Национальный центр защиты персональных данных существует уже чуть более полугода. Все это время его сотрудники решают две ключевые задачи, поставленные Президентом при создании центра, – принятие мер по защите персональных данных граждан и организация образовательного процесса в этой сфере. С какими жалобами приходят белорусы в центр, кому в обязательном порядке надо будет повышать квалификацию в сфере защиты персональной информации? На эти вопросы корреспонденту БЕЛТА ответил директор центра Андрей Гаев.
Чем занимается Национальный центр защиты персональных данных?
– Как верно подмечено, центр решает две основные задачи: принимает меры по защите персональных данных и организовывает обучение в этой сфере. При этом надо учитывать, что новый закон о защите персональных данных распространяется на все организации нашей страны, а их более 400 тыс., и индивидуальных предпринимателей. Его реализация – процесс непростой. К примеру, вопрос модернизации информационных ресурсов или внедрения системы защиты информации не решишь за месяц. Поэтому на выработку операторами (лицами, обрабатывающими персональные данные) мер для надлежащей защиты персональных данных и на отладку в связи с этим организационных и бизнес-процессов требовалось время.
На первоначальном этапе мы сделали упор на проведении разъяснительной работы, подготовке необходимых образцов (шаблонов) и других методологических документов. Центр в форматах офлайн и онлайн организовал обучающие и информационно-консультационные мероприятия, на которых представителям организаций разъясняются соответствующие положения законодательства о персональных данных. Основное внимание уделяется организациям социальной сферы, образования, здравоохранения и иным, которые в связи с ограниченным финансированием не всегда имеют возможность участвовать в интересующих мероприятиях. Для таких организаций проводятся безвозмездные мероприятия, в том числе с использованием средств видео-конференц-связи, позволяющие вовлечь организации из различных регионов. К примеру, во всех областях во взаимодействии с исполнительными комитетами для организаций различных сфер деятельности проведен цикл региональных семинаров по актуальным вопросам защиты персональных данных.
Сейчас также в областном разрезе совместно с Министерством образования проводятся онлайн-практикумы «Оборот персональных данных в образовании: порядок обработки и защиты». На среднесрочную перспективу мы планируем создать отдельный сайт либо специализированный контент на нашем официальном сайте по обработке персональных данных детей, подростков и студентов. Работники центра будут участвовать в проводимых вузами образовательных мероприятиях и разъяснять студентам и преподавателям законодательство о персональных данных, формировать безопасную линию поведения с использованием таких данных, прежде всего в виртуальной среде.
Центром был организован и республиканский онлайн-марафон по вопросам защиты личных данных в работе организаций социальной сферы, в котором приняли участие более 4,5 тыс. специалистов учреждений образования, здравоохранения, культуры, соцзащиты, спорта, а также госорганов и СМИ из всех регионов страны.
По результатам таких мероприятий, в которых на безвозмездной основе приняли участие уже около 11 тыс. человек, в помощь организациям разработаны дорожная карта и портфель оператора, содержащие пошаговый алгоритм действий и образцы документов для единообразной реализации на местах закона о защите персональных данных, обеспечения законного сбора персональных данных, их безопасного использования, хранения, распространения и иной обработки.
Что очень ценно, в виде обратной связи мы получаем информацию о применении закона на практике и вопросы, волнующие операторов. С учетом этого мы корректируем свою дальнейшую работу.
Оборот персональных данных осуществляется во всех сферах жизни человека, и в каждой из них есть свои особенности. Чем здесь центр помогает операторам?
– Актуальные вопросы обработки персональных данных систематизируются в разрезе отраслей, сфер и направлений деятельности, и по итогам их анализа мы вырабатываем решения по их урегулированию. Например, по итогам такой работы применительно к сфере трудовых отношений совместно с Министерством труда и социальной защиты подготовлены соответствующие рекомендации по обработке персональных данных. Обобщено и рассмотрено значительное количество вопросов обработки персональных данных в банковской сфере, страховой деятельности, работе операторов мобильной связи и сетевой торговли.
Системный подход к работе в этом направлении будем реализовывать и в дальнейшем. В настоящее время, например, взаимодействуем с Министерством труда и социальной защиты по вопросам обработки персональных данных с участием центров социального обслуживания населения, а с Министерством жилищно-коммунального хозяйства — в части аналогичной деятельности расчетно-справочных центров. Многие организации запрашивают информацию у этих структур, а им для своей работы необходимы персональные данные, находящиеся у иных юридических лиц.
Вся наработанная центром информация, полезная операторам и гражданам, размещается в свободном доступе на официальном сайте центра, получившем недавно специальный диплом жюри интернет-премии международной специализированной выставки ТИБО-2022.
Однако деятельность центра не ограничивается разъяснительной работой. Мы наделены широким объемом полномочий, в их числе проведение контрольных мероприятий, и в настоящее время все чаще прибегаем к их использованию. Уже проведено около 30 камеральных проверок, с апреля начались плановые проверки соблюдения законодательства о персональных данных, ближайший проверяемый субъект – РУП «Белтелеком».
При этом никого не должно расхолаживать отсутствие громких дел или множества протоколов о привлечении к ответственности. Наша цель — не пугать, создавая сиюминутный эффект, а построить действенную, эффективную систему защиты персональных данных.
Значительная часть деятельности центра невооруженным взглядом не видна. Мы проводим мониторинг интернет-ресурсов на наличие случаев незаконного распространения персональных данных. Например, в ряде случаев на сайтах организаций неправомерно (без согласия граждан или предусмотренного законом основания) размещаются списки должников по услугам, базы данных с личными номерами телефонов, домашние и личные электронные адреса работников или клиентов. Порой таким образом распространяется информация о десятках, а в некоторых случаях и о тысячах граждан. Выкладывая ее, организации или частные лица преследуют различные цели: от попытки оказать влияние на неплательщиков до желания заработать.
Мимо таких фактов мы, конечно, не проходим. В результате уже удалены незаконно распространенные данные почти 100 тыс. наших граждан, размещенные в виде баз данных и списков в социальных сетях, информации на сайтах, предоставляющих сведения об автомобилях, списков должников на стендах в садоводческих товариществах, видеосюжетов. Исключаются отдельные случаи избыточной обработки персональных граждан розничными сетями и банками.
С какими вопросами белорусы обращаются в центр?
– Поступают как классические обращения с интересующими граждан вопросами, связанные с обработкой персональных данных или содержащие просьбу разъяснить правовые нормы в этой сфере, так и жалобы на действия операторов. Если человек полагает, что его права, свободы и законные интересы нарушены при обработке персональных данных, он вправе направить жалобу в центр в письменной форме или в виде электронного документа.
Каждая третья пришедшая к нам жалоба содержит информацию о нарушении прав субъектов персональных данных в организациях торговли и сферы услуг, каждая шестая — в банках, каждая седьмая — у операторов сотовой связи. Кроме того, люди жалуются на незаконный оборот персональных данных у нанимателей и на интернет-ресурсах. С ноября прошлого года к нам поступило более 500 жалоб и обращений.
Из последних дел можно упомянуть жалобу на оглашение адвокатом информации о судимости ответчика в рамках гражданского дела, которая, как утверждает ответчик, не была общедоступной, также есть жалобы на платное удаление сведений о транспортном средстве из соответствующей базы, незаконную передачу банкам персональных данных лица при регистрации субъекта хозяйствования, требование без необходимости от граждан многостраничных согласий.
Следует также отметить получившую распространение практику сбора обязательств о неразглашении персональных данных от работников. Такие обязательства отбираются даже у технического персонала, например уборщиц помещений. Подобные обязательства не предусмотрены законодательством и расцениваются как излишняя обработка персональных данных.
Ответы на самые актуальные или часто задаваемые вопросы мы размещаем в Telegram-канале центра и на официальном сайте.
Когда стартует повышение квалификации сотрудников, работающих с персональными данными граждан? Для кого оно будет обязательным?
– Каждый оператор обязан ознакомить всех работников и иных лиц, обрабатывающих персональные данные, с законодательством о персональных данных, а также обучать их не реже одного раза в пять лет.
Подходы к организации обучения закреплены в указе №422 главы государства от 28 октября 2021 года. Так, в центре в формате повышения квалификации должны обучаться люди, которые отвечают за осуществление внутреннего контроля за обработкой персональных данных в организациях, определенных в приказе №194 Оперативно-аналитического центра при Президенте. Это, в частности, банки, организации здравоохранения, исполкомы (кроме сельских и поселковых), риелторские и страховые организации, юридические лица, которые обрабатывают персональные данные не менее 10 тыс. граждан.
Повышение квалификации мы планируем начать к сентябрю. Сейчас проводятся необходимые для этого мероприятия. Иные лица могут обучаться в других организациях по образовательной программе повышения квалификации руководящих работников и специалистов или обучающих курсов (лекториев, тематических семинаров, тренингов и т.п.), а также у самого оператора.
Какие планы на ближайшее время?
– Центр динамично развивается. В ближайших планах – создание научно-практического комментария к закону о защите персональных данных, проведение широкой информационной кампании для несовершеннолетних, учреждение ежегодного конкурса для операторов. Завершаются и подготовительные мероприятия для организации проведения социологического опроса по вопросам персональных данных.
Источник: БЕЛТА