. То есть у нас будет юридический блок, внутренний контроль за обработкой персональных данных, который выполняет мое подразделение, и будет создано отдельное структурное подразделение, куда войдет порядка трех человек», – сообщил он.

Работа компанией в этом направлении ведется постоянно, отметил специалист. «Думаю, что мы уверенно движемся к соблюдению законодательства. У нас было создано отдельное структурное подразделение, мы провели аудит бизнес-процессов, которые затрагивают обработку персональных данных. Иногда пул персональных данных, которые мы просим у клиентов, определяется типовой формой документов, той же книгой замечаний и предложений, расходно-кассовыми ордерами. Если объем информации не определен законодательно, то мы минимизируем ее количество для предоставления. В Европе это называется экочистота персональных данных. Мы запрашиваем минимальный объем необходимых персональных данных для достижения каждой конкретной цели», –сказал Максим Гречаников.

По его словам, после 2021 года объем персональных данных существенно уменьшился. «Для некоторых бизнес-процессов вообще исключена обработка персональных данных, то есть они скорректированы так, что мы не запрашиваем их у клиентов, – пояснил он. – У крупных организаций и операторов по обработке персональных данных должны быть созданы отдельные структурные подразделения. Нельзя эту работу взять и выполнить до конца, потому что она повседневная. Возникают новые бизнес-процессы, новые требования бизнеса и нам необходимо адаптировать процессы и приводить их в соответствие с законодательством».

Источник: БелТА

В работу по уборке и благоустройству территорий Еврейского мемориального сквера включились сотрудники Центра. Место проведения субботника выбрано не случайно. 2023 год проходит в Беларуси под знаком Годом мира и созидания, а участие в благоустройстве мемориальных комплексов – это возможность внести свой личный вклад в сохранение исторической памяти.

Сотрудники Центра благоустраивали сквер: красили скамейки, убирали газоны, подметали дорожки, сгребали прошлогоднюю листву, капали клумбы, – работа нашлась для каждого.  Сегодня этот парк – место памяти, а в конце ХIX – ХХ вв. на территории Еврейского сквера размещалось еврейское кладбище. В годы Великой Отечественной войны это было одно из мест массового уничтожения населения, в том числе узников Минского гетто. Здесь находятся четыре братские могилы с более чем пятью тысячами убитых евреев.

По завершении субботника сотрудники Центра почтили память погибших и возложили цветы у мемориального памятника ”Разбитый очаг“.

– Сегодня мир –  это величайшая  ценность, а созидание – это ежедневный ответственный труд каждого из нас, – отметил Андрей Гаев, подводя итог мероприятия. Он подчеркнул, что для Центра и всего коллектива большое значение имеет возможность внести свой вклад в общее дело не только по благоустройству города, но и поддержать  республиканский субботник перечислением средств на реконструкцию мемориального комплекса узникам Озаричского лагеря смерти и на создание республиканского центра патриотического воспитания молодежи на базе Кобринского укрепления Брестской крепости.