Закон о персональных данных: что это значит для бизнеса и интернет-пользователей

 
15 650
21 декабря 2021 в 10:00
Источник: Клим Картохин

Закон «О защите персональных данных» вступил в силу в ноябре. Однако ни компании, ни интернет-пользователи не получили ясного представления, что же новый закон изменит на практике. Поговорили на эту тему с Александром Янковским, инженером по информационной безопасности hoster.by.

Как бизнесу понять, соблюдает ли он закон о персональных данных

— Сначала нужно разобраться, какие данные пользователей вы собираете, обрабатываете или храните. Обезличенная телефонная база, к примеру, не будет подпадать под определение персональных данных. А вот если рядом с номерами телефонов есть ФИО и адреса доставки товаров, то это уже совсем другая история. Персональными данными является любая информация, с помощью которой можно идентифицировать физическое лицо, либо которая относится к уже идентифицированному человеку.

Если вы определили, что все же работаете с персональными данными, проанализируйте, нужен ли вам именно такой объем данных, сколько их целесообразно хранить, как именно они собираются и хранятся в настоящий момент. Возможно, вы поймете, что от каких-то данных можно отказаться, и это может освободить вас от необходимости соблюдать требования нового закона.

Если без персональных данных не обойтись, то назначьте ответственного. Это и упростит вашу дальнейшую работу, и сразу закроет одно из требований, необходимых для выстраивания новых процессов. Обычно эту функцию возлагают на юриста компании.


Цитата
Александр Янковский из hoster.by

Текущая версия закона не дает однозначного ответа, являются ли персональными данными IP-адрес или, например, рекламный идентификатор пользователя. Прямого указания на это нет, хотя по международным стандартам эта информация должна быть также защищена.

 

В общем виде порядок технических и организационных действий в случае работы с персональными данными такой:

  • назначить ответственного за работу с персональными данными;
  • описать регламенты работы с ними, в том числе определить порядок доступа к данным;
  • провести ряд мероприятий для аттестации информационной системы;
  • обучить персонал;
  • для тех компаний, у которых есть сайт, — добавить ссылки на политику обработки персональных данных или предусмотреть получение согласия на их обработку в точках, где пользователи вносят свои данные (например, в формах обратной связи на сайте).

Также рекомендуем:

  • побеспокоиться о специализированном хостинге;
  • регулярно проводить аудит безопасности в компании;
  • отказаться от популярных бесплатных сервисов электронной почты, совместной работы над документами и хранения данных. Аттестацию невозможно получить, обрабатывая данные клиентов в Google Docs или используя незащищенные облачные хранилища.

На что обращать внимание интернет-пользователям

Среди белорусских интернет-пользователей пока очень низкий «порог чувствительности» к безопасности их персональных данных. Как правило, даже за громкими утечками не следует череды судебных исков. Но с изменением правового поля ситуация неизбежно будет меняться.

Какие права появляются у пользователей в связи с новым законом:

  • Отзыв согласия на обработку персональных данных.
    При этом компания, получившая такой отзыв, обязана удалить или прекратить обработку персональных данных в течение 15 дней.
  • Получение информации, касающейся обработки ваших персональных данных.
    Вы можете узнать, какие именно персональные данные обрабатываются, основания и цели обработки, а также срок действия вашего согласия.
  • Внесение изменений в персональные данные в случае, если данные устарели, являются неполными или неточными.
  • Получение информации о предоставлении данных третьим лицам.
  • Удаление данных или прекращение их обработки по требованию, если это не противоречит другим законодательным актам.

Цитата

Обратите внимание — если вы оставляете свои данные на каком-либо сайте через форму обратной связи, в ней должны быть предусмотрены ссылка на политику обработки персональных данных и опция согласия с этой политикой. Если такой информации в форме нет, это должно вас насторожить.

Персональные данные могут собираться и на бумажных носителях (картотеки, журналы). При этом способ хранения ваших данных не меняет требований нового закона к их обработке.

И хоть это не совсем относится к закону о персональных данных, обращайте внимание на то, чтобы на сайте был установлен SSL-сертификат (адрес сайта в таком случае начинается с https://, а не с http://). Таким образом вы минимизируете возможное участие третьих лиц в обмене информацией между вами и сайтом. Это основы цифровой гигиены, которые необходимо соблюдать.

Сбор персональных данных без согласия пользователя

Как обычно, в любом правиле есть исключения. Новый закон предусматривает довольно объемный перечень случаев, когда персональные данные могут собираться и обрабатываться без какого-либо дополнительного разрешения от их владельца.

В основном это касается таких целей, как ведение административных и уголовных процессов, исполнение судебных постановлений, осуществление контроля в соответствии с законодательными актами, социальное страхование и т. д. Разрешение на сбор персональных данных не потребуется при оформлении трудовых отношений, а также при наличии договора, заключенного между пользователем и компанией. В законе прописана и возможность в некоторых случаях использовать персональные данные без дополнительного разрешения в целях осуществления законной профессиональной деятельности журналиста и СМИ.

Разрешение также не потребуется для использования персональных данных «в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных».

Один из авторов закона: закрывается «серая зона» в работе с персональными данными

Некоторые нюансы нового закона прокомментировал один из его авторов —  специалист по информационной безопасности Сергей Пашковский.

— На первый взгляд, новый закон создает много трудностей для бизнеса. Действительно, вопросов пока немало. Однако при этом закон закрывает ту «серую зону», которая существовала раньше в вопросе работы с персональными данными, и помогает бизнесу в регулировании этих вопросов. Например, партнерское сотрудничество между компаниями, в процессе которого данные клиентов передаются от одной компании другой. Допустим, на сайте банка можно заключить договор страхования, и фактически все клиенты банка становятся потенциальными клиентами страховой компании. В данной ситуации в каком объеме нужно и можно делиться данными пользователей? Нужно ли уведомлять клиентов о том, что их данные переданы? Закон как раз разъясняет, что это возможно, но при соблюдении необходимых технических и юридических норм.


Цитата
Сергей Пашковский, специалист в области информационной безопасности

На что стоит обратить внимание в новом законе — это на слово «обработка». Многие бизнесы сейчас говорят: «Моя клиентская база просто лежит, я с ней ничего не делаю». Под обработкой понимаются любые действия с персональными данными пользователей. Поэтому даже «просто лежит» — это уже действие, связанное с хранением персональных данных. А значит информационная система, в которой эти данные находятся, должна соответствовать новому законодательству.

После ознакомления с законом у пользователя может возникнуть впечатление, что компании обязаны удалить ваши данные по требованию. Однако чаще всего персональные данные будут оставаться у компании в том или ином виде, поскольку она обязана выполнять требования иных актов законодательства. Так, банки обрабатывают ваши данные в рамках договора по оказанию услуг комплексного банковского обслуживания. Но после расторжения договора банк вынужден хранить многие из этих данных в обезличенном или заблокированном виде еще долгие годы (например, для выполнения обязательств по противодействию отмыванию денежных средств). Главное, чтобы вам могли назвать и объяснить причины хранения.

Обращайте внимание на тот объем данных, который у вас запрашивают. Например, зачем вам вводить серию и номер паспорта при регистрации на сайте интернет-магазина. Посмотрите, просят у вас согласие на обработку персональных данных или нет. Если нет, понимаете ли вы, на каком основании эти данные обрабатываются.


тюбинг (ватрушка), 83x83 см, материал: ПВХ, до 50 кг
санки-коляска, 105x45 см, материал: сталь, возраст: 1–4 лет
снегокат, 110x49 см, материал: сталь, до 100 кг, возраст: 4–7 лет
Нет в наличии

Наш канал в Telegram. Присоединяйтесь!

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Источник: Клим Картохин