В Минске в Международный день защиты персональных данных состоялся форум, объединивший представителей государственных органов, депутатов и экспертов в области информационной безопасности. Одной из ключевых тем стало совершенствование Закона «О защите персональных данных».
Напомним, что Закон «О защите персональных данных» в Беларуси был принят в 2021 году. Тогда же в стране появился уполномоченный орган — Национальный центр защиты персональных данных. Как отметил директор центра Андрей Гаев, документ стал результатом многолетней работы и ответом на стремительное развитие цифровых технологий.
— Над законом работали более пяти лет, однако предпосылки для его появления возникли значительно раньше — еще в начале 2000-х, когда цифровизация стала важнейшим инструментом социально-экономического развития страны, — подчеркнул он. — На начальном этапе цифровые решения позволяли ускорять административные процедуры и повышать доступность услуг. Однако по мере накопления массивов информации персональные данные приобрели ценность и стали объектом повышенного интереса — в том числе со стороны злоумышленников.
Сегодня большинство преступлений в сфере мошенничества совершается именно в цифровой среде. В СНГ Беларусь находится на втором месте по количеству кибератак, нередки кражи денег с карточек, с электронных кошельков. В 2020–2022 годах происходили массовые утечки персональных данных, в том числе государственных служащих, общественных деятелей, на которых оказывалось психологическое давление.
Оценивая практику применения закона, Андрей Гаев подчеркнул, что он носит предупредительный характер и направлен на соблюдение баланса между интересами государства, бизнеса и граждан.
— За прошедшие годы закон был воспринят как обществом, так и бизнесом. За последние три года сократилось количество утечек персональных данных. Кроме того, бизнес сегодня рассматривает вопросы защиты личной информации как конкурентное преимущество, а не как обузу, — сделал акцент директор Национального центра защиты персональных данных.
При этом руководитель центра обратил внимание на то, что остаются отдельные проблемные ситуации. Речь идет, в частности, об избыточном сборе данных и необоснованной видео- и аудиофиксации.
— На практике встречаются случаи тотального видеонаблюдения в местах, напрямую связанных с личной сферой. Например, когда человек приходит за оказанием медицинских услуг, во время манипуляции осуществляется его съемка, либо производится видео- и аудиозапись в местах приема пищи, переодевания, — сказал Андрей Гаев. — Время не стоит на месте, и выявляются пробелы. В связи с этим проведен серьезный анализ практики применения нормативных правовых актов, регулирующих эту сферу, а также два мониторинга: один — Национальным центром защиты персональных данных, другой — Национальным центром законодательства и правовой информации.
Анализ полученной информации показал, что проблемы правоприменения и исполнения закона не носят глобальный характер. Основная задача, по словам Андрея Гаева, уточнить правовые основания обработки персональных данных и четко разграничить случаи, когда требуется согласие гражданина, а когда обработка осуществляется на основании нормы закона.
— Отдельный блок изменений касается видеонаблюдения и аудиозаписи, — отметил Андрей Гаев. — Фактически каждая вторая жалоба, поступающая в центр, связана с этим. В законопроекте предлагается закрепить ряд позиций, в которых будет установлен запрет на осуществление видео. Это всё связано с частной жизнью человека. Будет установлена разумная минимизация, то есть снимать то, что необходимо, избегая попадания в кадр остальных объектов и граждан. Предполагается разрешить обработку персональных данных без согласия при работе кол-центров.
Новые вызовы возникли и из-за технологии искусственного интеллекта. Андрей Гаев отметил, что, наряду с очевидными преимуществами, ИИ создает риски, связанные с подменой личности, дипфейками и манипуляцией данными.
— Искусственный интеллект требует внимательного правового регулирования, поскольку напрямую затрагивает вопросы сохранения человека в цифровом мире, — подчеркнул он.
Кроме того, планируется уточнить ряд положений, связанных с обработкой персональных данных без согласия, — при трудоустройстве, в сфере медиа, при заключении договоров, а также при взаимодействии операторов персональных данных между собой.
— Также будет решен ряд вопросов, связанных с взаимодействием организаций, которые обрабатывают персональные данные, так называемых операторов. Кроме того, к обработке персональных данных в организациях малого бизнеса, где обрабатывается незначительное количество персональных данных, планируется разрешить привлечение по принципу аутсорсинга. Для холдинговых структур также предлагается рассмотреть вопрос об организации защиты персональных данных на базе их управляющих компаний. В целом ужесточений правил обработки персональных данных в перспективе не планируется, — резюмировал Андрей Гаев.
За четыре года работы Национального центра защиты персональных данных:
♦ 5,3 тысячи обращений граждан и организаций рассмотрено, даны разъяснения по применению законодательства;
♦ 43,7 миллиона записей с персональными данными удалено у операторов по требованию центра;
♦ 1,4 тысячи жалоб субъектов персональных данных рассмотрено и приняты меры по восстановлению нарушенных прав;
♦ 15 тысяч специалистов обучено в рамках курсов по защите персональных данных и информационной безопасности.
Обновленный законопроект уже в феврале текущего года будет обсуждаться с участием заинтересованных органов и организаций, а в августе его планируют внести на рассмотрение в Совет Министров.
Источник: sb.by