По словам нашего собеседника, защитой персональных данных в Беларуси занимаются давно, существует закон о защите информации №455-З. Сейчас именно этот документ предъявляет требования к защите информации и информационных систем.

Понятие персональных данных, в свою очередь, в Беларуси определено в законе «О регистре населения» (8-я и 10-я статья, которые описывают основные и дополнительные персональные данные), пояснил Антон Грецкий.

«Законодательство в области защиты информации трансформируется с изменением среды, в которой мы существуем. Понятно, что информационное общество, информатизация десять лет назад и сегодня — это совершенно разные вещи».

В качестве примера эксперт напоминает о кнопочных мобильниках прошлого и нынешних смартфонах, позволяющих совершать покупки (и, как следствие, вовсю собирающих персональные данные).

Объем персональных данных вырос, одновременно возникают новые механизмы мошенничества и необходимость обезопасить себя от них. «Имена, фамилии, номера телефонов, реквизиты банковских карт, новые способы получить доступ к этой информации. Получив их, можно действовать от вашего лица: украсть, условно, ваши деньги или от вашего лица совершать противоправные действия».

В законе описаны процедуры обработки, хранения, удаления персональных данных, а также получение согласия на их обработку. «Ведь я могу использовать ваши персональные данные, сославшись на то, что вы мне их предоставили. Именно поэтому вы должны точно понимать, предоставляли ли вы их», — поясняет Антон.

Также документ описывает процедуры безопасного пути для «путешествующих» персональных данных — ведь потенциальные угрозы имеются на каждом шаге (получение, передача, хранение и так далее). Эти действия, обеспечивающие безопасность работы с персональными данными, и есть основное требование закона.

Кому польза?

«Заработает принцип минимизации. Я сталкивался с ситуациями, когда при каких-то покупках интернет-магазин собирает слишком много данных. Например, я не хочу, чтобы у меня, когда это не нужно, брали мой мобильный телефон, номер паспорта или место работы.

То же касается рекламных рассылок. Вы сможете позвонить и уточнить: вы где-то взяли мой номер телефона. Откуда? Вы можете до конца добиваться информации о том, каким способом этот вид персональных данных был получен. Если он был получен не в соответствии с законом, то кто-то нарушил его и должен будет ответить».

Как рассказал Антон, человек сможет ознакамливаться с той информацией, которую о нем собирают, какие источники и для чего. Один раз бесплатно, потом — за деньги. Информацию можно будет удалить, если подобное не противоречит законодательству (понятно, что налоговая вас по вашей просьбе не забудет).

Предусмотрено ли наказание за разглашение персональной информации?

«Пока закон не вступил в силу, назвать точные цифры не могу. Отвественности будет три: штрафы, запрет заниматься определенной деятельностью и, в исключительных случаях, — уголовная ответственность. Есть соотвествующие статьи Гражданского и Уголовного кодексов, связанные с киберпреступлениями».

Исключения

«В документе упоминается разыскная, оперативная и подобная деятельность. Также случаи, когда собрать персональные данные необходимо, а физически получить согласие невозможно. Например, если человека забрали после ДТП, он не в состоянии сообщить о себе информацию. Подобная практика принята во всем мире».

Кого коснется закон?

Появится понятие «оператор». «Это государственный орган, физическое лицо, индивидуальный предприниматель и так далее, который самостоятельно или совместно с указанными лицами осуществляет одно или несколько действий с персональными данными — сбор, обработку, распространение, предоставление, хранение, удаление и так далее. Операторы будут действовать в рамках закона и описанных в нем процедур. У нас он, в первую очередь, коснется огромного количества официальных интернет-магазинов — их обязуют следовать правилам с момента вступления закона в силу».

Очевидно, что будут определенные процедуры контроля операторов, в том числе сравнение того, что они хранят в действительности и о чем заявляют. «Предоставление недостоверной информации будет наказываться — нельзя обрабатывать данные ста человек, а предоставить от 50. Так не получится».

Подпадают ли под него иностранные компании?

«Этот закон не имеет экстерриториального действия, то есть регулирует процедуры, связанные с обработкой персональных данных, на территории Беларуси юридическими и физическими лицами, которые зарегистрированы на территории нашей страны. То есть мы не можем требовать от тех же сервисов Google исполнения этого закона — представительства в Беларуси у них нет.

Что касается пользователей, каждый сам для себя решает: не устраивает политика Apple касательно твоих персональных данных — можете не пользоваться».

Может ли возникнуть ситуация, как в России: хотите работать на территории Беларуси — храните данные здесь?

«Беларусь может требовать от юридических лиц, зарегистрированных где угодно, исполнения локального законодательства. Другой вопрос — надо ли это компаниям. Есть те, которым местный рынок интересен, и они проходят необходимые процедуры регистрации и сертификации, другие перспектив здесь не видят и не считают нужным тратить ресурсы».

Может ли закон использоваться как заградительный инструмент?

«Хочу сразу развеять миф в части информационной безопасности. Поверьте, регулятор действительно помогает и идет навстречу в сложных ситуациях. Поверьте, цель этого закона — упорядочить, обезопасить жизнь в сети и сделать ее комфортной».

Требования к персональной обработке данных несложные. Поставьте возрастные ограничения на товары, если они требуются, сделайте понятную процедуру получения и отзыва согласия (на сбор персональных данных), определите цель, для которой вы будете их собирать. Определите порядок их сбора, хранения и удаления и соблюдайте их. Здесь, к слову, будет работать принцип «достаточности сбора информации» — вы не можете собирать данные избыточно.

С одной стороны, пользователям этих ресурсов будет спокойней и проще жить. С другой стороны, компании, которые допустят утечку персональных данных, потом будут отвечать, в том числе в суде. То есть они будут заинтересованы обеспечить сохранность данных под угрозой финансовых и репутационных рисков.

«Нет задачи ставить барьеры, есть задача уменьшить количество проблем и преступлений.

Теоретически, любой закон при наличии злого умысла можно пытаться использовать „неправильно“. Но не это было целью людей, которые создавали документ. Он долго рождался, его отсылали экспертам, выслушивали предложения, он переписывался много раз. Это был технически сложный процесс.

Я уверен: если оператор выполнит все требования закона, закажет аудит, который все проверит и компетентно подтвердит, что вы соответствуете требованиям, в любом суде можно компетентно доказать свою правоту», — убеждает Антон.

— Потребуется ли внесение в инфраструктуру значительных изменений — не дорого ли это для бизнеса?

— Больших затрат не будет. Компании, которые соответствуют требованиям белорусского законодательства, должны будут организовать или доработать процессы, прописанные в законе. Да, деньги потребуются — на доработку и компетентных специалистов, на юридическую консультацию. Но это подъемно для любого бизнеса — малого и среднего.

Сложности при написании закона

Вероятно, закон выглядит по-разному с точки зрения его разработчиков и людей «извне». Необходимо было совместить две точки зрения, что непросто.

«Кроме того, имеется новый закон о персональных данных и существует иное законодательство, которое оперирует своими нормами. Нужно имплементировать новый документ в существующую среду.

Я соглашусь с тем, что обезопасить что-либо полностью нельзя, это попросту нереально. Но можно максимально затруднить достижение злоумышленником поставленной им цели», — делится Антон.

Несколько вопросов, которые могут возникнуть после принятия закона.

1. Если я требую удалить данные откуда-то, но это не позволит получать услуги (например, при покупке где-то я оставлял согласие, которое теперь отзываю), какие-то уведомления об этом будут?

«Сторона, которая обрабатывала ваши персональные данные и, используя их, оказывала вам услугу, уведомит вас о том, что ваши персональные данные удалены и получение услуги больше невозможно, так как для ее оказания они необходимы. Цель указывается при получении согласия о сборе».

2. Срок хранения данных будет оговариваться? Хранение данных на серверах может вылиться в копейку.

«Период хранения персональных данных — это период, в течение которого вы оказываете услугу. Если в вашем интернет-магазине клиент уже пять лет покупает товар, то вы обязаны хранить необходимые данные на протяжении всего срока работы с этим клиентом. Есть также требования отраслевых законов. Допустим, информация о банковских операциях должна находиться в оперативном хранении не менее года. Исполняя требования закона о персональных данных, вы не должны нарушать требования иных нормативных правовых актов».

3. Вопрос касательно сервисов платных подписок, когда сотовые операторы предоставляют данные пользователя третьи лицам: окажутся ли они вне закона?

«Нет. Предоставление персональных данных третьим лицам для оказания услуг также регламентируется. И предъявляются требования ко всем операциям с персональными данными».

4. Вопрос «холодных» продаж по телефону, когда непонятные люди якобы берут номера из каких-то потаенных баз в интернете, звонят и предлагают купить подушку.

«Они нарушают закон, так как согласие на обработку ваших персональных данных (хранение номера вашего телефона) они не получали. Также нарушают закон те, кто предоставил им ваши персональные данные или сформировал эти „потаенные базы“, которые содержат данные, собранные без вашего согласия».

Читайте также:

• Можно ли передавать кассиру карту? Почему магазины не любят 3D Secure? Ликбез
• Белорус собрал коллекцию из сотен старых мобильников, но решил от нее избавиться. Узнали почему

Библиотека Onliner: лучшие материалы и циклы статей

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by