С 1 января 2024 г. заработает реестр операторов персональных данных. Что нужно знать?

Утечек персональных данных за три последних года стало меньше. Это результат комплексной работы. Во-первых, проводится широкая разъяснительная работа, повышающая уровень правовой культуры граждан. Во-вторых, многие обрабатывающие массив персональных данных организации наладили свою работу должным образом, включая техническую защиту информации. В-третьих, эффективно работает правовое поле, инфраструктура, созданная государством. Вместе с тем правоприменение показало: настало время для законодательных новаций. Об этом рассказал журналистам директор Национального центра защиты персональных данных Андрей Гаев на полях форума, приуроченного к Международному дню защиты персональных данных, сообщает БЕЛТА.

Сохранить себя в цифровом мире

Нынешняя редакция Закона о защите персональных данных готовилась более пяти лет, а предпосылки для ее появления возникли еще раньше, в начале 2000-х, когда одним из главных инструментов достижения целей социально-экономического развития страны была определена цифровизация, цифровая трансформация всех сфер жизни.

«Сначала цифровая составляющая была главенствующей во многих процессах решения насущных вопросов: уменьшение очередей, сокращение сроков принятия решений о выполнении тех или иных административных процедур. Со временем массив данных накапливался, развивались информационно-коммуникационные технологии – и ситуация начала меняться. Личная информация стала ценным товаром, который привлекал внимание злоумышленников. Она стала ценным активом для бизнеса и одновременно риском для граждан», – заметил Андрей Гаев.

По имеющимся данным, более 90 % мошенничеств и 80 % вымогательств сейчас перешли в цифровую среду. Беларусь находится на втором месте в СНГ по количеству кибератак. Нередки кражи денег с карточек, электронных кошельков. В 2020–2022 годах происходили массовые утечки персональных данных, в том числе государственных служащих и общественных деятелей, на которых оказывалось психологическое давление. И все это привело к необходимости формализации разрозненных актов, регулирующих вопросы защиты персональных данных.

В 2021 году увидел свет Закон «О защите персональных данных». Он носит ярко выраженный предупредительный характер и направлен на то, чтобы найти баланс интересов между сбором сведений и их использованием для целей экономики, иных нужд и желанием человека сохранить себя в цифровом мире.

И что в итоге?

Закон был воспринят гражданами и бизнесом. При надлежащем исполнении его норм обеспечивает должную защиту прав. Последние три года показывают сокращение количества утечек персональных данных. Более того, ответственный бизнес сегодня рассматривает вопрос о защите личной информации как конкурентное преимущество, а не как обузу, и принимает меры по защите личной информации.

«Но жизнь не стоит на месте. Есть определенные проблемы, связанные с применением. Определенная часть из них связана с соотношением законодательства о персональных данных и отраслевого законодательства. Нередки ситуации отказов в предоставлении тем или иным органам, организациям, гражданам необходимых сведений. При этом звучат ссылки на некие запреты, якобы установленные законом. В действительности в данных случаях запретов нет. Проблема кроется в ином – в неурегулированности или недоурегулированности этих вопросов в отраслевом законодательстве», – отметил Андрей Гаев.

Для решения ситуации на протяжении более четырех лет ведется работа по унификации правового поля. Более 600 нормативных правовых актов за это время увязаны с требованиями по защите личной информации. При этом, с одной стороны, не ограничивается обработка персональных данных, с другой стороны, обеспечивается должный уровень их защиты.

Также есть ситуации, когда нормы закона попросту не выполняются, данные собираются избыточно. Например, одновременно истребуются и данные паспорта, и личные номера, когда для достижения цели достаточно чего-то одного. Либо производится видео-, аудиозапись в местах, связанных с личной сферой: при оказании медицинских услуг, в местах приема пищи, переодевания. Все эти вопросы постепенно решаются.

Время плановой корректировки закона

По словам директора центра, был проведен серьезный анализ практики применения нормативных правовых актов, регулирующих эту сферу, изучен опыт правового регулирования как в нашей стране, так и за рубежом. Мониторинги проводили Национальный центр защиты персональных данных и Национальный центр законодательства и правовой информации. В этих процессах были задействованы более 60 органов, бизнес-ассоциаций. Анализ полученной информации показал, что проблемы правоприменения не носят глобальный характер, поэтому корректировка будет уточняющего плана.

Так, необходимо решить ряд вопросов, связанных с уточнением правовых оснований обработки персональных данных. Сегодня такая обработка проводится либо на основании нормы права, либо с согласия человека. Следует более четко разграничить их самостоятельный характер, когда действует одно основание, когда другое.

«Бытует мнение, что Закон о защите персональных данных – это закон о согласии. Но это совсем не так. Если бы мы давали согласие на каждое действие, все бы просто утонули в этом процессе, – заметил Андрей Гаев. – Согласие не имеет смысла давать, когда у человека нет реального выбора при решении тех или иных вопросов. Иногда при осуществлении, например, административных процедур одновременно с заявлением отдельные структуры требовали согласия. Но человек не может влиять на процесс, иначе процедура просто не будет оказана. Поэтому такие ситуации требуют разграничения. Выполнение публично-правовых функций государственных органов просто не предполагает получения согласия».

Будет решен ряд вопросов, связанных с организацией обработки персональных данных при видеонаблюдении, аудиозаписи. Предполагается разрешить обработку персональных данных без согласия при работе кол-центров. В целом же, поскольку технические средства получили очень широкое распространение и количество жалоб, связанных с осуществлением аудиозаписи и видеонаблюдения, становится больше, предлагается закрепить ряд позиций, которыми будет установлен запрет на осуществление видеозаписи.

Речь идет о ситуациях, затрагивающих личную сферу человека, когда при достижении тех или иных целей, связанных с обработкой личной информации, спокойно можно обойтись без видео- и аудиофиксации. Будет установлена разумная минимизация. Снимать надо то, что необходимо, избегая попадания в кадр объектов или граждан, которые в данном случае не должны быть сняты.

Актуальной является проблематика, связанная с обработкой личных данных в связи с применением технологий искусственного интеллекта, которые ворвались в нашу жизнь и, конечно, решают очень много позитивных задач в развитии национальной экономики и социальной сферы. Но ИИ также вызывает серьезные риски для сохранения человека в цифровом мире. Сегодня нередки ситуации с дипфейками, атаками на человека при помощи технологий, связанных с цифрой, большими данными. Этот момент также будет отражен в законопроекте.

Планируется уточнить ряд моментов, связанных с обработкой персональных данных без согласия. Новация, как предполагается, коснется обработки сведений о кандидатах на трудоустройство (сегодня для этого требуется получение согласия), формирования новостного контента в ходе деятельности организаций государственной, частной фирмы собственности, а также обработки личной информации в связи с заключением договора в пользу третьих лиц и др.

Планируется разрешить привлечение по принципу аутсорсинга к обработке персональных данных в организациях малого бизнеса, где обрабатывается незначительное количество персональных данных. Разрешить аутсорсинг намерены тогда, когда это будет предусмотрено в отраслевых законодательных актах, если для той или иной сферы это будет необходимо.

Для холдинговых структур предлагается рассмотреть вопрос об установлении возможности организации защиты персональных данных на базе управляющих компаний.

В целом же, как подчеркнул Андрей Гаев, ужесточений правил обработки персональных данных не планируется. Наряду с этим в современном цифровом мире защита персональных данных – это не просто технический вопрос, это фундаментальный элемент национальной, личной безопасности и конкурентоспособности бизнеса. В стране делаются системные шаги для укрепления правой, цифровой зрелости. Идя навстречу друг другу, граждане, организации, государство своими сплоченными действиями способствуют повышению защищенности личной информации.

Как ожидается, законопроект будет внесен на рассмотрение в Совет Министров в августе 2026 года.

Светлана Василевская, БЕЛТА

О комплексном подходе ведомства к цифровой безопасности в социальной сфере рассказала заместитель Министра труда и социальной защиты Юлия Бердникова на форуме, приуроченном к Международному дню защиты персональных данных. Об этом сообщает БЕЛТА со ссылкой на пресс-службу Минтруда.

Как отметили в Министерстве, вся социальная сфера основана на работе с персональными данными – начиная от пенсий и пособий до цифровой трудовой книжки и учета многодетных семей. Поэтому их защита является абсолютным приоритетом. Безопасность обеспечивается благодаря строгому следованию принципу цифровой гигиены: собираются и обрабатываются только необходимые для конкретной услуги данные, а также внедряются все необходимые организационные и технические меры, включая криптографическую защиту.

Минтруда активно развивает два ключевых пользовательских интерфейса этой системы. Это обновленный портал социальной защиты, через который можно не только узнать о более чем 40 видах социальных услуг, но и напрямую заказать их. Обратная связь от социальной службы поступает в течение 1–2 дней.

Также представлено мобильное приложение Фонда соцзащиты, которое, по сути, является персональным цифровым социальным помощником для работающих граждан. Оно позволяет в реальном времени отслеживать формирование пенсионных прав и контролировать отчисления работодателя.

По информации БЕЛТА

Десять организаций в 2026 году пройдут проверку соблюдения законодательства о персональных данных. План проверок определен приказом директора Национального центра защиты персональных данных, сообщили БЕЛТА в центре.

План размещен на сайте центра. Он включает 10 операторов (уполномоченных лиц), осуществляющих масштабную обработку персональных данных в различных сферах.

При этом в 2026 году акцент будет сделан на оценке соблюдения законодательства о персональных данных уполномоченными лицами.

В случае, если оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед гражданами за действия этого лица несет оператор, пояснили в центре. Операторы указывают на имеющиеся в практической деятельности сложности во взаимодействии в ряде случаев с уполномоченными лицами при поручении им обработки персональных данных (при согласовании условий взаимодействия, а также при оценке мер по обеспечению защиты персональных данных до поручения им обработки). При этом нередко уполномоченными лицами факт обработки персональных данных отрицается.

Центром будет продолжена практика реагирования на инциденты, жалобы граждан путем проведения внеплановых и камеральных проверок, в ходе которых будет дана оценка соответствующим бизнес-процессам.

В помощь операторам (уполномоченным лицам) на сайте центра размещены образцы и формы документов, разъяснения по соблюдению законодательства о персональных данных и иные методологические материалы.

Чек-лист по проведению проверок позволит операторам (уполномоченным лицам) самостоятельно убедиться в принятии мер, необходимых для исполнения требований закона, и избежать наиболее типичных нарушений законодательства о персональных данных.

По информации БЕЛТА

Защита прав человека в цифровую эпоху требует усилий по четырем направлениям, отметила председатель Постоянной комиссии Палаты представителей по труду и социальным вопросам, заместитель представителя Беларуси в Комиссии по правам человека СНГ Ирина Костевич, выступая в формате видеоконференцсвязи на IX Международной научно-практической конференции «Проблемы защиты прав человека: обмен лучшими практиками омбудсменов», передает БЕЛТА.

(фото – БЕЛТА)

«Бесспорно, защита прав человека в цифровую эпоху требует комплексного подхода», – сказала Ирина Костевич, остановившись на четырех направлениях.

Во-первых, совершенствование правовой базы. По словам председателя комиссии, законодательство должно учитывать специфику информационных технологий, которые давали бы гражданам реальный контроль над их информацией. 

«Требуется законодательное регулирование использования искусственного интеллекта, включая принципы прозрачности, объяснимости и недискриминации. Эффективное регулирование также должно учитывать не только сбор информации, но и последующее использование аналитических моделей и автоматическую обработку», – отметила Ирина Костевич.

Во-вторых, необходимо развитие цифровой грамотности. Граждане должны понимать ценность своих данных, уметь распознавать манипуляции и киберугрозы. Образование в этой сфере – это такая же необходимость, как и традиционная грамотность.

В-третьих, технологические решения для защиты. Шифрование, аутентификация, системы, построенные на принципах конфиденциальности по умолчанию, должны стать стандартом, а не экзотикой.

В-четвертых, международное сотрудничество. «Цифровое пространство не знает границ, поэтому и защита прав в нем должна быть глобальной. Необходимы международные конвенции и договоры, устанавливающие единые этические и правовые стандарты для цифровой среды», – отметила Ирина Костевич.

Беларусь активно стремится адаптировать свое законодательство к новым вызовам цифровой эры, предоставляя правовую базу для защиты прав и интересов граждан, а также обеспечивая развитие цифровой экономики. В стране в целом созданы законодательные условия. 

Так, статья 28 Конституции Беларуси предусматривает положение о том, что государство создает условия для защиты персональных данных и безопасности личности и общества при их использовании. 

Основные национальные интересы в информационной сфере определены в Концепции национальной безопасности. В Беларуси принят ряд законов, в частности, «Об информации, информатизации и защите информации», «О защите персональных данных», «Об электронном документе и электронной цифровой подписи», «О платежных системах и платежных услугах».

По информации БЕЛТА

Национальный центр защиты персональных данных разработал разъяснения по защите персональных данных для малого бизнеса. Об этом БЕЛТА сообщили в центре.

Благодаря разъяснениям представители малого бизнеса могут узнать, как правильно обрабатывать персональные данные, какие требования предъявляет закон к их операторам, какие особенности и исключения есть у ИП, блогеров, ремесленников и других субъектов малого предпринимательства.

Кроме того, НЦЗПД подготовил чек-лист по приведению деятельности таких операторов в соответствие с требованиями закона. Чек-лист предназначен для субъектов малого предпринимательства, к которым относятся малые организации (со средней численностью работников за календарный год до 100 человек) и физические лица, осуществляющие индивидуальную предпринимательскую деятельность: индивидуальные предприниматели, самозанятые, ремесленники, физические лица – субъекты агроэкотуризма.

В центре напомнили, что выстраивание субъектами малого предпринимательства надлежащей работы с персональными данными поможет повысить эффективность и конкурентоспособность бизнеса, сформировать доверительные отношения граждан к качеству оказываемых услуг и выполняемых работ, снизить трудовые, материальные и технические затраты, а также минимизировать риски утечки персональных данных (и, как следствие, финансовых и репутационных потерь).

Кроме того, затраты на устранение наступивших негативных последствий зачастую могут значительно превышать как временные, так и финансовые расходы субъектов малого предпринимательства на организацию и проведение превентивных мероприятий по защите информации.

Разъяснения и чек-лист доступны для скачивания на сайте центра.

По информации БЕЛТА