Все чаще появляется информация об утечке персональных данных клиентов банка, или интернет-магазина, или крупной розничной торговой сети. Недавно стало известно, что в общий доступ попала часть информации почтового сервиса mail.ru — примерно о 3,5 млн пользователей, в том числе живущих в Беларуси. И это никак не связано с беспечностью тех, кто завел соответствующий почтовый ящик. Инцидент рассматривается на уровне Национального центра защиты персональных данных Республики Беларусь. Именно эта структура и контролирует сохранность личных сведений о работниках на предприятиях, и принимает меры по предупреждению нарушений законодательства в данной сфере.
СПРАВКА
Основные права субъектов персональных данных закреплены в законодательстве:
— право на получение информации, касающейся
обработки ПД;
— право требовать внесения изменений в ПД;
— право на получение информации о предоставлении ПД третьим лицам;
— право требовать прекращения обработки ПД и (или) их удаления;
— право на отзыв согласия на обработку ПД;
— право на обжалование действий (бездействия) и решений оператора,
связанных с обработкой ПД;
— право на возмещение морального вреда.
БАЛАНС ИНТЕРЕСОВ
Как уточнил директор центра Андрей Гаев на встрече с журналистами в Национальном пресс-центре Республики Беларусь, сегодня основная задача — обеспечение баланса интересов тех, кому чужие персональные данные (ПД) нужны в силу профессиональных, коммерческих или иных потребностей, и тех, кому эта информация принадлежит непосредственно. Поэтому центр занимается предупреждением нарушений, контролем соблюдения законодательства, обучением.
— Можно с уверенностью сказать, что на данном этапе создана вся необходимая методологическая база для того, чтобы нормы Закона о защите персональных данных применялись на практике, — сообщил Андрей Гаев. — Существуют алгоритмы решений, образцы документов. Они собраны в так называемый портфель оператора. Для граждан много информации размещено на наших официальных ресурсах в интернете. Там собраны ответы на вопросы, связанные с тем, как наладить должным образом работу по защите ПД в организации, как гражданам реализовать свои права. Кроме того, центр проводит обучающие курсы. Важное направление нашей деятельности — контрольные мероприятия.
Кстати, субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке ПД, вправе направить в Национальный центр защиты персональных данных жалобу на действия того или иного оператора — юридического лица, предпринимателя. В прошлом году сотрудники центра провели более 60 проверок, рассмотрели 100 жалоб как от граждан, так и от организаций. По всем проверочным мероприятиям даны предписания или рекомендации. Проверочные мероприятия начались с апреля.
В 2022 году проведено шесть плановых, семь внеплановых проверок и около 50 — без выезда к местам фактической деятельности операторов либо уполномоченных лиц. В 13 случаях материалы направлены в органы внутренних дел для привлечения виновных к установленной законодательством ответственности.
Андрей Гаев сообщил, что, как только начнется плановая корректировка Кодекса об административных правонарушениях и Процессуально-исполнительного кодекса об административных правонарушениях Республики Беларусь, будет инициировано предложение о наделении сотрудников центра правом составлять протоколы для последующего рассмотрения их судами.
— Центр не ставит своей задачей привлекать к ответственности. В каждой конкретной ситуации мы разбираемся, изучаем меры, принятые по охране персональных данных, — подчеркнул руководитель. — Регулярно проводится мониторинг, в ходе которого в сети выявляются незаконно (по неосторожности или похищенные для продажи) распространенные массивы информации. Мы принимаем меры по их удалению.
ТИПИЧНЫЕ НАРУШЕНИЯ
Они связаны в первую очередь с нереализацией либо неполной реализацией операторами обязательных мер, предусмотренных статьей 17 Закона о защите персональных данных. В соответствии со статьей 16 этого документа на операторов возложены обязанности уведомлять Национальный центр о нарушениях.
К утечкам приводит пренебрежение внутренними регламентами при работе с конфиденциальной информацией. Например, нарушение порядка доступа к персональным данным, в том числе ознакомление с ними тех лиц, которые на это прав не имели, технические сбои в информационных системах, в частности в результате внешнего воздействия, повлекшего за собой потерю персональных данных, их целостности или достоверности. Также имели место утраты внешних носителей либо документов, содержащих ПД. Официально в 2022 году в центр было направлено 12 таких уведомлений. Но распространение ПД фиксировалось гораздо чаще. В основном такие инциденты затрагивали сферу торговли, где операторы оказывали услуги через интернет и вели при этом свои базы данных.
Чаще всего в сеть попадают фамилии, имена, номера телефонов, адреса места жительства и электронной почты, реквизиты для авторизации в информационных системах. В качестве примера значимых утечек за прошлый год названы факты распространения сведений о более 630 тыс. клиентов торговой сети «Соседи» и свыше 140 тыс. — «Острова чистоты и вкуса», а также оператора доставки еды just-eat.by (230 тыс.), базы данных РУП «Национальный центр маркетинга и конъюнктуры цен» (более 55 тыс.). В конце прошлого года стали общедоступными персональные данные около 42 тыс. клиентов «Белгазпромбанка».
ВСЕ СЕРЬЕЗНО
Какие могут быть последствия? Зная логин и пароль либо адрес электронной почты человека, несложно получить доступ к его личной информации, к переписке в социальных сетях, в отдельных случаях — к банковской информации. Эти сведения могут быть использованы злоумышленниками, например, для звонков от фиктивных служб безопасности банков.
Как только центр получает информацию о фактах открытого доступа к личным данным, он должен подтвердить, что это действительно достоверные сведения, затем вынести требование оператору о скорейшем информировании субъектов ПД о случившемся и направлении им рекомендации изменить реквизиты для входа в систему либо логины, пароли. Также центр обращается к владельцам соответствующих интернет-ресурсов, где опубликована такая информация, с просьбой ее изъять. За прошлый год удалось ликвидировать более 1,5 млн записей, попавших в открытый доступ. При этом многие приходилось удалять неоднократно, например в случае с оператором экспресс-доставки CDEK Global — 24 раза.
В соответствии со статьей 19 Закона о защите персональных данных лица, виновные в его нарушении, несут дисциплинарную ответственность. Например, согласно пункту 10 статьи 47 Трудового кодекса Республики Беларусь трудовой договор с работниками может быть прекращен в случае несоблюдения ими порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления или удаления персональных данных. Статьей 23.7 Кодекса об административных правонарушениях предусмотрена административная ответственность. В зависимости от состава правонарушения возможен штраф до 200 базовых величин.
Уголовная ответственность установлена за незаконные действия в отношении информации о частной жизни и персональных данных (статья 2031 Уголовного кодекса Республики Беларусь) и за несоблюдение мер обеспечения защиты персональных данных (статья 2302 УК РБ). Также в соответствии со статьей 19 Закона о защите персональных данных возможно возмещение морального вреда. Оно осуществляется независимо от компенсации имущественного вреда либо понесенных убытков.
Начальник управления контроля и аудита Национального центра защиты персональных данных Владимир Кузуро отметил, что в план проверок соблюдения законодательства о персональных данных на 2022 год были включены только шесть операторов, в 2023-м их будет уже 13. В первом полугодии прошлого года центр фактически приостановил свои контрольные функции по проведению плановых и внеплановых проверок. Тем самым операторы получили дополнительное время для адаптации бизнес-процессов к требованию нового законодательства.
В план проверок на 2023 год включены операторы, которые обладают значительными массивами ПД жителей Беларуси (сферы торговли, услуг, в том числе банковские, страховые организации). Также в поле зрения — один из операторов, осуществляющих масштабную обработку персональных данных несовершеннолетних.
— Никакого секрета из этого не делается. План проверок размещен на официальном сайте Национального центра защиты персональных данных. Уведомления об их проведении направлены операторам, — подчеркнул Владимир Кузуро.
Закон устанавливает так называемый риск-ориентированный подход. Его суть проста: каждый оператор исходя из своих бизнес-интересов самостоятельно определяет перечень мер по обеспечению защиты обрабатываемых ПД с учетом требований, установленных законодательством.
ЧТО ВНУТРИ?
Инициативы Национального центра находят поддержку. Например, со стороны Министерства труда и социальной защиты, которое внесло изменения в Единый квалификационный справочник должностей служащих: он дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных. Это новшество вступило в силу 19 января 2023 года. Теперь к такому работнику предъявляются требования по организации комплекса мер по защите персональных данных, порядку их обработки, организации соответствующей контрольной деятельности, а также на него возлагаются информационно-образовательные функции.
Представители центра обратили внимание на то, что около 80% работы по контролю за обработкой персональных данных имеют юридическую составляющую, поэтому неверно возлагать эти функции на тех, кто непосредственно обрабатывает персональные данные, в частности на работников кадровых служб. Желательно, чтобы это был юрист, вторым может быть сотрудник, отвечающий за безопасность сетей, работу с информационными ресурсами и т.п.
В соответствии с законом требуется также определить документы, четко описывающие процессы обработки персональных данных в организациях, т.е. политику. Таким образом, формулируются требования к технической, криптографической защите информации с указанием, кто и к каким видам ПД имеет доступ. Это скрупулезный процесс. Специалисты центра рекомендуют оформить специальный реестр, что позволит структурировать бизнес-процессы, при которых обрабатываются ПД, соотнести их с ответственными за обработку этой информации.
Некоторые категории работников обязаны пройти соответствующее обучение в центре, а абсолютное большинство — в самих организациях. Начальник управления образовательных услуг и связей с общественностью Национального центра защиты персональных данных Ирина Близнюк уточнила:
— У нас должны и могут обучаться сотрудники, ответственные за внутренний контроль обработки персональных данных в организации, и те, кто непосредственно им занимается. В соответствии с законодательством курсы необходимо посещать не реже одного раза в пять лет. Обучение по вопросам технической и криптографической защиты информации обязательно не реже одного раза в три года.
ПЛАНЫ
Время для адаптации бизнеса и иных процессов в организациях закончилось. Количество контрольных проверок в 2023 году увеличится вдвое.
На повестке — работа над актуальными темами, например в части трансграничной передачи данных о белорусских гражданах, поскольку это влечет определенные риски и может случиться так, что во взломанных базах за рубежом окажутся сведения о белорусах. Также изучаются вопросы, связанные с организацией видео-наблюдения. Сегодня этот процесс доступен как технически, организационно, так и финансово. Во многих случаях видеонаблюдение — это благо, поскольку способствует сохранности имущества, здоровья и т.д. Тем не менее, есть и другая сторона: в кадр попадают те, кто не желает этого. Иногда бывает так, что людей не предупреждают о видеонаблюдении, например в случае размещения видеокамер на стенах и в подъездах жилых домов. Безусловно, установка таких систем позволяет обеспечить порядок на территории, а родителям — видеть, что происходит с детьми. Но, с другой стороны, эта же информация дает возможность отследить перемещения того или иного человека, его спутников, имущества. Из этого складывается поведенческая модель, что может отразиться на защите частной жизни.
Поэтому необходимо урегулировать эти вопросы как на законодательном уровне, так и организационно, чтобы не остановить цифровизацию и в то же время не допустить чрезмерного вмешательства в личное пространство. Сегодня нормативными правовыми актами урегулированы только отдельные аспекты осуществления видеосъемки, видеонаблюдения. Поэтому ко второму чтению в Палате представителей Национального собрания Республики Беларусь готовится проект закона, предусматривающий корректировку Гражданского кодекса Республики Беларусь именно в отношении этих нюансов.
Еще один тонкий вопрос, над которым работают специалисты центра, — биометрические сведения, особенно в отношении несовершеннолетних.
В ряде учреждений образования устанавливают устройства, обеспечивающие проход в здание через считывание узора радужной оболочки глаз, что относится к чрезмерной обработке данных. Если такая информация будет украдена, то последствия ее несанкционированного использования могут оказаться плачевными. Это можно было бы делать более традиционными способами (пропускная система, карта учащегося и т.п.). В отличие от номеров паспорта, телефона все, что связано с уникальными физическими признаками человека, актуально в течение всей его жизни. Кстати, установка нанимателем пунктов и средств, обеспечивающих вход сотрудников в здание с помощью считывания их отпечатков пальцев, тоже считается чрезмерной обработкой данных.
В сфере интересов центра — и предотвращение избыточного сбора согласия сотрудников предприятий.
— Согласие должно носить только свободный информированный характер. В трудовых отношениях его не может быть в силу неравного положения работника и нанимателя. Бывают случаи, когда происходит подмена понятий, порождается бумаготворчество, появляются дополнительные возможности для использования личной информации в последующем, в том числе с нарушением законодательства, — уточнил директор центра.
В 2023 году центр продолжит заниматься удалением незаконно распространяемых данных, проводя мониторинг интернет-ресурсов, в том числе зарубежных.
Андрей Гаев призвал всех быть бдительными и изучить Закон о защите персональных данных. Мошенники сегодня хорошо осведомлены о происходящих изменениях на правовом поле и пытаются использовать их в своих целях. Например, в прошлом году в центр была направлена информация о том, что злоумышленники представлялись работниками Национального центра защиты персональных данных, которые якобы осуществляют контрольную функцию и разбирательство по фактам мошеннических действий. Однако на самом деле центр не имеет таких полномочий, поэтому не занимается расследованием фактов мошеннических действий, в том числе с банковскими операциями. Это относится к компетенции органов внутренних дел.
Подводя итог, Владимир Кузуро подчеркнул:
— Граждане имеют права, закрепленные законодательством, в отношении обработки персональных данных. В связи с этим, на мой взгляд, каждый сам мини-контролер его соблюдения. Очень важно, чтобы изменилось отношение к персональным данным. Надеюсь, мы создадим стройную систему их защиты в Беларуси, а Национальный центр сыграет в этом важную роль.
ФОТО предоставлены Национальным пресс-центром Республики Беларусь