Современные технологии способствуют тому, что люди все чаще общаются и решают множество рабочих и личных вопросов не во время встреч и даже не посредством звонков, а путем переписки и передачи информации в мессенджерах. Это удобно, быстро и позволяет одновременно решать много задач, однако нужно помнить, что часто невозможно выяснить, на каких серверах будет находиться то, что попало таким образом в сеть. Поэтому нужно следить за защитой персональных данных и искать разумный баланс между соблюдением прав людей и распространением определенной информации о них, отмечают в Национальном центре защиты персональных данных (НЦЗПД). В этом году сюда с жалобами обратилась почти тысяча человек, кто не смог найти взаимопонимание с операторами, занимающимися обработкой личной информации.
Через закон, учебу и общие усилия
В центре выделяют три основные сферы, по которым поступает большинство жалоб от граждан. Треть обращений касается деятельности организаций собственников (садовых, жилищно-строительных товариществ, дачных потребительских кооперативов, товариществ собственников). Люди жалуются на незаконное размещение информации об их задолженности по членским взносам на территории таких организаций: информационных стендах, подъездах, столбах. Сведения о несвоевременных плательщиках появляются также в интернете, чатах и мессенджерах.
Такой же объем жалоб поступает и на сферу торговли: организации торговли и интернет-магазины. Белорусы заявляют о незаконном распространении рекламы с помощью телефонов или электронной почты без согласия их владельцев, об утечках персональных данных и их чрезмерной обработке (в основном при реализации программ лояльности). Так, собираются копии документов, требуются данные о членах семьи.
Около 10% жалоб касается использования системы видеонаблюдения в рабочих кабинетах или комнатах для приема пищи и отдыха, а также во врачебных кабинетах во время приема пациентов.
Государством созданы все условия для защиты персональных данных (ПД): существует правовая база, уполномоченный орган, который призван помогать защищать права, разработана необходимая методология, инструменты работы с личными данными людей. Комплексная деятельность многих структур должна дать положительный эффект в деле защиты личных данных белорусов. Однако противостоять незаконной обработке ПД силами отдельных специалистов, даже если их будет много, невозможно. Важно, как законодательство О персональных данных будет применяться каждым оператором и каждым из людей, подчеркнул Андрей Гаев, директор НЦЗПД:
— Одна из основных задач центра — организация обучения лиц, отвечающих за внутренний контроль за обработкой ПД, а закон О защите персональных данных призван снизить возможности нарушить законодательство, прежде всего путем доступа посторонних лиц к личным данным людей. Важно понимать, что персональные данные — ценный актив, который нуждается в такой же защите, как и материальные активы организации. Недостаточно пристальное отношение к работе с ПД, несоблюдение мер по их защите могут повлечь несанкционированный доступ к информации, ее утечку и распространение.
Отдельные операторы направляют на обучение в Центр исключительно лиц, ответственных за внутренний контроль за обработкой ПД, однако следует обучать также тех, кто отвечает за внедрение новых бизнес-процессов и продуктов, а также работников, занимающихся масштабной обработкой ПД.
— В большинстве внедрение операторами новых инициатив осуществляется без их предварительного «аудита» лицами, отвечающими за осуществление внутреннего контроля за обработкой ПД, а собственных знаний руководителей, отвечающих за внедрение нового продукта, недостаточно, — обратил внимание директор НЦЗПД. — В результате выполнение требований центра об устранении нарушений законодательства о ПД сочетается с корректировкой, а в ряде случаев — и с концептуальной переработкой бизнес-процессов.
Сейчас происходит эволюция проблем, которые интересуют слушателей курсов Центра. Сначала людей интересовали общие методологические вопросы применения закона (правовые основания для обработки ПД, сфера действия закона, само определение «персональные данные»). Сейчас специалисты, которые приходят на обучение, интересуются применением закона в узких ситуациях касательно конкретных бизнес-моделей, например, расчета и продажи скорингового балла, использования видеонаблюдения с функцией распознавания лиц, порядка привлечения к ответственности уполномоченных лиц из других государств, где не обеспечивается должный уровень защиты ПД, уточнил Андрей Гаев.
Снимать, но не подсматривать
Актуальные вопросы, с которыми центр сталкивается сегодня, касаются видеонаблюдения, которое внедряется в самых разных сферах жизни. Люди часто считают непропорциональной обработку персональных данных, когда в офисах размещаются камеры, поделился директор Центра:
— Действительно, нужно подходить к установке видеонаблюдения, исходя из соразмерности собираемой информации о работниках, потому что видеонаблюдение в рабочих процессах допустимо, если есть риски, связанные с условиями труда. Например, если необходимо обеспечить защиту материальных ценностей (кассиры в банках, сотрудники почтовых отделений, люди, работающие с материальными ценностями на складах). При этом зона охвата камер должна быть направлена прежде всего на пространство, доступное для всех лиц, а не только на рабочее место сотрудников (вход и выход из здания, коридоры, холлы и прочее).
Допустимо видеонаблюдение и когда идет большой поток граждан во время приемов. Однако здесь также должна быть выдержана разумная граница. Стало поступать, например, много нареканий от пациентов на обоснованность осуществления съемки в учреждениях здравоохранения. Человек на приеме и осмотре находится в уязвимом положении, и установленная видеокамера не вписывается в правовое поле. Принимать пациентов с организацией видеонаблюдения в такой ситуации возможно. Однако при этом должна обеспечиваться такая организация съемки, чтобы процессы, связанные с обработкой чувствительной информации о пациенте (если человек обнажен или с ним проводятся какие-то манипуляции), были за пределами действия камер, уточнил Андрей Гаев.
— Беспокоят людей и действия соседей, которые на дверях своих домов и квартир устанавливают камеры, в поле зрения которых входит осмотр дверей соседей, и это также является непропорциональной обработкой персональных данных и вмешательством в личную жизнь человека. Такая обработка незаконна, так как внутри квартиры человек может осуществлять съемку, но ведь если она затрагивает действия и жизнь других лиц, то на такие вещи необходимо получение согласия человека.
Волнуют белорусов также моменты, связанные с распространением информации о конкретном человеке в социальных сетях: кто и имеет ли право на распространение такой информации, на каком основании. В целом на это должно быть согласие того лица, изображение которого помещено на определенном фото, за исключением случаев, когда такая обработка допускается, например, в деятельности журналистов и ряде других.
Интернет-кредит
В этом году Центр акцентировал внимание на работе с операторами, которые накапливают множество информации с помощью сети, в частности с интернет-магазинами. Злоумышленников интересуют базы данных, где содержатся паспортные данные, пароли, адреса электронной почты и прочее. Поэтому специалисты НЦЗПД объясняют работникам интернет-ресурсов, что подход в их работе должен быть направлен на минимизацию перечня личных сведений о людях — собирать только ту информацию, которая необходима для достижения заявленной цели обработки ПД.
Одна из жалоб на интернет-магазин касалась отказа ресурса в продаже человеку мобильного телефона в рассрочку, так как он не захотел предоставить интернет-магазину контакты своих работодателей и коллег. В ходе проверки центр выяснил, что такие данные продавец использовал для проверки информации о месте работы покупателя с помощью телефонных звонков, рассказали в НЦЗПД:
— Такие действия не ведут к получению документально подтвержденной информации о достоянии субъекта персональных данных и трудовой деятельности, которую он осуществляет, а также предусматривают раскрытие нанимателю и коллегам покупателя сведений о намерении приобрести товар в рассрочку. Правовых оснований для получения от клиента персональных данных других лиц нет, так же как и представления такой информации нанимателем по телефону.
С учетом этого интернет-магазину было поручено исключить такую практику и использовать иные предусмотренные законодательством источники информации для проверки сведений о покупателях: кредитный реестр, реестр индивидуальных лицевых счетов застрахованных лиц в системе индивидуального (персонифицированного) учета в системе государственного социального страхования.
Обмен личными данными внутри страны и за рубежом
Актуальна и тематика, связанная с трансграничной передачей данных. Наши организации взаимодействуют со своими партнерами за рубежом. Соответственно, это влечет за собой обмен информацией как о сотрудниках, так и о клиентах. И Центр однозначно требует, чтобы уполномоченное лицо, которое, например, привлекается отечественной компанией для оказания услуг, связанных с ведением информационного ресурса и его поддержкой, выполняло требования, установленные нашим законодательством, чтобы уровень защиты ПД на той стороне был не меньше, чем в Беларуси. И чтобы белорусские организации привлекали в качестве уполномоченных лиц только те организации, которые соответствуют этим критериям, сообщил Андрей Гаев:
— Жалобы, имеющие социальную роль, если заявителей беспокоит незаконная передача (продажа) персональных данных от одного оператора к другому с целью оценки потенциальных клиентов (так называемый скоринг-балл), редки, но ведь существуют. Например, банки пользуются информацией, предоставляемой операторами электросвязи о платежах за услуги связи.
По каждой обоснованной жалобе центр выносит операторам требования изменить, блокировать или удалить недостоверные или полученные незаконным путем ПД, а в отдельных случаях направляет материалы в правоохранительные органы для привлечения виновных к ответственности.
Источник: издание «Звязда»
