С целью оказания методической помощи представителям организаций, ответственным за осуществление внутреннего контроля за обработкой персональных данных, а также лицам, непосредственно осуществляющим обработку персональных данных в этих организациях, Национальным центром защиты персональных данных во взаимодействии с местными исполнительными органами организуется цикл региональных семинаров ”Работа с персональными данными: системный подход“.
Первым областным центром, где проведен семинар, стал Могилев. Он объединил специалистов областных, районных и городских исполнительных комитетов Могилевской области, в онлайн формате к семинару присоединился 21 район Могилевщины. Спикерами на встрече выступили представители Национального центра защиты персональных данных – первый заместитель директора Николай Саванович и начальник управления контроля и аудита Владимир Кузуро, также участие в мероприятии принял управляющий делами Могилевского облисполкома Николай Дедков.
Государством уделяется значительное внимание вопросам повышения уровня защиты персональных данных белорусских граждан. В проекте изменений и дополнений Конституции Республики Беларусь, который будет вынесен на предстоящий референдум, нашли отражение вопросы защиты персональных данных. Так, статью 28 предлагается дополнить нормой, предусматривающей, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании.
Три месяца назад Указом главы государства создан Национальный центр защиты персональных данных – уполномоченный орган по защите прав субъектов персональных данных, деятельность которого направлена на решение двух ключевых задач: организацию защиты персональных данных и образовательного процесса в этой сфере.
”Закон определяет случаи, когда любая организация имеет право обрабатывать персональные данные без согласия. Это четкий перечень случаев. В других, не подпадающих под это основание случаях, организация должна получить согласие человека. При этом закон устанавливает достаточно высокие требования, предъявляемые к согласию. Человек должен четко понимать, каким образом будут использоваться его персональные данные, кем они будут использоваться, какой промежуток времени, что ему нужно сделать, чтобы он мог в любой момент их отозвать и потребовать удаления, — подчеркнул Николай Саванович. – Нет такого ресурса, который бы показал гражданам все случаи, когда могут обрабатываться их персональные данные, потому что каждый день мы посещаем различные сайты, оставляем там личную информацию. Даже при простом посещении сайта могут обрабатываться данные об IP-адресе, история поиска, какая информация нас интересует. Поэтому создать всеобъемлющий ресурс невозможно, поскольку видов обработки очень много. Но закон определил уполномоченный орган — Национальный центр защиты персональных данных, который осуществляет контроль, рассматривает жалобы граждан. И если гражданин считает, что действиями оператора нарушены его права на защиту персональных данных, то в первую очередь он может обратиться непосредственно к оператору с просьбой устранить нарушение. Если тот не устраняет его или утверждает, что нарушения нет, с чем гражданин не согласен, то он имеет полное право обратиться в центр, который, привлекая оператора, на основании закона будет рассматривать, имело ли место нарушение. И в последующем принимать соответствующие меры, например, направляя предписания, информируя правоохранительные органы о привлечении к административной ответственности при наличии соответствующих оснований и иные“.
Также Николай Саванович отметил, что одной из целей принятия закона является обеспечение прозрачности обработки персональных данных, чтобы человеку была понятна данная процедура, цель такой обработки, будут ли сведения передаваться третьим лицам, как долго они будут храниться, как ему их удалить и т.д.
”В связи с этим гражданам, заполняя некие формы согласия, регистрируя на сайте личный кабинет и вводя данные, мы рекомендуем прежде всего ознакомиться с политикой по обработке, которая должна быть написана простым и понятным языком и располагаться на главной странице того ресурса, который эти сведения запрашивает. Иногда организации выделяют несколько такого рода документов, наряду с общей политикой по обработке персональных данных, размещают отдельно политику по обработке персональных данных на сайте. Например, политика cookies, которые собираются при посещении человеком информационного ресурса. Для понимания – когда человек выбирает некую языковую версию, вводит пароли и, чтобы не заполнять эту информацию в следующий раз, она сохраняется.
Первый совет пользователям, если сайты незнакомые, человек посещает их впервые или что-то его смущает, следует обязательно ознакомиться с политикой по обработке данных и лишь потом принимать решение, пользоваться ими или нет. В частности, это касается ресурсов, которые находятся за пределами белорусских доменов.
Второе, на что хочется обратить внимание, это общее требование по информационной безопасности. Не следует передавать персональные данные в рамках личной переписки лицам, с которыми мы малознакомы и в намерениях которых мы не уверены. Нельзя сообщать свою личную информацию по телефону, в частности, когда звонящие представляются сотрудниками тех или иных официальных органов, поскольку верифицировать их не представляется возможным. Не стоит пересылать сканы своих документов, идентифицирующих личность и связанных с ней, сообщать номер карты и CVV код, потому что, зная эту информацию, злоумышленники могут использовать ее в том числе для совершения мошеннических действий. Если есть желание расплачиваться банковской картой в сети интернет, то лучше иметь карту, отдельную от зарплатной, для этих целей, и хранить там небольшие суммы для разовых платежей. Тем самым, минимизируя риски возможных неблагоприятных действий в отношении своих средств.
В целом, следует внимательно следить за посещаемыми ресурсами и если объем информации, который нас просят предоставить, вызывает какие-то опасения, например, для простой регистрации зачем-то запрашивается идентификационный номер паспорта, то лучше не пользоваться услугами данного сайта и поискать альтернативу“.
Одним из направлений деятельности центра является проведение разъяснительной работы по вопросам применения законодательства о защите персональных данных. Центром организовано взаимодействие с республиканскими и региональными средствами массовой информации, на постоянной основе проводятся вебинары, семинары, иные мероприятия, реализуются просветительские проекты. Например, в онлайн-марафоне по вопросам национального регулирования и организации работы по защите персональных данных приняло участие более 4,5 тысяч специалистов учреждений образования, здравоохранения, культуры, соцзащиты со всех регионов страны.
”Мы с пониманием относимся к объективным сложностям, которые могут возникать при реализации закона, поэтому уделяем внимание разъяснительной работе, – пояснил Владимир Кузуро. – Однако в случаях выявления серьезных нарушений, поступления жалоб, в рамках предоставленных полномочий мы можем провести внеплановую проверку. При подтверждении данных фактов никаких снисхождений быть не может. Есть требование закона, и любая организация обязана обеспечить защиту в реализации прав субъектов персональных данных.
Основное наше направление сегодня сосредоточено на методологическом обеспечении деятельности и разъяснении законодательства. Наш сегодняшний визит связан в том числе именно с этой функцией. Подготовлен план проверок на этот год шести организаций в республике, в их числе – представители системы жилищно-коммунального хозяйства, банка, оператор сотовой связи, крупные ритейлеры и другие. Этот перечень размещен на нашем официальном сайте. У нас нет функции кого-то наказать, тем более, что сам центр не будет привлекать к ответственности, эти решения будут приниматься, в случае необходимости, в судебном порядке. Основная функция сегодня – разъяснение законодательства и подготовка рекомендаций и разъяснений. Мы понимаем особую роль местных органов власти в организации данной работы и потому принято решение провести цикл подобных лекций“.
Разработчики Закона Республики Беларусь от 7 мая 2021 г. №99-З ”О защите персональных данных“, сотрудники центра рассказали о стандартах защиты персональных данных, правоотношениях, регулируемых законом о защите персональных данных, субъектах, на которых распространяется действие закона, мерах по обеспечению защиты персональных данных. Отдельным блоком были раскрыты вопросы обработки персональных данных в связи с трудовой деятельностью и представлен «пошаговый алгоритм» действий оператора (уполномоченного лица) для защиты обрабатываемых персональных данных. В рамках семинара эксперты также ответили на вопросы участников.
Аналогичные семинары пройдут во всех областях и столице.