Автор: Ольга Шибко

Директор Национального центра защиты персональных данных Андрей Гаев стал гостем программы ”Марков. Ничего личного“.

Онлайн-платформы, соцсети, карты лояльности магазинов всех мастей – возможных источников утечки сведений о человеке с каждым днем становится все больше. Так не станет ли утопией сама возможность защиты персональных данных? На этот вопрос в эфире программы ”Марков. Ничего личного“ на ОНТ ответил директор Национального центра защиты персональных данных Андрей Гаев.

Андрей Гаев: ”Действительно, последние десятилетия мы живем в новой информационной реальности. Все больше процессов повседневных наших переходит в виртуальную сферу. Все больше информации о нас собирается в этой цифровой среде. Наши смартфоны, социальные сети, облачные решения – они наряду с теми благами, которые мы получаем от их использования, влекут формирование общества наблюдения, когда за услуги, оказываемые нам, мы вынуждены предоставлять все больше и больше персональной информации о себе. Посещая странички в интернете, что-то анализируя, покупая, оставляя комментарии, мы оставляем цифровые следы. И если в обычной жизни, пройдя по снегу, он растаял – след уходит, то в цифровой среде все остается. Здесь все анализируется и потом используется для дальнейших целей, не всегда основанных на законе. По сути, персональные данные стали топливом для многих процессов, для продвижения товаров. Изобретаются сегодня все новые и новые способы получения информации о нас. Смотрите, когда мы скачиваем на свои смартфоны программы – например, условный фонарик. Почему-то эта программа, кем-то бесплатно предоставляемая, спрашивает информацию и просит доступ к данным нашей телефонной книги, к нашим контактам, к геолокации, к фотографиям. По существу, мы обмениваем этот сервис на информацию о себе. И часто получается так, что человек не осознает, для человека не прозрачен этот процесс сбора о нем информации. И не случайно в Конституции сейчас наряду с защитой информации о частной жизни специально выделена категория персональных данных. Государство создает условия для их защиты“.

Гаев подчеркнул, что в Беларуси созданы условия для защиты персональных данных, но многое зависит от юридических лиц и самих граждан.

Андрей Гаев: ”Национальный центр защиты персональных данных призван обеспечить защиту прав наших граждан. Но в этом деле нужны усилия всех сторон. Государство, как сказано в Конституции, создало условия для защиты персональных данных. Есть правовые нормы, есть орган, уполномоченный на защиту прав граждан. Но очень важно, чтобы сами граждане, обладатели этих персональных данных, занимали активную позицию. По сути, законодательно сегодня каждый гражданин является общественным контролером за использованием наших персональных данных, в том числе и их дальнейшего распространения. Поэтому в этих вопросах нельзя молчать. Если есть сомнения – надо спрашивать. Если есть проблема, ее необходимо поднимать либо перед Центром, либо перед оператором, в зависимости от ситуации. Каждому юридическому лицу, индивидуальному предпринимателю, обрабатывающему персональные данные, необходимо обеспечить исполнение норм закона – тех, которые предусмотрены в виде обязательных и не только. Ведь организаций много, и в законе все не напишешь. И так нормы выстроены, что с обязательными нормами дальше каждый оператор, каждое юридическое лицо должны реализовать ряд мер, которые, исходя из специфики деятельности, позволят работать с персональными данными, соблюдая букву закона. И вот когда со стороны государства, в том числе и уполномоченного органа, со стороны каждого оператора, со стороны каждого гражданина будет понимание и взаимодействия – может быть достигнут нужный эффект. И мы сделаем все возможное для того, чтобы было так“.

Подробности смотрите в программе ”Марков. Ничего личного“.

Источник: ont.by

30 декабря 2022 г. принято постановление Совета Министров Республики Беларусь № 972 ”Об изменении постановления Совета Министров Республики Беларусь от 29 апреля 2010 г. № 645“.

Среди прочих постановлением внесен ряд изменений в Положение о порядке функционирования интернет-сайтов государственных органов и организаций, которые устанавливают единообразный подход к размещению изображений граждан и персональных данных о руководителях государственных органов и организаций на их официальных сайтах.

Так, в частности:

• определен перечень должностных лиц государственных органов и организаций, информация о которых, включая их фотографическое изображение, должна быть размещена на интернет-сайте. В данный перечень включены руководители государственных органов и организаций и их заместители. На интернет-сайте размещаются наименование их должности, фамилия, собственное имя, отчество, номер служебного телефона, фотографическое изображение, а также могут быть размещены иные сведения при их согласии;
• закреплена норма, разрешающая сопровождать размещаемую на интернет-сайте государственного органа, организации информацию о новостях изображениями граждан, полученными при проведении мероприятий с участием этих органов, организаций.

Новый год – это волшебный праздник, наступления которого ждут с нетерпением и взрослые и дети. А есть особенные дети, которым нужна особая поддержка и забота. Но мечты у этих детей самые обыкновенные. Они мечтают об игрушках и сладостях, они хотят как все дети учиться, играть, быть рядом с близкими и, конечно, не болеть.

В Национальный центр защиты персональных данных пришло письмо от учащихся столичной школы № 111, где обучаются 33 ребенка-инвалида, и у всех нас появился шанс исполнить мечты этих ребят. От коллектива Центра были переданы подарки для этих деток, а также билеты на ”Главную ёлочку страны“. Были и ребята, которые по состоянию здоровья не могут посещать школу и сейчас находятся на надомном обучении. Они мечтали о компьютерных и настольных играх, а также о простом общении. Детские мечты обязательно должны сбываться. И представители Центра приехали к этим ребятам домой, поздравили их наступающими Новым годом и Рождеством, подарили им подарки и внимание.

Поддержать республиканскую благотворительную акцию ”Наши дети“ может каждый, в ней активно принимают участие организации различных форм собственности и граждане. Она проводится в поддержку сирот, ребят с инвалидностью, детей, оказавшихся в трудной жизненной ситуации, больных детей, а также учреждений образования, здравоохранения, социальной защиты.

Директором Национального  центра защиты персональных данных  утвержден план проверок соблюдения законодательства о персональных данных на 2023 год. В него включено 13 операторов.

Плановые проверки в 2023 году затронут в первую очередь операторов, которые обрабатывают большой массив персональных данных граждан Беларуси. Анализ поступающих в Центр жалоб граждан показывает, что значительное их количество касается оборота персональных данных в сфере торговли и услуг, банках и в страховых организациях. Кроме того, в плане проверок оказался один из операторов, который осуществляет масштабную обработку персональных данных несовершеннолетних.

В целом, избыточность запрашиваемых личных данных, неправомерная обработка,  неознакомление работников и клиентов с политикой, регламентирующей обработку персональных данных,  утечки – это лишь часть нарушений, допускаемых многими организациями. Такие факты фиксируются Центром, ведётся непрерывная работа по выявлению и устранению нарушений, после чего операторы во взаимодействии с Центром принимают все необходимые меры для того, чтобы  снизить риски и возможный ущерб для граждан.

Основной целью осуществления плановых проверок является контроль за обработкой персональных данных операторами и соблюдением ими мер по защите персональных данных.

Напомним, что в рамках своих полномочий Национальный  центр защиты персональных данных осуществляет контроль соблюдения законодательства о персональных данных. Реализуется он в форме плановых, внеплановых и камеральных проверок. В частности, внеплановые проверки проводятся при выявлении инцидентов, требующих необходимого оперативного регулирования.

С планом проверок соблюдения законодательства о персональных данных на 2023 год можно ознакомиться на сайте в разделе ”Контроль за обработкой“.

26 декабря 2022 г. директором Национального центра защиты персональных данных подписан приказ № 114 ”Об изменении приказа директора Национального центра защиты персональных данных от 15 ноября 2021 г. № 14“.

В перечень государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, наряду с государствами, являющимися сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года, включены также государства, являющиеся членами Евразийского экономического союза.

Активное взаимодействие государственных органов и иных организаций государств-членов Союза в экономической и социальной сферах предполагает и обработку персональных данных. Анализ законодательства стран Союза, механизмов защиты персональных данных позволяет сделать вывод о соотносимом с Республикой Беларусь уровне их защиты. В Армении, Казахстане, Кыргызстане и России приняты комплексные законодательные акты по вопросам обработки персональных данных и созданы уполномоченные органы по защите прав субъектов персональных данных.
Кроме того, Российская Федерация и Республика Армения являются сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных и ранее признаны государствами, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Приказом директора Национального центра защиты персональных данных также определены случаи, при которых разрешена трансграничная передача персональных данных, даже если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. К ним относятся:

• размещение государственными органами и иными организациями, указанными в подпункте 1.1 пункта 1 Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 ”О мерах по совершенствованию использования национального сегмента сети Интернет“, информации о своей деятельности в глобальной компьютерной сети Интернет;

Чем это обусловлено? Сегодня практика освещения деятельности государственных органов и организаций не ограничивается лишь официальными сайтами, в данной работе активно используются и иные каналы коммуникации – социальные сети и мессенджеры, что влечет за собой трансграничную передачу персональных данных.

• случаи, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

Данное дополнение позволит решить, к примеру, вопросы, связанные с трансграничной передачей нанимателями персональных данных своих работников в случаях, необходимых для реализации работниками своих трудовых функций в соответствии с Трудовым кодексом Республики Беларусь (при направлении работников в командировки, участии работников в образовательных онлайн-мероприятиях (вебинарах, конференциях и т.п.), необходимости коммуникации с контрагентами для решения вопросов, вытекающих из трудовой функции работников по вопросам заключения, исполнения договоров и т.п.).

В указанных в приказе случаях не требуется подача оператором в Национальный центр защиты персональных данных заявления о выдаче разрешения на трансграничную передачу персональных данных.

Ознакомиться с текстом Приказа можно на нашем сайте в разделе ”Национальное регулирование“, а также в банке данных ”Правоприменительная практика“ ИПС ”ЭТАЛОН-ONLINE“.

22 декабря на базе Брестской центральной городской больницы состоялся первый семинар из запланированного цикла мероприятий для медицинских работников  ”Оборот персональных данных в здравоохранении: порядок обработки и защиты“. В нем приняли участие около ста  представителей организаций здравоохранения Брестчины, в том числе специалисты, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных в учреждениях здравоохранения. В онлайн-формате к мероприятию присоединились медицинские работники из районных центров.

Активное развитие медицинских информационных систем,  спектра оказываемых медуслуг, повышение уровня их качества, – все это неразрывно связано с необходимостью принятия надлежащих мер по защите персональных данных граждан, обратившихся за медицинской помощью. Ведь они собирают и хранят персональные данные, крайне чувствительные для любого человека, – результаты лабораторных исследований, диагнозы, истории болезней.

Эксперты Национального центра защиты персональных данных рассказали об особенностях обработки персональных данных в учреждениях здравоохранения, правовых основаниях и согласии на обработку персональных данных, механизмах отзыва согласия, взаимодействии медицинских, страховых организаций и граждан в рамках договоров добровольного медстрахования, обмене персональными данными между учреждениями здравоохранения.

Отдельно обсуждены принципы и меры по обеспечению защиты личных данных. Кроме того, представлен пошаговый алгоритм действий учреждения здравоохранения  для защиты обрабатываемых персональных данных, рассмотрены вопросы организации обучения сотрудников по этим вопросам.

В рамках блиц-сессии участники семинара получили ответы на интересующие вопросы, в том числе о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, о хранении и передаче информации, содержащей данные пациентов, третьим лицам, о ведении реестра обработки персональных данных.

Аналогичные тематически семинары пройдут во всех регионах страны, а завершится цикл в г. Минске. Данный проект реализуется Национальным центром защиты персональных данных в партнёрстве с Министерством здравоохранения.

Уважаемые слушатели!

Национальный центр защиты персональных данных информирует о временном приостановлении в январе 2023 года реализации образовательных программ повышения квалификации по вопросам защиты персональных данных, технической и (или) криптографической защиты информации.

Согласно полученному из Министерства образования документу, все организации, которым законодательством предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов по профилям образования и направлениям образования, должны внести изменения в выданные им лицензии и документы, подтверждающие государственную аккредитацию по соответствующим  профилям и направлениям образования.

Реализация образовательной программы повышения квалификации руководящих работников и специалистов будет продолжена Национальным центром защиты персональных данных сразу после прохождения упомянутых процедур.

Кроме того, Центром будут приняты все возможные меры для скорейшего возобновления курсов повышения квалификации.

Все поступившие к нам заявки для обучения в указанный период успешно обработаны, а группы предварительно сформированы. Поэтому всем слушателям будут предложены ближайшие из возможных либо удобные для них даты начала обучения.

Выражаем признательность за понимание.

Национальным центром защиты персональных данных  установлены факты ”утечек“ персональных данных в  ООО ”НЛ Белинтрейд“ и ОАО ”Белгазпромбанк“.

Хакеры выложили в открытый доступ данные 41,9 тыс. клиентов Белгазпромбанка. В сети раскрыли имена, фамилии, даты рождения, адреса и номера телефонов, а также  ссылки на профили в соцсетях клиентов. Часть данных захешированы (зашифрованы).

От утечки пострадали также 85 тыс. клиентов интернет-магазина  nlstar.by,  в сети оказался дамп базы, содержащий  следующие данные: ФИО, номера телефонов, серия и номер паспорта, e-mail, город, дата рождения.

По указанным фактам в настоящее время Центром проводятся проверки.

В этой связи Центр рекомендует сменить логины и пароли от аккаунтов соответствующих интернет-ресурсов:

• https://nlstar.by
• https://belgazprombank.by

Центр напоминает: любая организация, которая в своей деятельности обрабатывает персональные данные, обязана предпринять комплекс правовых, организационных и технических мер, направленных на их защиту.

В случае нарушения систем защиты персональных данных операторам необходимо незамедлительно, но не позднее трех рабочих дней уведомить Центр о произошедшем инциденте.

Требования к форме и содержанию уведомления установлены пунктом 2 приказа директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях системы защиты персональных данных“.

9 декабря Национальным центром защиты персональных данных Республики Беларусь и Комиссаром по информации общественной важности и защите персональных данных (Республика Сербия) подписано Соглашение о сотрудничестве в сфере защиты прав субъектов персональных данных.

Стороны, будучи убежденными в необходимости развития прочных и долгосрочных основ для сотрудничества в сфере защиты персональных данных, имея целью развитие данной сферы в Беларуси и Сербии на принципах взаимного уважения и партнерства, договорились взаимодействовать по вопросам, связанным с осуществлением деятельности в сфере защиты прав субъектов персональных данных.

Подписывая Меморандум, директор Национального центра защиты персональных данных Андрей Гаев подчеркнул, что особую ценность в рамках партнерства и взаимодействия Национального центра и уполномоченного органа по защите персональных данных Республики Сербия будет иметь практический положительный опыт по решению актуальных проблем защиты персональных данных граждан, затрагивающий весь комплекс вопросов, связанных с защитой данных, совершенствованием национального законодательства в этих направлениях и организацией взаимодействия регуляторов и операторов.

”Право человека на защиту личной информации является одним из основополагающих. В условиях активного трансграничного взаимодействия общая задача всех стран  –  обеспечение защиты персональных данных граждан.  Нам интересен опыт наших партнёров. Законодательство Сербии в этой сфере развивается, и в ноябре 2018 года Республика Сербия приняла Новый Закон о защите персональных данных. В свою очередь, Национальный защиты персональных данных готов делиться своими наработками в части организации работы с операторами и уполномоченными лицами, а также обучения профильных специалистов в сфере защиты данных“ –  отметил Андрей Гаев.

15 декабря 2022 года состоится вебинар ”Персональные данные: беречь, нельзя терять. Чек-лист для оператора/уполномоченного лица“.

Лекторы – сотрудники Национального центра защиты персональных данных и разработчики Закона о защите персональных данных, методологических документов и рекомендаций.

В рамках своих функций Национальный центр защиты персональных данных осуществляет методологию защиты персональных данных, а также контроль за обработкой персональных данных операторами, рассматривает жалобы граждан в случае нарушения прав, свобод и законных интересов субъектов персональных данных.

Также Центром проводится мониторинг интернет-ресурсов в целях установления фактов незаконного распространения персональных данных и анализ поступающих обращений, проблемных вопросов и ситуаций, возникающих на практике.

Предлагаем разобрать типичные нарушения и ошибки операторов, прежде всего для того, чтобы не допускать их в своей работе.

Кроме того, совсем недавно мы анонсировали, что Национальным центром защиты персональных данных подготовлены Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных. На практике возникает много вопросов о правовом положении операторов и уполномоченных лиц, характере их обязанностей, степени ответственности, требованиях к наличию правовых оснований для обработки персональных данных субъектов персональных данных.

Специально для вас подготовили новый практико-ориентированный тематический вебинар ”Персональные данные: беречь, нельзя терять. Чек-лист для оператора/уполномоченного лица“.

В программе вебинара:

• уникальный материал, практические кейсы;
• реализация мер по обеспечению защиты персональных данных в организации;
• рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных;
• разбор типичных нарушений операторов в работе с персональными данными;
• анализ конкретных случаев;
• чек-лист ”Как избежать ошибок в сфере защиты персональных данных?“;
• внутренний аудит соблюдения требований законодательства о персональных данных.

По вопросу участия в вебинаре можно связаться по телефонам + 375 17 367-02-46, +375 17 367-02-44.

Всем участникам выдается именной сертификат, а также предоставляются рекомендации, методологические документы, формы документов и презентации в удобном для скачивания формате.

Подробности и шаблон заявки для участников в разделе ”Образовательные услуги“.