Рубрика: Новости

С целью оказания методической помощи представителям организаций, ответственным за осуществление внутреннего контроля за обработкой персональных данных, а также лицам, непосредственно осуществляющим обработку персональных данных в этих организациях, Национальным центром защиты персональных данных во взаимодействии с местными исполнительными органами организуется цикл региональных семинаров ”Работа с персональными данными: системный подход“.

Первым областным центром, где проведен семинар, стал Могилев. Он объединил специалистов областных, районных и городских исполнительных комитетов Могилевской области, в онлайн формате к семинару присоединился 21 район Могилевщины. Спикерами на встрече выступили представители Национального центра защиты персональных данных – первый заместитель директора Николай Саванович и начальник управления контроля и аудита Владимир Кузуро, также участие  в мероприятии принял управляющий делами Могилевского облисполкома Николай Дедков.

Государством уделяется значительное внимание вопросам повышения уровня защиты персональных данных белорусских граждан. В проекте изменений и дополнений Конституции Республики Беларусь, который будет вынесен на предстоящий референдум, нашли отражение вопросы защиты персональных данных. Так, статью 28 предлагается дополнить нормой, предусматривающей, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании.

Три месяца назад Указом главы государства создан Национальный центр защиты персональных данных – уполномоченный орган по защите прав субъектов персональных данных, деятельность которого направлена на решение двух ключевых задач: организацию защиты персональных данных и образовательного процесса в этой сфере.

”Закон определяет случаи, когда любая организация имеет право обрабатывать персональные данные без согласия. Это четкий перечень случаев. В других, не подпадающих под это основание случаях, организация должна получить согласие человека. При этом закон устанавливает достаточно высокие требования, предъявляемые к согласию. Человек должен четко понимать, каким образом будут использоваться его персональные данные, кем они будут использоваться, какой промежуток времени, что ему нужно сделать, чтобы он мог в любой момент их отозвать и потребовать удаления, — подчеркнул Николай Саванович. – Нет такого ресурса, который бы показал гражданам все случаи, когда могут обрабатываться их персональные данные, потому что каждый день мы посещаем различные сайты, оставляем там личную информацию. Даже при простом посещении сайта могут обрабатываться данные об IP-адресе, история поиска, какая информация нас интересует. Поэтому создать всеобъемлющий ресурс невозможно, поскольку видов обработки очень много. Но закон определил уполномоченный орган — Национальный центр защиты персональных данных, который осуществляет контроль, рассматривает жалобы граждан. И если гражданин считает, что действиями оператора нарушены его права на защиту персональных данных, то в первую очередь он может обратиться непосредственно к оператору с просьбой устранить нарушение. Если тот не устраняет его или утверждает, что нарушения нет, с чем гражданин не согласен, то он имеет полное право обратиться в центр, который, привлекая оператора, на основании закона будет рассматривать, имело ли место нарушение. И в последующем принимать соответствующие меры, например, направляя предписания, информируя правоохранительные органы о привлечении к административной ответственности при наличии соответствующих оснований и иные“.

Также Николай Саванович отметил, что одной из целей принятия закона является обеспечение прозрачности обработки персональных данных, чтобы человеку была понятна данная процедура, цель такой обработки, будут ли сведения передаваться третьим лицам, как долго они будут храниться, как ему их удалить и т.д.

”В связи с этим гражданам, заполняя некие формы согласия, регистрируя на сайте личный кабинет и вводя данные, мы рекомендуем прежде всего ознакомиться с политикой по обработке, которая должна быть написана простым и понятным языком и располагаться на главной странице того ресурса, который эти сведения запрашивает. Иногда организации выделяют несколько такого рода документов, наряду с общей политикой по обработке персональных данных, размещают отдельно политику по обработке персональных данных на сайте. Например, политика cookies, которые собираются при посещении человеком информационного ресурса. Для понимания – когда человек выбирает некую языковую версию, вводит пароли и, чтобы не заполнять эту информацию в следующий раз, она сохраняется.

Первый совет пользователям, если сайты незнакомые, человек посещает их впервые или что-то его смущает, следует обязательно ознакомиться с политикой по обработке данных и лишь потом принимать решение, пользоваться ими или нет. В частности, это касается ресурсов, которые находятся за пределами белорусских доменов.

Второе, на что хочется обратить внимание, это общее требование по информационной безопасности. Не следует передавать персональные данные в рамках личной переписки лицам, с которыми мы малознакомы и в намерениях которых мы не уверены. Нельзя сообщать свою личную информацию по телефону, в частности, когда звонящие представляются сотрудниками тех или иных официальных органов, поскольку верифицировать их не представляется возможным. Не стоит пересылать сканы своих документов, идентифицирующих личность и связанных с ней, сообщать номер карты и CVV код, потому что, зная эту информацию, злоумышленники могут использовать ее в том числе для совершения мошеннических действий. Если есть желание расплачиваться банковской картой в сети интернет, то лучше иметь карту, отдельную от зарплатной, для этих целей, и хранить там небольшие суммы для разовых платежей. Тем самым, минимизируя риски возможных неблагоприятных действий в отношении своих средств.

В целом, следует внимательно следить за посещаемыми ресурсами и если объем информации, который нас просят предоставить, вызывает какие-то опасения, например, для простой регистрации зачем-то запрашивается идентификационный номер паспорта, то лучше не пользоваться услугами данного сайта и поискать альтернативу“.

Одним из направлений деятельности центра является проведение разъяснительной работы по вопросам применения законодательства о защите персональных данных. Центром организовано взаимодействие с республиканскими и региональными средствами массовой информации, на постоянной основе проводятся вебинары, семинары, иные мероприятия, реализуются просветительские проекты. Например, в онлайн-марафоне по вопросам национального регулирования и организации работы по защите персональных данных приняло участие более 4,5 тысяч специалистов учреждений образования, здравоохранения, культуры, соцзащиты со всех регионов страны.

”Мы с пониманием относимся к объективным сложностям, которые могут возникать при реализации закона, поэтому уделяем внимание разъяснительной работе, – пояснил Владимир Кузуро. – Однако в случаях выявления серьезных нарушений, поступления жалоб, в рамках предоставленных полномочий мы можем провести внеплановую проверку. При подтверждении данных фактов никаких снисхождений быть не может. Есть требование закона, и любая организация обязана обеспечить защиту в реализации прав субъектов персональных данных.

Основное наше направление сегодня сосредоточено на методологическом обеспечении деятельности и разъяснении законодательства. Наш сегодняшний визит связан в том числе именно с этой функцией. Подготовлен план проверок на этот год шести организаций в республике, в их числе – представители системы жилищно-коммунального хозяйства, банка, оператор сотовой связи, крупные ритейлеры и другие. Этот перечень размещен на нашем официальном сайте. У нас нет функции кого-то наказать, тем более, что сам центр не будет привлекать к ответственности, эти решения будут приниматься, в случае необходимости, в судебном порядке. Основная функция сегодня – разъяснение законодательства и подготовка рекомендаций и разъяснений. Мы понимаем особую роль местных органов власти в организации данной работы и потому принято решение провести цикл подобных лекций“.

Разработчики Закона Республики Беларусь от 7 мая 2021 г. №99-З ”О защите персональных данных“, сотрудники центра рассказали о стандартах защиты персональных данных, правоотношениях, регулируемых законом о защите персональных данных, субъектах, на которых распространяется действие закона, мерах по обеспечению защиты персональных данных. Отдельным блоком были раскрыты вопросы обработки персональных данных в связи с трудовой деятельностью и представлен «пошаговый алгоритм» действий оператора (уполномоченного лица) для защиты обрабатываемых персональных данных. В рамках семинара эксперты также ответили на вопросы участников.

Аналогичные семинары пройдут во всех областях и столице.

По сообщению официального сайта Могилевского облисполкома.

Государством уделяется значительное внимание вопросам повышения уровня защиты персональных данных белорусских граждан. В проекте изменений и дополнений Конституции Республики Беларусь, который будет вынесен на предстоящий Референдум, нашли отражение вопросы защиты персональных данных.

Так, статью 28 предлагается дополнить нормой, предусматривающей, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании.

Три месяца назад Указом Главы государства создан Национальный центр защиты персональных данных – уполномоченный орган по защите прав субъектов персональных данных (далее – Центр), деятельность которого направлена на решение двух ключевых задач: организацию защиты персональных данных и образовательного процесса в этой сфере.

Одним из направлений деятельности Центра является проведение разъяснительной работы по вопросам применения законодательства о защите персональных данных. Центром организовано взаимодействие с республиканскими и региональными средствами массовой информации, на постоянной основе проводятся вебинары, семинары, иные мероприятия, реализуются просветительские проекты.

Например, в онлайн-марафоне по вопросам национального регулирования и организации работы по защите персональных данных приняло участие более 4,5 тысяч специалистов учреждений образования, здравоохранения, культуры, соцзащиты со всех регионов страны.

С целью оказания методической помощи представителям организаций, ответственным за осуществление внутреннего контроля за обработкой персональных данных, а также лицам, непосредственно осуществляющим обработку персональных данных в этих организациях, Национальным центром защиты персональных данных во взаимодействии с местными исполнительными органами организуется цикл региональных семинаров по вопросам защиты персональных данных ”Работа с персональными данными: системный подход“.

Первый такой семинар пройдет в Могилеве 16 февраля текущего года. Он объединит специалистов областных, районных и городских исполнительных комитетов Могилевской области, в онлайн формате к семинару присоединится 21 район Могилевщины.

Разработчики Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“, сотрудники Центра расскажут о стандартах защиты персональных данных, правоотношениях, регулируемых Законом о защите персональных данных, субъектах, на которых распространяется действие Закона, мерах по обеспечению защиты персональных данных. Отдельным блоком будут раскрыты вопросы обработки персональных данных в связи с трудовой деятельностью и представлен ”пошаговый алгоритм“ действий оператора (уполномоченного лица) для защиты обрабатываемых персональных данных. В рамках семинара эксперты также ответят на вопросы участников.

Аналогичные семинары пройдут во всех областях и столице.

Вопросы, связанные с обработкой персональных данных в связи с трудовой деятельностью, имеют особую актуальность.

Случаи, при которых наниматель осуществляет обработку персональных данных работников, весьма многогранны и не ограничиваются только выполнением работником трудовой функции.

Кроме того, наниматели обрабатывают персональные данные при рассмотрении резюме соискателей на трудоустройство, оформлении трудовых (служебных) отношений, бывших работников, а также в отдельных случаях членов семьи работников.

В целях определения единообразных подходов к обработке персональных данных указанных категорий субъектов персональных данных, недопущению нарушения их прав Национальным центром защиты персональных данных подготовлены Рекомендации по обработке персональных данных в связи с трудовой (служебной) деятельностью.

В Рекомендациях содержатся разъяснения по следующим направлениям:

1. обработка персональных данных при оформлении трудовых (служебных) отношений;
2. обработка персональных данных в процессе трудовой (служебной) деятельности;
3. обработка персональных данных соискателей на трудоустройство;
4. обработка персональных данных близких родственников (членов семьи) работника;
5. предоставление персональных данных работника (в том числе уволенного) третьим лицам.

Ознакомиться с текстом Рекомендаций можно  в банке данных ”Правоприменительная практика“ ИПС ”ЭТАЛОН-ONLINE“.

Среди изменений и дополнений в Конституцию, выносимых на референдум, фигурирует и такая новелла: «Государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании». С чем связаны предполагаемые изменения и зачем охранять персональные данные? Кому можно доверить пин-код от банковской карточки и когда следует требовать удаления сведений о себе с электронной базы? Чем опасно распространение информации о человеке? Как личность вскрывается через онлайн-идентификаторы?

Ответами на эти и многие другие вопросы, касающиеся персональных данных личности, поделился один из создателей Закона О защите персональных данных Николай САВАНОВИЧ, первый заместитель директора Национального центра защиты персональных данных.

Полная версия интервью на страницах газеты ”Звязда“.

28 января по случаю Международного дня защиты персональных данных Национальным центром защиты персональных данных был организован и проведен I республиканский онлайн-марафон по вопросам национального регулирования и организации работы по защите персональных данных.

В мероприятии приняли участие около двух сотен операторов из числа организаций социальной сферы и более четырех с половиной тысяч представителей учреждений образования, здравоохранения, культуры, социальной защиты, а также средств массовой информации со всех регионов страны. Республиканский марафон проходил при информационной поддержке Национального центра правовой информации.

Разработчики Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ в режиме онлайн рассказали о стандартах защиты персональных данных, правоотношениях, регулируемых Законом о защите персональных данных, субъектах, на которых распространяется действие Закона, мерах по обеспечению защиты персональных данных, а отдельным блоком раскрыли вопросы обработки персональных данных в связи с трудовой (служебной) деятельностью.

Ключевая задача онлайн-марафона – разъяснение законодательства о защите персональных данных и оказание методической помощи представителям организаций социальной сферы, ответственным за осуществление внутреннего контроля за обработкой персональных данных, а также лицам, непосредственно осуществляющими обработку персональных данных в этих организациях.

Реализация подобных образовательных проектов для Национального центра защиты персональных данных стала традиционной. За два с половиной месяца своей деятельности Центром организовано уже десять вебинаров и семинаров, в том числе корпоративных, в которых приняло участие более пятисот человек.

Кроме того, в ближайшее время Национальный центр защиты персональных данных начинает цикл региональных семинаров по вопросам защиты персональных данных ”Работа с персональными данными: системный подход“, проходить они будут в офлайн и онлайн формате, первый такой семинар состоится в Могилеве 16 февраля.

Справочно:

Ежегодно 28 января, начиная с 2007 года, отмечается Международный день защиты персональных данных (Data Protection Day). В некоторых странах этот праздник называется Днем конфиденциальности.

28 января 1981 года была открыта для подписания Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, также известная как «Конвенция 108». Данная Конвенция стала первым международным обязывающим инструментом в сфере защиты персональных данных, который определил механизмы защиты прав человека на неприкосновенность его личной жизни, а также предоставил определение понятия ”персональные данные“.

26 января 2022 г. в Национальном пресс-центре Республики Беларусь состоялась пресс-конференция по случаю Международного дня защиты персональных данных.

Спикеры мероприятия:

• Гаев Андрей Анатольевич, директор Национального центра защиты персональных данных Республики Беларусь (далее – Центр),
• Задиран Сергей Владимирович, заместитель директора Центра,
• Пырко Ирина Анатольевна, заместитель начальника управления методологии защиты персональных данных Центра.

Андрей Гаев во время пресс-конференции назвал основные ошибки операторов.

”За два с половиной месяца к нам поступило около 180 запросов по самому широкому спектру направлений — начиная от работы по обработке персональных данных в сферах жилищно-коммунального хозяйства, образования, вопросам, связанным с деятельностью банков, и заканчивая работой торговых сетей, которые также собирают персональные данные в рамках разработанных и продвигаемых ими программ лояльности“, – сказал Андрей Гаев.

На основании поступающих обращений и жалоб выявлен ряд проблем, заметил директор центра. Если говорить об операторах, очевидно, что в целом упущен 6-месячный срок, отведенный на вступление в силу основных положений закона о защите персональных данных. ”Многие операторы пытаются нагнать упущенное время, и из-за того, что своевременно те или иные решения, вытекающие из закона, не были реализованы, возникают проблемы, связанные с последующей защитой персональных данных граждан“, – обратил он внимание.

”Во-вторых, просматривается ”культ согласия“, когда согласие от граждан стали брать и когда это предусмотрено законом, и когда делать этого не требуется“, – сказал Андрей Гаев. Он пояснил, что к такому вопросу, как получение согласия, установлен ряд серьезных требований, основным из которых является добровольность и непринужденность.

”Виртуальная среда поставляет нам огромное количество услуг. И если бы мы на каждую из них брали согласие и требовали это законодательно, то, наверное, только тем бы и занимались, что формулировали эти согласия и направляли операторам“, – отметил директор центра. Он пояснил, что законодательными актами, прежде всего законом о защите персональных данных, установлен широкий перечень оснований, когда обработка осуществляется без получения согласия. Например, при обращении в организацию с разного рода заявлениями, ходатайствами, за осуществлением административных процедур, при заключении договоров.

”С согласием есть еще один блок проблем. Он связан с тем, что, получив такое согласие, ему придается абсолютный характер. Раз получили согласие – значит, никаких иных мер по защите персональных данных и по исполнению требований закона, мол, принимать не надо. Это, конечно же, не так“, – заметил Андрей Гаев.

Он напомнил, что в законе о защите персональных данных установлен рискориентированный подход: конкретный перечень мер, которые должен предпринять оператор, определяет он сам. А закон установил лишь базовые требования, которые каждый оператор должен соблюсти. Речь идет о разработке соответствующего документа, определяющего политику по обработке персональных данных, определении категории лиц, которые имеют доступ к персональным данным, мерах по технической и криптографической защите информации, ознакомлении работников с законодательством о защите персональных данных.

”В этой связи такое согласие не может носить абсолютный характер, потому что ряд мер оператор должен предпринять, чтобы как сама обработка, так и в последующем защита персональных данных осуществлялись должным образом“, – отметил Андрей Гаев.

Директор центра также указал на проблему, когда одно согласие отбирается одновременно для нескольких не связанных между собой целей. Например, при входе в систему дистанционного банковского обслуживания человеку, желающему получить доступ к оказанию услуг в цифровой форме, связанных с реализацией заключенного с банком договора на банковское обслуживание, одновременно предлагается дать согласие на разного рода коммерческую рекламную рассылку.

”Эти две вещи между собой абсолютно не связаны. Если обслуживание, связанное с реализацией договора, не требует никакого согласия, то для получения рекламной, иной подобного плана рассылки согласие необходимо получать, оно должно быть добровольным. Человек, входя в систему дистанционного обслуживания, должен иметь возможность отказаться от подобного рода предложений, если он не хочет получать эту рассылку“, – пояснил он.

Говоря об обращениях граждан, он отметил, что типичная ошибка– направление жалоб не по установленной форме. ”Жалобы в Национальный центр защиты персональных данных направляются либо в классической письменной форме, либо в виде электронного документа с электронной цифровой подписью. Зачастую к нам направляются обычные электронные сообщения. Такие обращения и жалобы рассмотрению не подлежат. Сделано это в законодательстве осознанно, чтобы не допустить злоупотребления правом и не породить несанкционированную рассылку, носящую характер злоупотреблений“, – пояснил директор центра.

По его словам, на первоначальном этапе центр делает упор в работе на предупредительную составляющую. ”Мы стараемся концентрировать усилия на выработке различного рода рекомендаций, иных методологических документов, чтобы оказать помощь и содействие как операторам, так и людям, чтобы, разобравшись, реализовать в полном объеме те права и обязанности, которые вытекают из закона о защите персональных данных“, – добавил Андрей Гаев.

Сергей Задиран, заместитель директора Центра, рассказал о том, как будет организована образовательная деятельность Центра, а заместитель начальника управления методологии защиты персональных данных Ирина Пырко остановилась на Рекомендациях по обработке персональных данных в связи с трудовой деятельностью.

Национальный центр защиты персональных данных создан два с половиной месяца назад. Он является уполномоченным органом по защите прав субъектов персональных данных, его ключевые задачи – организация защиты персональных данных в Беларуси и образовательного процесса по этому направлению.

Источник: БелТА

Видео версия пресс-конференции доступна на youtube-канале Белпрессцентра.

15 ноября 2021 года вступили в силу положения Закона Республики Беларусь «О защите персональных данных». В соответствии с законодательством Национальному центру защиты персональных данных Республики Беларусь предоставлены полномочия по проведению разъяснительной работы о законодательстве о персональных данных.

Центром подготовлены Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Важно знать:

• Политика должна быть написана простым и доступным языком и отражать особенности обработки персональных данных у конкретного оператора.
• Оператор (уполномоченное лицо) обязан обеспечить неограниченный доступ к Политике.
• Цели и правовые основания обработки персональных данных должны быть конкретными, законными и формулироваться до начала обработки персональных данных.
• В Политике рекомендуется чётко соотносить цели, юридические основания обработки персональных данных и сами такие данные.
• В рекомендациях указаны примеры формулировок целей обработки, которые не следует применять в Политике.
• Документ размещен в банке данных «Правоприменительная практика» ИПС «ЭТАЛОН-ONLINE».

Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных

Источник: Pravo.by

При Национальном центре защиты персональных данных Республики Беларусь создан консультативный совет, в его состав вошли представители как государственных органов, так и бизнес-сообществ в IT-сфере.

Основными задачами Консультативного совета являются:

• содействие обеспечению соблюдения законодательства о персональных данных;
• формирование единообразной правоприменительной деятельности в области защиты персональных данных;
• распространение положительного опыта защиты прав субъектов персональных данных;
• изучение и обобщение практики осуществления контроля за обработкой персональных данных операторами (уполномоченными лицами);
• выработка предложений и рекомендаций по совершенствованию законодательства о персональных данных.

В Беларуси принят Закон «О защите персональных данных», который вступил в силу в ноябре этого года. А для соблюдения его исполнения создан Национальный центр защиты персональных данных. О функциях и роли центра рассказал его директор Андрей Гаев.

— Андрей Анатольевич, почему именно сейчас появилась необходимость в новой нормативно-правовой базе для защиты персональных данных (ПД)?

— Законодательство, регулирующее вопросы сбора, хранения, использования, распространения, удаления и иной обработки ПД, было и раньше. Но базовый в этой области Закон «Об информации, информатизации и защите информации» в основном привязывал ПД к фамилии, имени и отчеству. Если какая-то информация о человеке не содержала Ф.И.О., например, адрес электронной почты, то она выпадала из правового поля. Кроме того, правовые нормы предусматривали получение согласия гражданина на обработку его ПД только в письменной форме. Отсутствовало закрепление прав граждан в сфере обработки персональных данных. К примеру, право на доступ к своим ПД. Учитывая это и развитие современных технологий, нормативно-правовая база в вопросах ПД требовала актуализации. Эта задача решена принятием Закона «О защите персональных данных», который направлен на обеспечение прав и свобод физических лиц при обработке их ПД.

Закон формирует единую, отвечающую реалиям систему правового регулирования отношений в этой области. При этом речь идет не об установлении каких-либо запретов на обработку ПД, а об обеспечении соблюдения баланса интересов организаций, иных операторов, обрабатывающих ПД в своих целях, и граждан. Поскольку в последнее время персональные данные во многом приобрели для операторов экономическую ценность и в ряде случаев стали использоваться без согласия людей (для продвижения товаров, работ или услуг), можно сказать, что закон нацелен на возвращение гражданам права влиять на то, что по праву принадлежит только им.

Конечно, сам факт принятия закона в одночасье все имеющиеся вопросы не разрешит. Важно, чтобы человек и сам осознанно предоставлял персональную информацию операторам, а они, в свою очередь, не допускали ее незаконного использования. Для этого необходимо повышать уровень правовой грамотности субъектов ПД, чтобы они понимали, какие обязанности возложены на операторов, и знали свои права.

Так, гражданам предоставлено право требовать от оператора бесплатного прекращения обработки ПД при отсутствии правовых оснований для этого, а также отозвать свое согласие на обработку данных. В законе закреплены и права граждан на получение информации, касающейся обработки своих ПД оператором, а также — раз в год запрашивать у оператора информацию о предоставлении его ПД третьим лицам. Такие сведения можно получить бесплатно.

Обновленная нормативно-правовая база, и наш центр, являющийся уполномоченным органом по защите прав субъектов ПД, и осознанные действия граждан и операторов только в совокупности смогут стать барьером для незаконного использования ПД и решить задачу по их надлежащей защите.

— Сегодня уже практически невозможно представить свою жизнь без различных цифровых приложений, электронной торговли, цифрового банкинга и широчайшего перечня других услуг, так или иначе предполагающих фиксирование и обработку различных данных о пользователе. Закон не станет препятствием для развития цифровой экономики, которая, собственно говоря, зиждется на данных?

— Закон возлагает на операторов ряд обязанностей по обеспечению защиты ПД. Должна быть издана политика в отношении обработки данных, в которой, в частности, определяются категории обрабатываемых ПД, цели и сроки обработки, лица, имеющие право это делать. Он обязан также закрепить порядок доступа к персональным данным, определить лицо или структурное подразделение, осуществляющее контроль за сохранностью ПД и другими действиями по их обработке. Необходимо реализовать и меры по технической и криптографической защите информации, обрабатываемой в информационных ресурсах (системах). То есть технически реализовать возможность работы с ПД только уполномоченным на это лицам и только в объеме предоставленных им прав, а также обеспечить резервирование обрабатываемой информации и ее антивирусную защиту.

Работа с ПД должна быть четко структурирована. Конечно, если это не было сделано ранее, реализация мер по обеспечению защиты ПД потребует от операторов определенных усилий и затрат. Но это инвестиции в будущих клиентов. Ведь уверенность клиентов в защите их ПД может быть серьезным конкурентным преимуществом конкретной компании.

Хочу также отметить, что закон не установил жесткого, закрытого перечня таких мер. Установлен несколько непривычный для нашего законодательства риск-ориентированный подход, когда сами операторы, оценив и сопоставив особенности своего бизнеса, отраслевую специфику и риски, сами определяют комплекс мероприятий, необходимых для выполнения требований законодательства о защите персональных данных.

Закон ни в коем случае не призван сузить сферу обращения ПД. Но так как эти данные принадлежат непосредственно гражданину, то оператор должен следовать основным требованиям.

Любая обработка персональных данных должна осуществляться в конкретных, четко определенных целях. То есть использование персональных данных, полученных, в частности, при заключении договора купли-продажи, для целей рассылки в дальнейшем гражданину рекламных материалов недопустимо.

Еще одно требование, установленное законом, заключается в том, что обрабатываемые ПД не должны быть избыточными по отношению к заявленным оператором целям их обработки. Например, требование об указании в том же договоре купли-продажи аккаунта гражданина в социальной сети никак не связано с приобретением товара и является излишним.

Хранение полученных оператором ПД должно осуществляться не дольше, чем того требуют заявленные цели их обработки. По их достижении ПД должны быть удалены, а при отсутствии такой возможности — заблокированы.

Хотелось бы также остановиться на одном весьма распространенном заблуждении. Мол, со вступлением закона в силу на обработку ПД всегда требуется получать согласие гражданина. Это не так. Жизнь разнообразна и многогранна. Если бы мы давали согласие на обработку ПД во всех случаях, то, наверное, большую часть своего времени только бы это и делали. Более того, перечень случаев, когда обработка может осуществляться без согласия человека, законом расширен. Например, это происходит при получении ПД оператором на основании договора для совершения предусмотренных им действий при оформлении трудовых отношений и в процессе трудовой деятельности, а также при выполнении оператором обязанностей, предусмотренных законодательными актами.
Если же обработка ПД производится с согласия гражданина, то, хочу обратить на это особое внимание, оно должно быть добровольным и получено прописанным в законе способом. Это может быть сделано в классической письменной форме (в частности, договоре), в виде электронного документа или иной электронной форме (например, путем заполнения определенного поля на сайте оператора или в мобильном приложении).

Акцент на профилактику

— Фактически под действие закона подпадают все организации. Неужели возможно проконтролировать соблюдение закона всеми операторами?

— Под действие закона подпадают сотни тысяч субъектов хозяйствования, индивидуальные предприниматели, и ремесленники, и даже обычные граждане, если они обрабатывают ПД. Каждая организация занимается обработкой ПД как минимум в отношении своих сотрудников.

Конечно, проверить всех невозможно. Это и не является самоцелью деятельности центра, которая направлена прежде всего на предупреждение нарушений законодательства и проведение профилактических, упреждающих неблагоприятные последствия мероприятий. Да и субъекты персональных данных, наделенные законом существенными правами, по сути являются общественными инспекторами по соблюдению законодательства о ПД.

На системной плановой основе будет организована образовательная деятельность. Предусмотрена возможность проведения центром добровольного аудита соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных, в ходе которого оценивается выполнение операторами законодательства о персональных данных и выдаются по его итогам соответствующие рекомендации.

Если говорить о контроле, то он будет осуществляться в формате плановых (на основе годового плана), внеплановых (при наличии конкретных инцидентов) и так называемых камеральных (по месту нахождения центра) проверок. По их результатам будут приниматься соответствующие меры реагирования, в том числе при наличии признаков правонарушений или преступлений в установленном порядке будет решаться вопрос о привлечении виновных к предусмотренной законом ответственности.

Если гражданин считает, что его права в части обработки ПД нарушены оператором, он может обратиться в центр с жалобой. Однако рекомендуем, чтобы первым шагом стала попытка урегулировать спорные вопросы непосредственно с оператором, поскольку (учитывая скорость изменений в виртуальной среде) для достижения успеха в решении возникшего вопроса важна оперативность реагирования. Если найти консенсус не удалось, то тогда оправданно обращаться к нам, приложив имеющиеся и подтверждающие суть проблемы материалы. Есть важный нюанс: обращение в центр должно направляться в письменной форме либо в виде электронного документа, удостоверенного электронной цифровой подписью.

Если изложенная в жалобе проблема содержит основания для внеплановой проверки, будет организовано ее проведение либо информация будет учитываться при составлении плана проверок. Если исходя из содержания поступившего обращения будет усматриваться, что поднятый в нем вопрос носит системный характер, то по итогам его рассмотрения будут готовиться рекомендации по применению законодательства или предложения по внесению изменений в нормативные правовые акты.

— Но немало ПД обрабатывается операторами — транснациональными корпорациями, и происходит это не в Беларуси, а на заграничных серверах.

— В законе прописан механизм трансграничной передачи данных. Допускается передавать на территорию другого государства данные, если там будет обеспечен надлежащий уровень защиты ПД. У центра есть полномочия определять перечень таких государств. Соответствующий приказ уже принят и доступен через Национальный правовой интернет-портал Республики Беларусь www.pravo.by. По сути, это государства, являющиеся сторонами Конвенции № 108 Совета Европы. Если страна не входит в этот перечень, то для легитимной передачи данных требуется выполнить ряд условий. Например, гражданин может сам дать на это согласие, будучи информированным о рисках, возникающих в связи с отсутствием надлежащего уровня защиты ПД. Они могут быть также переданы в рамках исполнения международного договора Республики Беларусь или на основании соответствующего разрешения центра.

Источник: газета ”Рэспубліка“

На всенародное обсуждение вынесен проект изменений и дополнений Конституции Республики Беларусь.

У всех желающих есть возможность высказать свои предложения и пожелания по содержанию изменений Основного закона.

Нашли отражение в проекте Конституции и вопросы защиты персональных данных.

Статья 28. изложена в следующей редакции:

Каждый имеет право на защиту от незаконного вмешательства в его частную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство.

Государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании.

С проектом изменений и дополнений Конституции можно ознакомиться на pravo.by

Свои предложения по совершенствованию проекта вы можете направить в Национальный центр правовой информации:

• по электронной почте sbor@ncpi.gov.by;
• посредством электронной формы;
• в письменном виде по адресу 220030, г. Минск, ул. Берсона, 1а, НЦПИ, с пометкой «Конституция».

Поступившие материалы будут обобщаться и систематизироваться Национальным центром правовой информации.