Закон о персональных данных: что это значит для бизнеса и интернет-пользователей
Закон «О защите персональных данных» вступил в силу в ноябре. Однако ни компании, ни интернет-пользователи не получили ясного представления, что же новый закон изменит на практике. Поговорили на эту тему с Александром Янковским, инженером по информационной безопасности hoster.by.
Как бизнесу понять, соблюдает ли он закон о персональных данных
— Сначала нужно разобраться, какие данные пользователей вы собираете, обрабатываете или храните. Обезличенная телефонная база, к примеру, не будет подпадать под определение персональных данных. А вот если рядом с номерами телефонов есть ФИО и адреса доставки товаров, то это уже совсем другая история. Персональными данными является любая информация, с помощью которой можно идентифицировать физическое лицо, либо которая относится к уже идентифицированному человеку.
Если вы определили, что все же работаете с персональными данными, проанализируйте, нужен ли вам именно такой объем данных, сколько их целесообразно хранить, как именно они собираются и хранятся в настоящий момент. Возможно, вы поймете, что от каких-то данных можно отказаться, и это может освободить вас от необходимости соблюдать требования нового закона.
Если без персональных данных не обойтись, то назначьте ответственного. Это и упростит вашу дальнейшую работу, и сразу закроет одно из требований, необходимых для выстраивания новых процессов. Обычно эту функцию возлагают на юриста компании.
Цитата
Текущая версия закона не дает однозначного ответа, являются ли персональными данными IP-адрес или, например, рекламный идентификатор пользователя. Прямого указания на это нет, хотя по международным стандартам эта информация должна быть также защищена.
В общем виде порядок технических и организационных действий в случае работы с персональными данными такой:
- назначить ответственного за работу с персональными данными;
- описать регламенты работы с ними, в том числе определить порядок доступа к данным;
- провести ряд мероприятий для аттестации информационной системы;
- обучить персонал;
- для тех компаний, у которых есть сайт, — добавить ссылки на политику обработки персональных данных или предусмотреть получение согласия на их обработку в точках, где пользователи вносят свои данные (например, в формах обратной связи на сайте).
Также рекомендуем:
- побеспокоиться о специализированном хостинге;
- регулярно проводить аудит безопасности в компании;
- отказаться от популярных бесплатных сервисов электронной почты, совместной работы над документами и хранения данных. Аттестацию невозможно получить, обрабатывая данные клиентов в Google Docs или используя незащищенные облачные хранилища.
На что обращать внимание интернет-пользователям
Среди белорусских интернет-пользователей пока очень низкий «порог чувствительности» к безопасности их персональных данных. Как правило, даже за громкими утечками не следует череды судебных исков. Но с изменением правового поля ситуация неизбежно будет меняться.
Какие права появляются у пользователей в связи с новым законом:
- Отзыв согласия на обработку персональных данных.
При этом компания, получившая такой отзыв, обязана удалить или прекратить обработку персональных данных в течение 15 дней. - Получение информации, касающейся обработки ваших персональных данных.
Вы можете узнать, какие именно персональные данные обрабатываются, основания и цели обработки, а также срок действия вашего согласия. - Внесение изменений в персональные данные в случае, если данные устарели, являются неполными или неточными.
- Получение информации о предоставлении данных третьим лицам.
- Удаление данных или прекращение их обработки по требованию, если это не противоречит другим законодательным актам.
Цитата
Обратите внимание — если вы оставляете свои данные на каком-либо сайте через форму обратной связи, в ней должны быть предусмотрены ссылка на политику обработки персональных данных и опция согласия с этой политикой. Если такой информации в форме нет, это должно вас насторожить.
Персональные данные могут собираться и на бумажных носителях (картотеки, журналы). При этом способ хранения ваших данных не меняет требований нового закона к их обработке.
И хоть это не совсем относится к закону о персональных данных, обращайте внимание на то, чтобы на сайте был установлен SSL-сертификат (адрес сайта в таком случае начинается с https://, а не с http://). Таким образом вы минимизируете возможное участие третьих лиц в обмене информацией между вами и сайтом. Это основы цифровой гигиены, которые необходимо соблюдать.
Сбор персональных данных без согласия пользователя
Как обычно, в любом правиле есть исключения. Новый закон предусматривает довольно объемный перечень случаев, когда персональные данные могут собираться и обрабатываться без какого-либо дополнительного разрешения от их владельца.
В основном это касается таких целей, как ведение административных и уголовных процессов, исполнение судебных постановлений, осуществление контроля в соответствии с законодательными актами, социальное страхование и т. д. Разрешение на сбор персональных данных не потребуется при оформлении трудовых отношений, а также при наличии договора, заключенного между пользователем и компанией. В законе прописана и возможность в некоторых случаях использовать персональные данные без дополнительного разрешения в целях осуществления законной профессиональной деятельности журналиста и СМИ.
Разрешение также не потребуется для использования персональных данных «в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных».
Один из авторов закона: закрывается «серая зона» в работе с персональными данными
Некоторые нюансы нового закона прокомментировал один из его авторов — специалист по информационной безопасности Сергей Пашковский.
— На первый взгляд, новый закон создает много трудностей для бизнеса. Действительно, вопросов пока немало. Однако при этом закон закрывает ту «серую зону», которая существовала раньше в вопросе работы с персональными данными, и помогает бизнесу в регулировании этих вопросов. Например, партнерское сотрудничество между компаниями, в процессе которого данные клиентов передаются от одной компании другой. Допустим, на сайте банка можно заключить договор страхования, и фактически все клиенты банка становятся потенциальными клиентами страховой компании. В данной ситуации в каком объеме нужно и можно делиться данными пользователей? Нужно ли уведомлять клиентов о том, что их данные переданы? Закон как раз разъясняет, что это возможно, но при соблюдении необходимых технических и юридических норм.
Цитата
На что стоит обратить внимание в новом законе — это на слово «обработка». Многие бизнесы сейчас говорят: «Моя клиентская база просто лежит, я с ней ничего не делаю». Под обработкой понимаются любые действия с персональными данными пользователей. Поэтому даже «просто лежит» — это уже действие, связанное с хранением персональных данных. А значит информационная система, в которой эти данные находятся, должна соответствовать новому законодательству.
После ознакомления с законом у пользователя может возникнуть впечатление, что компании обязаны удалить ваши данные по требованию. Однако чаще всего персональные данные будут оставаться у компании в том или ином виде, поскольку она обязана выполнять требования иных актов законодательства. Так, банки обрабатывают ваши данные в рамках договора по оказанию услуг комплексного банковского обслуживания. Но после расторжения договора банк вынужден хранить многие из этих данных в обезличенном или заблокированном виде еще долгие годы (например, для выполнения обязательств по противодействию отмыванию денежных средств). Главное, чтобы вам могли назвать и объяснить причины хранения.
Обращайте внимание на тот объем данных, который у вас запрашивают. Например, зачем вам вводить серию и номер паспорта при регистрации на сайте интернет-магазина. Посмотрите, просят у вас согласие на обработку персональных данных или нет. Если нет, понимаете ли вы, на каком основании эти данные обрабатываются.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
